„criptare grad militar”

și alte prostii de marketing de securitate

Aprilie 2 · 2019 * 5 min citit

oriunde mă uit, companiile spun că protejează datele folosind ” criptarea militară.”

Uau! Sună fantastic! Înscrie-mă! Dacă e destul de bun pentru armată, atunci e destul de bun și pentru mine!

sau asta speră să crezi. Din păcate, această afirmație este mai des semnul securității slabe decât al unei bune protecții.

deci, ce este exact „criptare de grad militar”? Aceasta nu este o întrebare simplă, deoarece armata are cerințe diferite pentru sensibilități diferite și acestea depășesc cu mult algoritmul de criptare utilizat.

acestea fiind spuse, algoritmii de criptare considerați a fi utilizabili de către militari se află în lista de criptografie NSA Suite B (care va fi înlocuită în curând). Un algoritm specific, AES, este pe listă și utilizat pe scară largă. În 99% din cazuri, acest algoritm este ceea ce înseamnă oamenii atunci când susțin că folosesc „criptare de grad militar.”

deci, ce este în neregulă cu această afirmație? Este AES rău?

AES este bine (fără îndoială, există opțiuni mai bune, dar nevermind). AES este ca o jachetă de camuflaj. Nu poți să-l pui și să te numești pregătit militar.

utilizarea unui algoritm puternic de criptare nu înseamnă, în sine, că datele sunt sigure. De exemplu, textul pe care îl citiți chiar acum a fost criptat în drum spre dvs. folosind AES. Este o parte a conexiunii securizate pe care o obțineți din cauza „https” din adresa URL. Deci, acest text pe care îl citiți este protejat de „criptografie de grad militar.”Și totuși, oricine o poate vedea. Nu trebuia să te autentifici sau să ai o cheie sau să știi un secret pentru a o vedea.

TLS Cipher suites utilizate de acest blog; Toate utilizează AES

protecția pe care o obțineți de la HTTPS împiedică un observator pasiv de rețea să vadă ceea ce citiți și un intermediar activ de rețea să schimbe conținutul datelor pe măsură ce se îndreaptă spre dvs. HTTPS este esențial pentru securitate, dar nu este protecția datelor. Este protecția conexiunii.

ceea ce revendicarea „criptării de grad militar” nu vă spune este:

  1. ce controale de acces, dacă există, sunt în vigoare pentru a proteja datele și nici unde și cum pot fi ocolite (de exemplu, de către un administrator de baze de date).
  2. dacă criptarea este transparentă sau opacă: în multe cazuri, criptarea transparentă este transparentă și pentru atacatori.
  3. cu AES, cheia de decriptare este partajată între toate părțile care au nevoie de acces. Ceea ce ridică întrebările: cine poate vedea Cheia(Cheile)? Cine a avut vreodată acces? Cum sunt protejate cheile?
  4. cu AES, există destul de multe moduri cu diverse compromisuri. Ce mod (GCM, CBC, CTR etc.) este folosit și este potrivit?
  5. tastele sunt rotite? Vectorii de inițializare (IV) sunt utilizați corect? Cum rămâne cu sursa de generare a numerelor aleatorii? Dacă nu este cu adevărat aleator, criptarea poate fi compromisă.

Brown seif ușă

Imaginați-vă o ușă la un seif. Acest lucru poate rezista baros și rangă toată ziua. Dar are un panou de cod pe partea din față a acestuia. Scris mai sus, care este codul de intrare (oamenii pot fi atât de uituc, știi). Contează cât de puternică e ușa asta? Nu.

hackerii atacă sisteme, nu algoritmi, și există multe părți ale acestor sisteme și multe opțiuni dincolo de algoritm.

în timp ce suntem la el, există încă o afirmație privind protecția datelor care sună bine și este folosită și abuzată peste tot. Și de cele mai multe ori, este practic lipsit de sens. Afirmația arată cam așa:

vă protejăm datele cu AES-256… criptare de grad militar … în repaus și în tranzit

deci, ce înseamnă asta? „În tranzit” înseamnă aproape sigur HTTPS. Amintiți-vă cum am spus mai devreme că datele pe care le citiți aici au fost criptate folosind AES? Asta spun ei aici. Ei spun că folosesc HTTPS. Nu mă înțelegeți greșit, este minunat, dar nu limitează cine poate accesa datele.

cealaltă parte a acestui lucru este bitul „în repaus”. Sună promițător. Deci, dacă un hacker intră într-un server, va găsi doar date criptate și nu le va putea accesa, nu?

probabil că nu.

din păcate, ceea ce înseamnă aproape sigur este că folosesc criptarea transparentă a discului. Aceasta este o tehnologie care, la fel ca HTTPS, este foarte importantă de utilizat și ar trebui utilizată de toată lumea. Dar nu este nimic de lăudat.

cu criptare disc transparent, în cazul în care aparatul se execută, este ca și cum nu există nici o criptare la toate (prin urmare, „transparent”). Când computerul este oprit, datele de pe hard disk sunt gunoi aleatoriu fără sens.

Deci ce rost are? Două lucruri:

  1. oricine fură un hard disk dintr-un computer va primi un hard disk frumos, dar niciuna dintre datele de pe acesta.
  2. dacă un hard disk eșuează din anumite motive, nu mai trebuie resuscitat pentru a șterge datele sau altfel distrus fizic înainte de a le arunca.

la fel ca în cazul „criptării de grad militar”, ceea ce aveți aici este că oamenii se laudă că fac elementele de bază-minimul posibil în această zi și vârstă — și fac să pară că este un strat de protecție care ar împiedica hackerii sau alții să vă vizualizeze datele.

concluzie

ai putea respinge aceste fraze ca ceva generat de oameni de marketing unsavvy, dar pentru un singur lucru: companiile de securitate și criptografie sunt unele dintre cele mai grave infractori. În mintea mea, aceasta este o mișcare intenționată de a sufla fum în fața clienților.

oricine se laudă că criptează „în tranzit și în repaus” și/sau folosește „criptare de grad militar” se laudă că își blochează ușa din față. O astfel de persoană, probabil, nu are un sistem de blocare bun, un sistem de alarmă, și este probabil că au o cheie sub saltea. Pentru că cine se laudă că face lucruri de bază? Dacă vedeți aceste afirmații, ar trebui să vă faceți griji cu privire la securitatea companiei care le face. Sunt.

Lasă un răspuns

Adresa ta de email nu va fi publicată.