“軍事グレードの暗号化”

その他のセキュリティマーケティングのでたらめ

2019年4月2日•5分読み取り

どこを見ても、企業は「軍事レベルの暗号化」を使用してデータを保護していると言います。”

うわー! それは素晴らしい音! 私にサインアップ! それは軍のために十分だ場合、それは私のために十分です!

またはそれは彼らがあなたが考えることを願っています。 悲しいかな、この主張は、より多くの場合、良好な保護よりも貧しいセキュリティのマークです。

では、”軍事レベルの暗号化”とは正確には何ですか? 軍は異なる感度のための異なる要件を持っており、これらはよく使用される暗号化アルゴリズムを超えて行くので、それは簡単な質問ではあり

そうは言っても、軍が使用可能であると考えられる暗号化アルゴリズムは、NSA Suite B暗号化リストにあります(すぐに置き換えられる予定です)。 一つの特定のアルゴリズム、AESは、リストにあり、広く使用されています。 ケースの99%では、このアルゴリズムは、彼らが”軍事グレードの暗号化”を使用すると主張するとき、人々が意味するものです。”

だから、この主張の何が間違っていますか? AESは悪いですか?

AESは問題ありません(おそらく、より良いオプションがありますが、気にしないでください)。 AESは迷彩ジャケットのようなものです。 ちょうどそれを置き、あなた自身を軍隊の準備ができたと呼ぶことができない。

強力な暗号化アルゴリズムを使用しても、それ自体ではデータが安全であるという意味ではありません。 たとえば、今読んでいるテキストは、AESを使用してあなたに向かう途中で暗号化されました。 これは、URLの「https」のために取得する安全な接続の一部です。 だから、あなたが読んでいるこのテキストは、”軍事グレードの暗号化”によって保護されています。”そして、まだ、誰もがそれを表示することができます。 認証する必要も、鍵を持っている必要も、それを見るために秘密を知っている必要もありませんでした。

このブログで使用されているTLS暗号スイート;すべてはAES

を利用しています。HTTPSから得られる保護は、受動的なネットワークウォッチャーが読んでいるものを見ないようにし、アクティブなネットワーク仲介者がデータの内容を変更しないようにします。 HTTPSはセキュリティに不可欠ですが、データ保護ではありません。 それは関係の保護です。

“軍事レベルの暗号化”の主張があなたに教えてくれないのは:

  1. データを保護するためにどのようなアクセス制御が行われているか、また(データベース管理者などによって)どこでどのようにバイパスできるか。
  2. 暗号化が透過的か不透明か:多くの場合、透過的な暗号化は攻撃者にも透過的です。
  3. AESでは、復号鍵はアクセスを必要とするすべての関係者間で共有されます。 どの質問を頼む:誰がキーを見ることができますか? 誰が今までにアクセスしたことがありますか? キーはどのように保護されていますか?
  4. AESでは、さまざまなトレードオフを持つかなりの数のモードがあります。 どんなモード(GCM、CBC、CTR、等。)が使用されていて、それは適切ですか?
  5. キーは回転していますか? 初期化ベクトル(IVs)は正しく使用されていますか? 乱数生成元はどうですか? それが本当にランダムでない場合、暗号化が侵害される可能性があります。

茶色の金庫の金庫のドア

金庫のドアを想像してみてください。 この事は、一日中ハンマーやバールに耐えることができます。 しかし、それはそれの前面にコードパネルを持っています。 その上に書かれているのは入り口のコードです(人々はとても忘れてしまうことがあります)。 このドアがどれほど強いかは関係ありませんか? いいえ。.

ハッカーはアルゴリズムではなくシステムを攻撃し、これらのシステムには多くの部分があり、アルゴリズムを超えた多くの選択肢があります。

私たちはそれをしている間、良い音とすべての場所で使用され、悪用されるもう一つのデータ保護の主張があります。 そして、ほとんどの場合、それは基本的に無意味です。 主張は次のようになります:

私たちはAES-256…軍事レベルの暗号化であなたのデータを保護します…安静時と輸送中

これはどういう意味ですか? “In transit”はほぼ確実にHTTPSを意味します。 ここで読んでいるデータはAESを使用して暗号化されていると言ったのを覚えていますか? それが彼らがここで言っていることです。 彼らはHTTPSを使用していると言っています。 それは素晴らしいことですが、誰がデータにアクセスできるかを制限するものではありません。

これの他の部分は”安静時”ビットです。 それは有望に聞こえる。 だから、ハッカーがサーバーに入った場合、彼らは暗号化されたデータだけを見つけて、それにアクセスすることができませんよね?

おそらくそうではありません。

残念ながら、これはほぼ確実に意味することは、透過的なディスク暗号化を使用することです。 これは、HTTPSのように、使用することが非常に重要であり、誰もが使用する必要がある技術です。 しかし、それは自慢するものではありません。

透過的なディスク暗号化では、マシンが実行されている場合、暗号化がまったくないかのようになります(したがって”透過的”)。 コンピュータがオフの場合、ハードドライブのデータは無意味なランダムなゴミです。

だから、ポイントは何ですか? 二つのこと:

  1. コンピュータの外にハードドライブを盗む誰もが素敵なハードドライブを取得しますが、その上のデータのどれも。
  2. 何らかの理由でハードドライブに障害が発生した場合、データを消去するために蘇生したり、廃棄する前に物理的に破壊したりする必要はなくなりま

“軍事レベルの暗号化”と同じように、ここであなたが持っているのは、ハッカーや他の人があなたのデータを見ないようにする保護層であるように、こ

結論

あなたはこれらのフレーズを不快なマーケティングの人々によって生成されたものとして却下することができますが、一つのことのために: セキュリティと暗号化企業は最悪の犯罪者の一部です。 私の心の中では、これは顧客の顔に煙を吹くための意図的な動きです。

“輸送中および安静時”および/または”軍事グレードの暗号化”を使用して暗号化の自慢誰もが、彼らは彼らの正面玄関をロックすることを自慢しています。 そのような人はおそらく良いロック、警報システムを持っていない、そしてそれは彼らがマットの下に鍵を持っている可能性が高いです。 誰が基本的なことをすることについて自慢しているからですか? あなたはこれらの主張が表示された場合は、それらを作る会社のセキュリティを心配する必要があります。 おれは.

コメントを残す

メールアドレスが公開されることはありません。