一直以來,密碼技術(shù)都被認(rèn)為是一種有效保護(hù)數(shù)據(jù),避免未經(jīng)授權(quán)訪問的有效技術(shù)。但隨著密碼分析技術(shù)不斷改進(jìn)以及計算能力不斷增強(qiáng),很多曾經(jīng)有效的加密方案變得不再可靠,加密算法的有效性和可靠性因此受到多方面的挑戰(zhàn)。
實現(xiàn)強(qiáng)加密防護(hù)的要素
實現(xiàn)強(qiáng)加密安全防護(hù)需要包括強(qiáng)加密密鑰、強(qiáng)大的數(shù)學(xué)算法和復(fù)雜的加密過程等諸多關(guān)鍵要素,其中:
?強(qiáng)加密密鑰是用于加密的密碼。密碼越長或越復(fù)雜,就越難被攻擊者破解。然而,現(xiàn)代計算機(jī)系統(tǒng)所采用的二進(jìn)制計數(shù)方式,導(dǎo)致加密密鑰很難具備充分的復(fù)雜性,因此只能在長度上進(jìn)行彌補。大多數(shù)強(qiáng)加密密鑰需要至少128位(128個0和1的組合)。
?強(qiáng)大的數(shù)學(xué)算法是指使用密鑰為簡單數(shù)學(xué)方法組成的算法饋入信息。當(dāng)前的加密算法普遍使用了橢圓上的點、大素數(shù)乘法或?qū)Σ糠謹(jǐn)?shù)據(jù)實現(xiàn)異或(XOR)邏輯操作作為算法的基礎(chǔ)。
?復(fù)雜的加密過程是指通過多輪加密來對需要保護(hù)的數(shù)據(jù)集綜合使用多種復(fù)雜的加密密鑰和數(shù)學(xué)算法。比如說,Blowfish算法使用簡單的XOR函數(shù),并在16輪加密中每一輪執(zhí)行這四個操作:
1.對數(shù)據(jù)的左半部分與18項p數(shù)組執(zhí)行XOR操作。
2.使用XOR數(shù)據(jù)作為f函數(shù)的輸入(用于轉(zhuǎn)換數(shù)據(jù))。
3.對f函數(shù)的輸出與數(shù)據(jù)的右半部分執(zhí)行XOR操作。
4.交換結(jié)果的左右兩半部分,作為下一輪加密的輸入。
以上所述的每個要素都能夠單獨提供部分保護(hù)能力。而將密鑰、算法和加密過程共同整合,就可以最大程度確保加密過程的完整性和強(qiáng)壯性。需要強(qiáng)調(diào)的是,強(qiáng)加密防護(hù)的最大特點是會對被保護(hù)數(shù)據(jù)進(jìn)行轉(zhuǎn)換以防止被竊取,而不僅是屏蔽數(shù)據(jù),或只在數(shù)據(jù)輸出時進(jìn)行防篡改檢查。
每種加密技術(shù)在開始應(yīng)用時都被認(rèn)為是難以破解的,比如說早期的加密算法DES使用64位數(shù)據(jù)塊加密,采用16輪加密,密鑰只有56位。隨著算力增強(qiáng),它就很容易被蠻力猜測破解。1997年,AES加密算法逐步取代了DES,將數(shù)據(jù)塊大小增加到128位,使用10到14輪加密,并將密鑰大小增加到至少128位。但美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)已經(jīng)發(fā)出提醒,量子計算可能會在未來20年讓AES岌岌可危。
實現(xiàn)強(qiáng)加密防護(hù)的建議
與網(wǎng)絡(luò)安全其他領(lǐng)域的安全工具一樣,密碼技術(shù)部署不當(dāng)會大大削弱其應(yīng)有的能力。為了獲得可靠的加密防護(hù)效果,企業(yè)的安全團(tuán)隊?wèi)?yīng)該根據(jù)業(yè)務(wù)發(fā)展的實際需求,選用適當(dāng)?shù)募用芗夹g(shù),并在應(yīng)用實踐中參考一下建議:
1全面了解企業(yè)的加密環(huán)境
要實現(xiàn)強(qiáng)加密保護(hù),安全團(tuán)隊首先需要全面評估和了解整個組織的加密措施應(yīng)用情況,以取代過時的保護(hù)措施,并確保其他加密最佳實踐的普遍應(yīng)用。就像資產(chǎn)發(fā)現(xiàn)或數(shù)據(jù)分析等其他任何安全實踐一樣,對不可見的資產(chǎn)是無法進(jìn)行監(jiān)控和保護(hù)。
同樣,將當(dāng)前加密數(shù)據(jù)的使用情況與整個組織的數(shù)據(jù)使用情況進(jìn)行比較。幾乎所有組織都對服務(wù)器采用全磁盤加密,以保護(hù)重要的靜態(tài)數(shù)據(jù),但敏感數(shù)據(jù)需要持續(xù)保護(hù),數(shù)據(jù)使用可能需要額外的文件、電子郵件或數(shù)據(jù)庫加密。
2使用可以支持的最長加密密鑰
要實現(xiàn)強(qiáng)加密保護(hù)格外強(qiáng)調(diào)密碼長度的重要性,但關(guān)鍵問題是如何設(shè)定密碼長度的最大值和最小值的合理范圍。過去,密碼長度受到限制是為了適應(yīng)存儲需求。但現(xiàn)在,隨著散列值的存儲,大小限制變得非常寬松,允許使用強(qiáng)而復(fù)雜的密碼。
此外,企業(yè)還可以采用密碼管理器或集中式加密管理,以彌補密碼遺忘的問題,并增加算力,以抵消操作方面的限制。通常情況下,鑰匙越長,安全性越高。
然而,加長的加密密鑰也一定程度增加了密碼應(yīng)用的成本,一些組織無力為所有數(shù)據(jù)使用最強(qiáng)的加密選項。最好的方法通常是將要保護(hù)的數(shù)據(jù)存放在特定的系統(tǒng),然后針對不同用途采用不同的密鑰長度。比如說,較短的密鑰保護(hù)筆記本電腦上不太敏感的數(shù)據(jù),較長的密鑰保護(hù)存儲在服務(wù)器上的敏感數(shù)據(jù)。
3采取分層加密的模式
使用多種類型和多層加密可以顯著提高加密技術(shù)抵御攻擊的能力。強(qiáng)加密防護(hù)同樣需要縱深防御的模式,多層加密限制了任何單一加密解決方案失效可能造成的危害,尤其是針對那些最關(guān)鍵的數(shù)據(jù)。
分層加密的每一層都能都加固密碼應(yīng)用的外部環(huán)境,并進(jìn)一步阻止未經(jīng)授權(quán)的解密活動。比如說,微軟建議使用磁盤加密對靜態(tài)數(shù)據(jù)進(jìn)行加密、使用單獨的數(shù)據(jù)庫加密,并使用加密的VPN網(wǎng)關(guān)以傳輸數(shù)據(jù)。
4對密鑰進(jìn)行集中統(tǒng)一管理
為了提升加密應(yīng)用的安全水平,企業(yè)應(yīng)該將密鑰管理提高到與加密技術(shù)相同的重要級別。因為即使企業(yè)部署了良好的加密策略和加密程序,糟糕的密鑰管理仍然會成為“阿喀琉斯之踵”。對于訓(xùn)練有素的安全團(tuán)隊,應(yīng)該盡快實施集中式統(tǒng)一密鑰管理,規(guī)范地生成、輪換、更新和注銷加密密鑰。集中管理有助于提高加密方案的安全級別并改進(jìn)安全流程,比如定期訪問或?qū)徲嬋罩緦彶椋瑢﹂L期備份數(shù)據(jù)中的密鑰進(jìn)行跟蹤,以及對加密資源進(jìn)行安全訪問管理。
5對應(yīng)用程序中的加密組件加強(qiáng)管理
OWASP每年都會列出最嚴(yán)重、最常見的Web應(yīng)用程序安全漏洞,而由于加密組件管理不善、使用弱加密算法或加密算法部署不當(dāng),使得加密故障類漏洞長期存在在于這份清單中。加密部署不當(dāng)往往源于編程錯誤或?qū)θ绾螆?zhí)行復(fù)雜的加密算法過程有誤解,比如無法更改變量、不正確地生成用于創(chuàng)建密鑰的隨機(jī)數(shù),或者使用容易受到惡意或意外的算法輸入攻擊的代碼。
由于應(yīng)用軟件的開發(fā)人員往往不具備識別弱加密的專業(yè)知識,因此安全團(tuán)隊?wèi)?yīng)向開發(fā)團(tuán)隊列出可以使用或需禁止的加密算法類型/庫,以降低弱加密的風(fēng)險。當(dāng)然,借助一些先進(jìn)的應(yīng)用程序漏洞掃描器也可以幫助開發(fā)人員檢測加密使用不當(dāng)?shù)那樾巍?br />
此外,加密組件管理不善也會導(dǎo)致密鑰泄露或證書管理不當(dāng),從而違背安全集中式密鑰管理原則。比如說,維護(hù)和保護(hù)web服務(wù)器SSL數(shù)字證書以方便加密連接,防止攻擊者竊取和使用企業(yè)證書實施冒充攻擊。企業(yè)可以借助專業(yè)工具和加密技術(shù),加強(qiáng)對應(yīng)用程序中所應(yīng)用的加密組件進(jìn)行保護(hù)。
參考鏈接:https://www.esecurityplanet.com/networks/strong-encryption/
