“军方加密”
我所看到的各处,公司都认为他们使用“军用级加密”来保护数据。
哇!这听起来太棒了!签了我!如果对军队来说够好,那对我来说也够好!
或者这就是他们希望的想法。唉,这一索赔往往是安全差的标志,而不是良好的保护。
那么究竟是什么“军事级加密”?这不是一个简单的问题,因为军方对不同的敏感性的不同要求,并且这些远程超出了所使用的加密算法。
也就是说,被认为是由军队使用的加密算法在NSA中套件B密码学列表(很快被替换)。一种特定的算法AES在列表中并广泛使用。在99%的病例中,当他们声称他们使用“军用级加密”时,这种算法是人们的意思。
那么这个说法有什么问题呢?AES是坏事?
AES是好的(可以说,有更好的选择,但别介意)。AES就像一件迷彩外套。你不能戴上它就说你已经做好了军事准备。
使用强的加密算法本身并不是平均数据是安全的。例如,您正在阅读的文本现在在使用AES的路上加密。由于URL中的“HTTPS”,它是您获得的安全连接的一部分。因此,您正在阅读的文本受“军事级密码学”的保护。然而,任何人都可以看到它.您没有验证或有一个密钥,或者知道秘密。
你从HTTPS获得的保护可以防止被动的网络观察者看到你正在阅读的内容,主动的网络中介在数据到达你的时候不会改变数据的内容。HTTPS对于安全性至关重要,但它不是数据保护。它是连接保护。
“军事级加密”索赔不告诉你是什么:
- 如果有的话,如果有的话,则无法保护数据,也可以在其中或如何绕过它们(例如,通过数据库管理员)。
- 加密是透明的还是不透明的:在很多情况下,透明加密对攻击者来说也是透明的。
- 使用AES,解密密钥在需要访问的所有各方之间共享。这就引出了一个问题:谁能看到钥匙?谁有过权限?密钥是如何保护的?
- 凭AES,有很多模式具有各种权衡。正在使用哪种模式(GCM,CBC,CTR等),合适吗?
- 钥匙旋转吗?是否正确使用初始化向量(IVS)?随机数生成源怎么样?如果它不是真正随机的,则可以泄露加密。
想象一扇通往金库的门。这东西整天都能经受住大锤和撬棍的打击。但它的前面有一个代码面板。上面写的是入学密码(你知道,人有时很健忘)。这扇门有多坚固有关系吗?不。
黑客攻击系统,而不是算法,这些系统有许多零件以及超出算法的许多选择。
“休息和过境”
当我们谈到它的时候,还有一个数据保护声明听起来很好,但却被到处使用和滥用。大多数时候,它基本上是没有意义的。声明看起来是这样的:
我们用AES-256保护您的数据…军用级加密…在休息和运输中
那么这是什么意思?“在运输过程中”几乎肯定意味着HTTPS。请记住,我说的是多么早在这里使用AES加密数据?这就是他们在这里的说法。他们说他们使用HTTPS。不要让我错了,这很棒,但它不会限制谁可以访问数据。
这的另一部分是“休息”位。这听起来很有希望。因此,如果黑客进入服务器,他们只会发现加密数据并无法访问它,对吧?
可能不会。
不幸的是,这几乎肯定意味着他们使用透明的磁盘加密。像HTTPS一样,这是一种非常重要的技术,每个人都应该使用它。但这没什么好炫耀的。
凭借透明的磁盘加密,如果机器正在运行,那就好像根本没有加密(因此“透明”)。当计算机关闭时,硬盘驱动器数据无意义的随机垃圾。
那么重点是什么呢?两件事:
- 任何偷窃电脑的硬盘都会得到一个很好的硬盘,但没有任何数据。
- 如果一个硬盘由于某种原因失败,则需要重新播种以擦除数据,或者在将其扔掉之前擦除物理销毁的数据。
就像“军事级加密”一样,您在这里有什么人们吹牛,这些人在做基础上 - 这一天和年龄的最低可能性 - 并使它听起来像它是一层保护,可以让黑客或他人查看黑客观看你的数据.
结论
你可能会认为这些短语是不懂营销的人说的,但有一点是肯定的:安全和密码公司是最严重的冒犯者之一。在我看来,这是故意在顾客面前抽烟。
[笔记:我们决定羞辱公司在这里会分散注意力,但你可以谷歌很容易地。]
任何吹嘘加密“在ristit和休息”和/或使用“军用级加密”的人都吹嘘他们锁定他们的前门.这样的人可能没有好的锁,警报系统,而且他们很可能在垫子下有一把钥匙。因为谁会吹嘘自己会做一些基本的事情呢?如果你看到这些声明,你应该担心制造它们的公司的安全。我是。
关于Patrick Walsh.
我在网络安全,隐私,加密,法律和上述所有内容上写作和策划文章。我也是Ironcore Labs的首席执行官,一个数据隐私平台有助于带来客户(企业和消费者)对数据的控制.想了解更多这类内容,请关注我们的出版物,咸哈希.要了解有关Ironcore Labs还是联系,请访问我们https://www.fmgroupng.com.
