“katonai szintű titkosítás”

egyéb biztonsági marketing baromságok

ápr 2, 2019 * 5 perc olvasás

bárhová nézek, a vállalatok azt mondják, hogy “katonai szintű titkosítással” védik az adatokat.”

Wow! Ez fantasztikusan hangzik! Iratkozz fel! Ha ez elég jó a hadseregnek, akkor elég jó nekem is!

vagy azt remélik, hogy gondolod. Sajnos ez az állítás gyakrabban a rossz biztonság, mint a jó védelem jele.

tehát mi is pontosan a “katonai szintű titkosítás”? Ez nem egyszerű kérdés, mivel a hadseregnek különböző követelményei vannak a különböző érzékenységekre, és ezek messze túlmutatnak az alkalmazott titkosítási algoritmuson.

ennek ellenére a katonaság által használhatónak tartott titkosítási algoritmusok szerepelnek az NSA Suite B kriptográfiai listáján (hamarosan felváltják). Egy speciális algoritmus, az AES szerepel a listán, és széles körben használják. Az esetek 99%-ában erre az algoritmusra gondolnak az emberek, amikor azt állítják, hogy “katonai szintű titkosítást” használnak.”

tehát mi a baj ezzel az állítással? Az AES rossz?

az AES rendben van (vitathatatlanul vannak jobb lehetőségek, de nem fontos). Az AES olyan, mint egy álcázó kabát. Nem veheted fel, és nevezheted magad katonának.

az erős titkosítási algoritmus használata önmagában nem jelenti azt, hogy az adatok biztonságosak. Például a most olvasott szöveget titkosították az AES használatával. Ez a Biztonságos kapcsolat része, amelyet az URL-ben található “https” miatt kap. Tehát ezt a szöveget, amit olvasol, a “katonai szintű kriptográfia” védi.”És mégis, bárki megnézheti. Nem kellett hitelesítenie, vagy kulcsa van, vagy tudnia kell egy titkot, hogy lássa.

TLS cipher suites által használt ezt a blogot; minden hasznosítani AES

a védelem kapsz HTTPS tartja a passzív hálózati figyelő látni, amit olvasol, és egy aktív hálózati közvetítő a változó az adatok tartalmát, mert teszi az utat az Ön számára. A HTTPS elengedhetetlen a biztonság szempontjából, de nem Adatvédelem. Ez a kapcsolat védelme.

amit a” katonai szintű titkosítás ” állítás nem mond el:

  1. milyen hozzáférési vezérlők vannak érvényben az adatok védelme érdekében, illetve hol és hogyan lehet azokat megkerülni (például egy adatbázis-adminisztrátor által).
  2. hogy a titkosítás átlátszó vagy átlátszatlan-e: sok esetben az átlátszó titkosítás a támadók számára is átlátszó.
  3. az AES segítségével a visszafejtési kulcs meg van osztva az összes hozzáférésre szoruló fél között. Ami felveti a kérdést: Ki láthatja a kulcs(oka) t? Kinek volt valaha hozzáférése? Hogyan védik a kulcs(oka) t?
  4. az AES, van jó néhány mód különböző kompromisszumok. Milyen mód (GCM, CBC, CTR stb. használják – e és helyénvaló-e?
  5. el vannak forgatva a kulcsok? Helyesen használják az inicializálási vektorokat (IVs)? Mi a helyzet a véletlenszám-generáló forrással? Ha nem igazán véletlenszerű, akkor a titkosítás veszélybe kerülhet.

Barna biztonságos boltozat ajtó

Képzeljen el egy ajtót egy boltozathoz. Ez az izé egész nap kibírja a kalapácsokat és a feszítővasakat. De van egy kódpanel az elején. Fent írva ez a bejárati kód (az emberek annyira feledékenyek lehetnek, tudod). Számít, milyen erős ez az ajtó? Nem.

a hackerek rendszereket támadnak, nem algoritmusokat, és ezeknek a rendszereknek sok része van, és sok választási lehetőség van az algoritmuson túl.

ha már itt tartunk, van még egy adatvédelmi igény, amely jól hangzik, és mindenhol használják és visszaélnek. És az idő nagy részében alapvetően értelmetlen. Az állítás így néz ki:

az Ön adatait AES-256… katonai szintű titkosítással védjük… nyugalomban és tranzitban

tehát mit jelent ez? A “tranzit” szinte biztosan HTTPS-t jelent. Emlékszel, hogy korábban azt mondtam, hogy az itt olvasott adatokat AES segítségével titkosították? Itt is ezt mondják. Azt mondják, hogy HTTPS-t használnak. Ne érts félre, ez nagyszerű, de nem korlátozza, hogy ki férhet hozzá az adatokhoz.

ennek másik része a “nyugalmi” bit. Ez ígéretesnek hangzik. Tehát ha egy hacker bejut egy szerverre, csak titkosított adatokat talál, és nem tud hozzáférni, igaz?

valószínűleg nem.

sajnos ez szinte biztosan azt jelenti, hogy átlátszó lemez titkosítást használnak. Ez egy olyan technológia, amelyet a HTTPS-hez hasonlóan rendkívül fontos használni, és mindenkinek használnia kell. De nincs mit dicsekedni.

átlátszó lemez titkosítással, ha a gép fut, olyan, mintha egyáltalán nincs titkosítás (ezért “átlátszó”). Amikor a számítógép ki van kapcsolva, a merevlemez adatai értelmetlen véletlenszerű szemetet jelentenek.

tehát mi értelme? Két dolog:

  1. bárki, aki merevlemezt lop ki a számítógépből, kap egy szép merevlemezt, de a rajta lévő adatok egyike sem.
  2. ha a merevlemez valamilyen okból meghibásodik, akkor már nem kell újraéleszteni az adatok törléséhez, vagy fizikailag megsemmisíteni, mielőtt eldobná.

csakúgy, mint a “katonai szintű titkosítás” esetében, itt is az emberek dicsekednek azzal, hogy elvégzik az alapokat-a lehető legkevesebbet ebben a korban—, és úgy hangzik, mintha ez egy olyan védelmi réteg lenne, amely megakadályozza a hackereket vagy másokat az adatok megtekintésében.

következtetés

elutasíthatja ezeket a kifejezéseket, mint valami, amit a rosszindulatú marketing emberek generálnak, de egy dologért: a biztonsági és kriptográfiai vállalatok a legrosszabb elkövetők közé tartoznak. Az elmémben ez egy szándékos lépés, hogy füstöt fújjon az ügyfelek előtt.

bárki, aki azzal kérkedik, hogy “tranzitban és nyugalomban” titkosítja és / vagy “katonai szintű titkosítást” használ, azzal kérkedik, hogy bezárja a bejárati ajtót. Az ilyen embernek valószínűleg nincs jó zárja, riasztórendszere, és valószínűleg van kulcsa a szőnyeg alatt. Mert ki dicsekszik az alapvető dolgok elvégzésével? Ha látja ezeket az állításokat, aggódnia kell az őket készítő vállalat biztonsága miatt. Az vagyok.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.