零知识原则引发了关于加密基于云的应用的安全探讨。零知识证明则是指当一方像第二方证明某事是真的时，并未提供任何额外的信息。

将这个原则应用到云应用安全中，数据通过一个应用生成，并且存储在云端，且仍旧是隐私的，只有终端有用知晓。这一点很重要，因为只有终端用户能够以明文方式访问和读取这个数据，云服务提供商以及任何获得所存储的数据的访问的攻击者‌只能够看到乱码。目的是为了保护重要数据远离窥探，比如用户名、密码、社保安全账号。

相比之下，谷歌的Gmail，也是全球最受欢迎的基于云的应用，截至2012年六月在全球拥有4.25亿用户，但是并非一种零知识应用，因为其用户的电子邮件信息在存储在云端之时并非加密状态。

更为糟糕的是谷歌充分利用了这种缺乏加密性。注册之时，Gmail许可证协议声明谷歌可以访问用户的数据，从而为用户呈现相关的广告。为了实现这一点，谷歌必须访问所有的用户电子邮件信息，很明显这是任何担心隐私的人关注的焦点。谷歌唯一不能够访问的信息就是用户使用某种GPG加密工具进行特别加密的内容，但是这样必须通过用户手动实现，并非作为Gmail的一部分来提供。本质上，使用Gmail的企业唯一可信的就是谷歌会是一个好管家，并且能够确保其数据安全。这是一种信仰的飞跃。

一种Gmail格式的安全范式对于某些典型的用户的确很好，因为他们通常并不关心安全。同时确保个人数据安全很重要，不幸的是，大多数人并不希望牺牲时间或者资金采取这种警觉。

随着最近的NSA泄露，云应用中的数据安全已经变得更加重要，尤其是对于企业而言更是如此。因此基于云的应用能够提供安全也变得越来越重要：最近公开的安全事件都高调显示了安全的重要性，而且安全团队从来也没有充分的时间利用自身的意识来说服企业内部利益相关者提交需要发生改变的资源。

案例：零知识和云安全

为了帮助企业了解在选择安全云应用时需要关注什么，我们来回顾一下数个云应用提供商，他们应用零知识原则来确保其云应用安全。

SpiderOak是一家提供在线云存储同步和共享项目的公司，类似于Dropbox，通过为存储在云端的数据提供客户端加密实现零知识，确保只有用户能够以非加密的形式看到其云端数据。然而由于SpiderOak是一种零知识备份服务，如果丢失了，没办法恢复或者重设密码。这对于其他的零知识应用同样适用，而且用户可能会对同这样的项目工作感到沮丧。

Sync.com是另一家提供零知识云数据存储的公司。只为Windows和OS X提供桌面客户端，但是Linux桌面客户端也正在开发中。相比而言，SpiderOak拥有Linux桌面客户端版本来同步本地数据以及存储在云端的数据，对于Linux用户而言更具吸引力。

另一个替代是CryptoHeaven，提供零知识、安全和加密的电子邮件托管。对比CryptoHeaven服务和Gmail，所有的电子邮件信息存储在CryptoHeaven服务器上，且加密，只能为终端用户解密。CryptoHeaven是一种开源跨平台的桌面客户端项目，通过Java编写，可以用来管理CryptoHeaven账户，包括电子邮件信息、聊天对话和云存储。

回顾CryptoHeaven之前，我很惊讶每一件事在一起工作得很容易。基本上，问题的关键在于下载和运行桌面客户端，它将明确生成私密/公开的密钥配对，用于加密和解密数据。CryptoHeaven能够发送加密或者非加密的电子邮件信息；发送非加密信息时，整个信息体可以通过MTA邮件服务器以非加密形式看到，但是这也是邮件系统这样设计的。然而所有的电子邮件信息以加密的形式存储在用户的文件夹中，而且不能为其他人所看到，除了用户自己。

发展趋势

在未来几年中，随着加密安全运营用变得越来越重要，需求也会持续上升。构建这样的应用时，整个世界也会朝向更加安全发展。Crypton（SpiderOak Crypton框架）是一个很好的起点。的确，使用Crypton构建应用更易于收到零日漏洞影响，但是不可避免。Crypton仍旧是一种较年轻的项目，但是随着进一步的发展，会逐渐成为开源社区的真正资产，而且也是构建加密安全应用的一种方式。