“versleuteling van militaire kwaliteit”

en andere security marketing bullshit

2 Apr. 2019 * 5 min. lezen

overal waar ik kijk, bedrijven zeggen dat ze gegevens te beschermen met behulp van ” militaire-grade encryptie.”

Wow! Dat klinkt fantastisch! Schrijf me in! Als het goed genoeg is voor het leger, dan is het goed genoeg voor mij!

of dat is wat ze hopen dat je denkt. Helaas is deze bewering vaker het teken van slechte veiligheid dan van goede bescherming.

Wat is “encryptie van militaire kwaliteit”? Dat is geen eenvoudige vraag, omdat het leger verschillende eisen heeft voor verschillende gevoeligheden en deze gaan veel verder dan het gebruikte encryptie-algoritme.

de versleutelingsalgoritmen die door het leger als bruikbaar worden beschouwd, staan echter in de cryptografische lijst van de NSA Suite B (die binnenkort zal worden vervangen). Een specifiek algoritme, AES, staat op de lijst en wordt veel gebruikt. In 99% van de gevallen, dit algoritme is wat mensen bedoelen als ze beweren dat ze gebruik maken van ” militaire-grade encryptie.”

Wat is er mis met deze claim? Is AES slecht?

AES is prima (misschien zijn er betere opties, maar laat maar). AES is als een camouflage jas. Je kunt het niet aandoen en jezelf militair paraat noemen.

het gebruik van een sterk versleutelingsalgoritme betekent op zich niet dat gegevens veilig zijn. Bijvoorbeeld, de tekst die u nu leest werd versleuteld op weg naar u met behulp van AES. Het is een deel van de beveiligde verbinding die je krijgt als gevolg van de “https” in de URL. Dus deze tekst die je leest is beschermd door ” militaire-grade cryptografie.”En toch kan iedereen het zien. Je hoefde je niet te authenticeren, of een sleutel te hebben, of een geheim te kennen om het te zien.

TLS cipher suites gebruikt door deze blog; Alle gebruiken AES

de bescherming die u krijgt van HTTPS houdt een passieve netwerk watcher van zien wat je leest en een actieve netwerk intermediair van het veranderen van de inhoud van de gegevens als het zijn weg naar u. HTTPS is essentieel voor beveiliging, maar het is geen gegevensbescherming. Het is verbindingsbeveiliging.

wat de” militaire-grade encryption ” – claim u niet vertelt is:

  1. welke toegangscontroles, indien van toepassing, zijn ingesteld om de gegevens te beschermen, noch waar of hoe ze kunnen worden omzeild (bijvoorbeeld door een databasebeheerder).
  2. of de versleuteling transparant of ondoorzichtig is: in veel gevallen is transparante versleuteling ook transparant voor aanvallers.
  3. met AES wordt de decryptie sleutel gedeeld tussen alle partijen die toegang nodig hebben. Dat roept de vragen op: wie kan de sleutel(s) zien? Wie heeft er ooit toegang gehad? Hoe worden de sleutels beschermd?
  4. met AES zijn er nogal wat modi met verschillende afwegingen. Welke modus (GCM, CBC, CTR, enz.) wordt gebruikt en is het geschikt?
  5. worden sleutels geroteerd? Worden initialisatievectoren (IVs) correct gebruikt? Hoe zit het met de willekeurige nummergeneratie bron? Als het niet echt willekeurig, de encryptie kan worden aangetast.

bruine veilige kluis deur

stel je een deur naar een kluis voor. Dit ding kan de hele dag mokers en koevoet weerstaan. Maar het heeft een codepaneel aan de voorkant. Hierboven staat de toegangscode geschreven (mensen kunnen zo vergeetachtig zijn, weet je). Maakt het uit hoe sterk deze deur is? Geen.

Hackers vallen systemen aan, niet algoritmen, en er zijn veel onderdelen aan deze systemen en veel keuzes buiten het algoritme.

terwijl we toch bezig zijn, is er nog een claim voor gegevensbescherming die goed klinkt en overal gebruikt en misbruikt wordt. En meestal is het eigenlijk zinloos. De claim ziet er ongeveer zo uit:

Wij beschermen uw gegevens met AES-256… encryptie van militaire kwaliteit … in rust en in doorvoer

dus wat betekent dit? “In transit” betekent vrijwel zeker HTTPS. Weet je nog dat ik eerder zei dat de data die je hier leest versleuteld was met AES? Dat zeggen ze hier. Ze zeggen dat ze HTTPS gebruiken. Begrijp me niet verkeerd, dat is geweldig, maar het beperkt niet wie toegang heeft tot de gegevens.

het andere deel hiervan is de” in rust ” bit. Dat klinkt veelbelovend. Dus als een hacker in een server komt, zullen ze alleen versleutelde data vinden en er geen toegang toe hebben, toch?

waarschijnlijk niet.

helaas betekent dit vrijwel zeker dat ze transparante schijfversleuteling gebruiken. Dat is een technologie die, net als HTTPS, is super belangrijk om te gebruiken en moet worden gebruikt door iedereen. Maar het is niets om over op te scheppen.

met transparante schijfversleuteling, als de machine draait, is het alsof er helemaal geen versleuteling is (vandaar “transparant”). Wanneer de computer is uitgeschakeld, de harde schijf gegevens is zinloos willekeurige vuilnis.

dus wat is het punt? Twee dingen:

  1. iedereen die een harde schijf uit een computer steelt, krijgt een mooie harde schijf, maar geen van de gegevens erop.
  2. als een harde schijf om een of andere reden uitvalt, hoeft deze niet meer te worden gereanimeerd om de gegevens te wissen of anders fysiek te worden vernietigd voordat deze wordt weggegooid.

net als bij “militaire-grade encryptie,” wat je hier hebt is mensen die opscheppen over het doen van de basis — het minimum dat mogelijk is in deze dag en leeftijd — en het laten klinken alsof het een laag van bescherming is die hackers of anderen van het bekijken van uw gegevens zou weerhouden.

conclusie

u zou deze zinnen kunnen verwerpen als iets dat gegenereerd wordt door onnavolgbare marketingmensen, maar voor één ding: beveiliging en cryptografie bedrijven zijn enkele van de ergste overtreders. In mijn gedachten is dit een opzettelijke zet om rook in het gezicht van klanten te blazen.

iedereen die opschept over het versleutelen van ” onderweg en in rust “en/of het gebruik van” militaire versleuteling ” schept op dat ze hun voordeur op slot doen. Zo ‘ n persoon heeft waarschijnlijk geen goed slot, een alarmsysteem, en het is waarschijnlijk dat ze een sleutel onder de mat hebben. Want wie schept er nou op over het doen van fundamentele dingen? Als u deze claims ziet, moet u zich zorgen maken over de veiligheid van het bedrijf dat ze maakt. Dat ben ik.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.