WWII谜机器

“军方加密”

还有其他狗屁安全营销

我所看到的各处,公司都认为他们使用“军用级加密”来保护数据。

哇!这听起来太棒了!签了我!如果对军队来说够好,那对我来说也够好!

或者这就是他们希望的想法。唉,这一索赔往往是安全差的标志,而不是良好的保护。

那么究竟是什么“军事级加密”?这不是一个简单的问题,因为军方对不同的敏感性的不同要求,并且这些远程超出了所使用的加密算法。

也就是说,被认为是由军队使用的加密算法在NSA中套件B密码学列表(很快被替换)。一种特定的算法AES在列表中并广泛使用。在99%的病例中,当他们声称他们使用“军用级加密”时,这种算法是人们的意思。

那么这个说法有什么问题呢?AES是坏事?

AES是好的(可以说,有更好的选择,但别介意)。AES就像一件迷彩外套。你不能戴上它就说你已经做好了军事准备。

使用强的加密算法本身并不是平均数据是安全的。例如,您正在阅读的文本现在在使用AES的路上加密。由于URL中的“HTTPS”,它是您获得的安全连接的一部分。因此,您正在阅读的文本受“军事级密码学”的保护。然而,任何人都可以看到它.您没有验证或有一个密钥,或者知道秘密。

TLS本博客使用的密码套件;所有使用AES.

你从HTTPS获得的保护可以防止被动的网络观察者看到你正在阅读的内容,主动的网络中介在数据到达你的时候不会改变数据的内容。HTTPS对于安全性至关重要,但它不是数据保护。它是连接保护。

“军事级加密”索赔不告诉你是什么:

  1. 如果有的话,如果有的话,则无法保护数据,也可以在其中或如何绕过它们(例如,通过数据库管理员)。
  2. 加密是透明的还是不透明的:在很多情况下,透明加密对攻击者来说也是透明的。
  3. 使用AES,解密密钥在需要访问的所有各方之间共享。这就引出了一个问题:谁能看到钥匙?谁有过权限?密钥是如何保护的?
  4. 凭AES,有很多模式具有各种权衡。正在使用哪种模式(GCM,CBC,CTR等),合适吗?
  5. 钥匙旋转吗?是否正确使用初始化向量(IVS)?随机数生成源怎么样?如果它不是真正随机的,则可以泄露加密。
布朗安全金库门

想象一扇通往金库的门。这东西整天都能经受住大锤和撬棍的打击。但它的前面有一个代码面板。上面写的是入学密码(你知道,人有时很健忘)。这扇门有多坚固有关系吗?不。

黑客攻击系统,而不是算法,这些系统有许多零件以及超出算法的许多选择。

“休息和过境”

当我们谈到它的时候,还有一个数据保护声明听起来很好,但却被到处使用和滥用。大多数时候,它基本上是没有意义的。声明看起来是这样的:

我们用AES-256保护您的数据…军用级加密…在休息和运输中

那么这是什么意思?“在运输过程中”几乎肯定意味着HTTPS。请记住,我说的是多么早在这里使用AES加密数据?这就是他们在这里的说法。他们说他们使用HTTPS。不要让我错了,这很棒,但它不会限制谁可以访问数据。

这的另一部分是“休息”位。这听起来很有希望。因此,如果黑客进入服务器,他们只会发现加密数据并无法访问它,对吧?

可能不会。

不幸的是,这几乎肯定意味着他们使用透明的磁盘加密。像HTTPS一样,这是一种非常重要的技术,每个人都应该使用它。但这没什么好炫耀的。

凭借透明的磁盘加密,如果机器正在运行,那就好像根本没有加密(因此“透明”)。当计算机关闭时,硬盘驱动器数据无意义的随机垃圾。

那么重点是什么呢?两件事:

  1. 任何偷窃电脑的硬盘都会得到一个很好的硬盘,但没有任何数据。
  2. 如果一个硬盘由于某种原因失败,则需要重新播种以擦除数据,或者在将其扔掉之前擦除物理销毁的数据。

就像“军事级加密”一样,您在这里有什么人们吹牛,这些人在做基础上 - 这一天和年龄的最低可能性 - 并使它听起来像它是一层保护,可以让黑客或他人查看黑客观看你的数据

结论

你可能会认为这些短语是不懂营销的人说的,但有一点是肯定的:安全和密码公司是最严重的冒犯者之一。在我看来,这是故意在顾客面前抽烟。

[笔记:我们决定羞辱公司在这里会分散注意力,但你可以谷歌很容易地。]

任何吹嘘加密“在ristit和休息”和/或使用“军用级加密”的人都吹嘘他们锁定他们的前门.这样的人可能没有好的锁,警报系统,而且他们很可能在垫子下有一把钥匙。因为谁会吹嘘自己会做一些基本的事情呢?如果你看到这些声明,你应该担心制造它们的公司的安全。我是。

关于Patrick Walsh.
我在网络安全,隐私,加密,法律和上述所有内容上写作和策划文章。我也是Ironcore Labs的首席执行官,一个数据隐私平台有助于带来客户(企业和消费者)对数据的控制.想了解更多这类内容,请关注我们的出版物,咸哈希.要了解有关Ironcore Labs还是联系,请访问我们https://www.fmgroupng.com

If you enjoyed this post, please click the button to help others find it! Feedback, critiques, and debate are all welcome.

咸哈希

关于构建安全的提示、技巧、指针和透视图…

写的

学者,梦想家,创造者,冒险家,黑客,领导者和观察者。倡导隐私和安全。CEO Ironcore实验室。

咸哈希

关于构建安全、可测试、可维护的应用程序的提示、技巧、指针和观点。来自IronCore实验室的关于安全和隐私的想法和观察。

写的

学者,梦想家,创造者,冒险家,黑客,领导者和观察者。倡导隐私和安全。CEO Ironcore实验室。

咸哈希

关于构建安全、可测试、可维护的应用程序的提示、技巧、指针和观点。来自IronCore实验室的关于安全和隐私的想法和观察。

媒介是一个开放的平台,17亿读者来寻找洞察力和动态的思维。在这里,专家和未被发现的声音相似地潜入任何主题的核心,并将新的想法带到表面上。学到更多

遵循对您有关的作家,出版物和主题,您将在您的主页和收件箱中看到它们。探索

如果你有故事要讲,有知识要分享,有观点要提供,欢迎回家。发布你对任何话题的想法都是很容易和免费的。开始博客

获取媒体应用程序

一个按钮,称“在App Store上下载”,如果点击它将导致您到iOS App Store
一个按钮,上面写着“Get it on,谷歌Play”,如果点击它,你就会进入谷歌Play商店