隐私是一种新的宗教。我们为隐私设定了最高价值。但即使是孩子也知道——如果有些东西对某些人来说是有价值的,那么毫无疑问,有些人想要在没有合法所有者许可的情况下得到它有价值的东西。
我们真的需要加密防御的盾牌吗?
以前的价值观是纯物质的——像金饰、阿玛蒂小提琴、佛兰芒绘画和秦时代的瓷器——但现在,价值观更加抽象,尽管它们的本质没有改变。钻石和珍珠藏在保险箱和缓存中,我们将现代宝藏保存在计算机或服务器的硬盘驱动器、闪存驱动器和智能手机 SD 卡上。
将最私密的东西委托给小工具和电脑,我们让自己变得脆弱。所有存储在硬盘驱动器、应用程序和浏览器内存中的东西,都是现代人类文明的致命弱点。有关家庭、职业、有形资产、政治观点、财务数据、计划交易、第二套账簿、银行账户访问权限、电子钱包密钥、公司机密、专有信息和商业机密的信息——所有这些都是新的网络时代强盗的目标。
通过开锁或自动切割来打开保险箱非常容易——从磁盘中提取信息同样容易。为了提供更高的安全性,您可以将保险箱隐藏在墙壁或 200 米深处的掩体中,或者您可以用带刺铁丝网将其围起来并设置通过它的电流。数据加密效率更高(也更人性化!)——硬件和软件加密工具可以为您的数字价值提供真正的保护。
关于密码学历史的一些话
作为一门研究信息安全工具的科学,密码学已经存在了四千多年。同时,随着文字的发展,人们也在寻找对文字进行加密的方法,将其本质隐藏起来。古代有很多密码系统的历史证据,例如,凯撒的单字母密码,它使用了字母表中字母位置移动的原理。
几个世纪以来,新的密码和新的密码分析方法(解密方法),以及促进加密/解密操作的设备都被发明了——例如,埃涅阿斯的线和磁盘、古代斯巴达的 Scytale (Skytale)、万向格栅、圣Cyr Slide(或 Sliderule)、The Jefferson disk(或 Wheel cypher,或 Bazeries Cylinder)等。长期以来,字母数字组合是加密的基础——更复杂的多字母系统取代了单字母系统。一百多年前,机电设备开始用于多字母加密。经典加密被认为是对称密钥加密,它使用相同的字符序列来加密和解密数据。
使用数学方法进行加密的第一次尝试是从 20 世纪上半叶开始的。
“信息时代之父”美国数学家、工程师克劳德·埃尔伍德·香农为密码学作为科学的发展做出了重大贡献。他制定了密码学的理论基础,并介绍了许多基本概念。
香农给出了信息熵、数据传输、信息量和加密函数的数学定义。顺便说一句,我们用他的术语“比特”作为信息的最小单位。此外,香农将通过线性和差分密码分析研究脆弱性密码作为加密的强制性要素。
自 1970 年代中期以来,非对称加密(又名公钥密码学或密钥对加密)已成为密码学的新主线,现在它被广泛使用。非对称加密的本质是为了加密和解密数据,选择两个密钥,公共的和与之对应的私有的。这对密钥中的每个密钥都执行一个定义明确的功能——公钥加密信息,私钥解密信息。
在过去的四年里,信息技术发展迅速,提供了新的密码学方法和新的使用领域。现在密码学是数学和计算机科学的结合。量子计算技术的进步将密码学提升到一个新的水平,即量子密码学,它基于的不是数学原理,而是量子物理原理。量子密码学的一个分支是后量子密码学,它指定创建对“经典”密码分析方法和量子密码分析方法都有抵抗力的合成密码方案。
密码学适用的目的
在古代和中世纪,人们使用密码学让某些信息只能被秘密信息所接收的人发现。现在,几个世纪以来,这个过程的本质仍然保持不变。
我们可以在任何地方找到加密信息安全工具——智能手机、智能手表和其他小工具、计算机和路由器、平板电脑和智能电视、家用电器、信使和社交网络、外汇和交易软件等。所有存储和/或传输的数据通过所有这些东西总是加密的。
加密在金融交易过程中是最有价值的,例如,通过 NetBanking 或 PayPal 和其他国际支付系统,以及在 ATM 提取现金或与支付终端进行交易时,在零售 POS 或外汇交易期间。
让我们在这里添加移动操作系统之间的激烈竞争,其加密保护将更有效地保护用户信息。
过去十年中炒作最多的各种加密货币也是基于加密算法的。
互联网流量也需要加密保护,HTTPS 加密扩展为通过“客户端到站点”连接中的安全套接字层 (SSL) 或传输层安全 (TLS) 协议传输的数据提供安全性。几年前,谷歌强调使用 https 和SSL 证书,并解释说 https 上的网站具有更好的搜索引擎排名。
很快,其他浏览器开始在谷歌浏览器之后使用“http = 危险网站,https = 安全”的标签。描述网站动态使用 https 协议的信息图可以说明从 2013 年 11 月至今在 Mozilla Firefox 上编制的统计数据:如您所见,2014 年 3 月,全球 https 流量为 28.31%,而五年后, 2019 年 3 月,这一数字增长了近三倍,达到 78.38%。但是这种现象的原因可能是人为的(由于来自全球信息市场参与者的压力),结果仍然是非常积极的——我们可以自信地说,通过互联网传输的数据的安全水平显着提高。因此,我们的信息保护得到了加强。
基于硬件或软件的加密:一个艰难的选择
三种类型的加密用于保护硬盘驱动器上的信息:硬件、软件和软硬件。它们都使用密码算法来保护数据,但在加密/解密功能的实现方式上有所不同。
当您应该在所有这些中做出选择时,您应该估计您的真实需求。软件加密比硬件便宜,但在可靠性上却大大逊色。此外,不同加密算法类型的 CPU 容量以不同方式使用:软件加密使用计算机的处理器,而硬件编码器有自己的处理器。因此,软件加密非常适合个人电脑和小型企业。出于企业目的,更多选择硬件加密来保护关键信息——例如,金融交易、商业机密、创作等。网络流量、通信、即时通讯——它们都使用硬件加密保护。
下表列出了要比较的一些基于硬件和基于软件的加密的技术特征:
| 基于硬件的加密 | 基于软件的加密 | |
|---|---|---|
| 中央处理器 | 自己的; 位于加密器/令牌/驱动器上 | 计算机 CPU 的一部分容量用于加密数据,同时其他任务和软件正在执行 |
| 钥匙 | 使用内置随机数生成器生成并使用用户密码解锁。硬件用于身份验证 | 用户创建的密码 |
| 性能影响 | 由于主机系统不参与加密任务处理,计算机性能提高 | 加密过程与其他软件同时工作。它会降低计算机性能 |
| 密钥和数据安全 | 密钥和关键安全参数的保护由硬件加密执行。保护数据免受最常见的攻击(冷启动、恶意代码注入、暴力破解等) | 密码暴力攻击中的漏洞,尤其是在 RAM 入侵的情况下 |
| 经济效率 | 适合大中型企业、公司。允许缩放 | 适用于小型企业和私人 |
| 小工具依赖 | 加密功能仅在一台特定设备上实现 | 加密适用于所有类型的数据存储 |
| 安装附加软件或驱动程序 | 没有必要 | 可能需要 |
一个可爱的事实——尽管终生竞争,IT 行业的巨头苹果和微软都做出了相同的决定:为其操作系统的用户实施软件加密。BitLocker 从企业操作系统版本 7 开始成为 MS Windows 的一个组件。
但有时加密会降低安全性。例如,来自荷兰的研究人员发现,一些 SSD 驱动器中的软硬件加密遭到破坏。他们发现了几种漏洞变体,攻击者可以利用这些变体访问数据。其中一个漏洞被“隐藏”在密码保护的软硬件系统中。Windows 10内置的BitLocker,在检测到SSD盘中存在硬件加密系统后,干脆“给专家让路”,并没有使用其加密功能,仅靠硬件防御的能力。
在这种情况下,SSD制造商及时消除了缺陷。但是你永远不应该忘记,对网络攻击的全面保护,以及幸福的普遍方程式或治愈所有疾病的方法是不存在的。在许多方面,数据安全取决于软件供应商、设备和基础设施服务提供商的完整性。
云安全尤其如此。SIM Networks 团队认为,确保客户的数据安全是我们的首要任务之一。因此,我们使用基于硬件的加密来保护 SIM-Cloud IaaS 数据。同样负责任的是,我们在所有其他基础设施解决方案中处理数据的安全性,包括我们客户的私有云。
为什么一切都还没有加密?
直到现在,我们都在谈论加密的重要性。但大量信息仍未加密。为什么?如果加密在当前的网络犯罪环境中如此有效,为什么还没有对所有数据进行加密呢?有一些原因可以提及。
加密相当昂贵并不是什么大秘密。它不仅意味着加密软件和硬件措施,还意味着计算资源——RAM 和处理器时间。加密过程中数学上复杂的数据转换操作需要大量资源,这是一个问题。
正如我们之前所说,微软和苹果为所有使用其操作系统的客户提供了数据加密功能选项。它让人产生一种加密是免费的错觉。但是您应该同意,笔记本驱动器上的几个 Tb(1012 位)与在公司基础设施中传输和存储的几个 PB(1015 字节)不同!在第一种情况下,用户无法在硬件加密的笔记本上注册一点性能降低;但在第二种情况下,当用户数以千计或数万,交易数量达到数百万时,转移到数据加密上的资源会严重拖慢系统速度。这就是为什么当您为商业选择加密软件和设备时,您应该考虑经济因素,
另一个问题是缺乏透明度的加密。如果没有完全解密,您将无法对加密数据进行临时检查。在网络保护方面,这很棒。但是,如果数据需要检查一致性或符合任何监管要求——好吧,休斯顿,我们就有问题了。很明显,这个问题扰乱了职能分散的企业用户:一个部门创建文档,另一个部门编辑它,第三个部门进行合规性检查,第四个部门将其发布在网站上。数据必须在该链中的每个节点上进行解密、验证和重新加密。尽管可以通过专门设计此过程来最大程度地减少性能下降,但在时间和资源上都非常昂贵。但是,在通过 VPN 传输数据的情况下,一切都变得更加复杂。
通常,当您需要查看通过 VPN 连接传输的数据时,您应该使用“内部入侵”,例如中间人攻击——一种攻击者可以读取、插入和修改在其中传输的数据的黑客行为VPN 随意,通道的任何一方都不知道干预。VPN连接需要中断,数据需要解密和验证,然后应该创建新的隧道,将已经验证的数据通过隧道传输到目的点。一些专家认为,这种选择,特别是在公司规模上,成本高昂,并且至少会产生一个网络故障点。
在过去的几年里,一些包含加密部分透明性的安全解决方案已经出现在 IT 安全市场上。然而,具有这种加密方案的系统的脆弱性问题需要额外的研究。
一个隐藏的危险
缺乏透明度会给用户和系统带来一些更令人不快的惊喜。例如,加密的数据块内部可能包含恶意代码。问题是这种类型的数据是否可以逐点查找和清理,而不影响整个存储或数据流。答案是——不,实际上。为了进行有效的保护,需要在数据加密之前或解密之前检测恶意软件以进行验证。在任何情况下,这都会使过程复杂化并增加成本。这就是为什么企业 IT 部门在估计了实施和支持其基础设施的加密系统的成本后,通常会拒绝这个想法。当然,它会严重影响 IT 安全。
另一个问题是由于使用加密工具而导致的基础设施复杂化。它提供了创建潜在的安全系统故障点,这些故障点可以被黑客检测和使用。企业数据加密由大量活动元素组成,多加几个元素会显着影响安全系统的整体性能。在具有数十个组件的混合云基础架构中,这影响最大——每个额外的组件或流程都会增加失败的可能性以及实施和维护的成本。并非每个企业都为这种情况做好了准备。
这可能听起来自相矛盾,但加密过程需要以与它保护的数据相同的方式进行保护。特别是在使用密钥对加密的情况下。许多企业安全——尤其是基于为喜达屋酒店和万豪国际网络服务的专家提供的材料——证明丢失加密方案的密钥会严重损害其安全性。无论在正常模式下或通过 VPN 是否有数据流到加密保护,始终存在启动加密过程和加密密钥的机制 - 两者都必须存储和保护。因此,像所有其他公司业务流程一样,为加密机制提供安全基础设施以及规划加密保护的整个过程非常重要。
在企业中实施密码学安全系统,您应该专注于每个关键细节,不要过分仓促,并严格按照先前制定的计划行事。这很重要,因为粗心计划的后果可能会对公司造成无法弥补的损害。
加拿大加密货币交易所 QuadrigaCX的先行者就是糟糕计划的一个很好的例子。该公司的首席执行官 Gerald Cotten 将加密密钥存储在他的加密笔记本电脑上。一切都很顺利,直到他突然去世。同时,没有人——没有人——知道密码和密钥。结果,交易所的潜在损失可能达到1.9亿美元,这就是它的客户的钱!到目前为止,这些资金已被冻结,专家们对CEO密码的解决方案感到困惑。
结论
所以,你看,数据加密很困难。一些经理甚至一些 IT 专家都有一种刻板印象,即加密简化为填写几个文本字段并记住密码,——瞧,它就在包里:你和你的数据是完全安全的。没门!与复杂的多级网络安全的所有其他方面一样,加密需要仔细分析、规划、记录和明确实施。当然,在所有阶段都具有很高的能力。只有当所有这些条件都满足时,您才能放松一点,并欣赏密码算法提供的数据保护的优势。
文章链接: https://www.mfisp.com/8122.html
文章标题:为何数据加密保护是最重要的
文章版权:梦飞科技所发布的内容,部分为原创文章,转载请注明来源,网络转载文章如有侵权请联系我们!
