我們真的需要加密防御的盾牌嗎？

以前的價(jià)值觀(guān)是純物質(zhì)的——像金飾、阿瑪蒂小提琴、佛蘭芒繪畫(huà)和秦時(shí)代的瓷器——但現在，價(jià)值觀(guān)更加抽象，盡管它們的本質(zhì)沒(méi)有改變。鉆石和珍珠藏在保險箱和緩存中，我們將現代寶藏保存在計算機或服務(wù)器的硬盤(pán)驅動(dòng)器、閃存驅動(dòng)器和智能手機 SD 卡上。

將最私密的東西委托給小工具和電腦，我們讓自己變得脆弱。所有存儲在硬盤(pán)驅動(dòng)器、應用程序和瀏覽器內存中的東西，都是現代人類(lèi)文明的致命弱點(diǎn)。有關(guān)家庭、職業(yè)、有形資產(chǎn)、政治觀(guān)點(diǎn)、財務(wù)數據、計劃交易、第二套賬簿、銀行賬戶(hù)訪(fǎng)問(wèn)權限、電子錢(qián)包密鑰、公司機密、專(zhuān)有信息和商業(yè)機密的信息——所有這些都是新的網(wǎng)絡(luò )時(shí)代強盜的目標。

通過(guò)開(kāi)鎖或自動(dòng)切割來(lái)打開(kāi)保險箱非常容易——從磁盤(pán)中提取信息同樣容易。為了提供更高的安全性，您可以將保險箱隱藏在墻壁或 200 米深處的掩體中，或者您可以用帶刺鐵絲網(wǎng)將其圍起來(lái)并設置通過(guò)它的電流。數據加密效率更高（也更人性化?。布蛙浖用芄ぞ呖梢詾槟臄底謨r(jià)值提供真正的保護。

關(guān)于密碼學(xué)歷史的一些話(huà)

作為一門(mén)研究信息安全工具的科學(xué)，密碼學(xué)已經(jīng)存在了四千多年。同時(shí)，隨著(zhù)文字的發(fā)展，人們也在尋找對文字進(jìn)行加密的方法，將其本質(zhì)隱藏起來(lái)。古代有很多密碼系統的歷史證據，例如，凱撒的單字母密碼，它使用了字母表中字母位置移動(dòng)的原理。

幾個(gè)世紀以來(lái)，新的密碼和新的密碼分析方法（解密方法），以及促進(jìn)加密/解密操作的設備都被發(fā)明了——例如，埃涅阿斯的線(xiàn)和磁盤(pán)、古代斯巴達的 Scytale (Skytale)、萬(wàn)向格柵、圣Cyr Slide（或 Sliderule）、The Jefferson disk（或 Wheel cypher，或 Bazeries Cylinder）等。長(cháng)期以來(lái)，字母數字組合是加密的基礎——更復雜的多字母系統取代了單字母系統。一百多年前，機電設備開(kāi)始用于多字母加密。經(jīng)典加密被認為是對稱(chēng)密鑰加密，它使用相同的字符序列來(lái)加密和解密數據。

使用數學(xué)方法進(jìn)行加密的第一次嘗試是從 20 世紀上半葉開(kāi)始的。

“信息時(shí)代之父”美國數學(xué)家、工程師克勞德·埃爾伍德·香農為密碼學(xué)作為科學(xué)的發(fā)展做出了重大貢獻。他制定了密碼學(xué)的理論基礎，并介紹了許多基本概念。

香農給出了信息熵、數據傳輸、信息量和加密函數的數學(xué)定義。順便說(shuō)一句，我們用他的術(shù)語(yǔ)“比特”作為信息的最小單位。此外，香農將通過(guò)線(xiàn)性和差分密碼分析研究脆弱性密碼作為加密的強制性要素。

自 1970 年代中期以來(lái)，非對稱(chēng)加密（又名公鑰密碼學(xué)或密鑰對加密）已成為密碼學(xué)的新主線(xiàn)，現在它被廣泛使用。非對稱(chēng)加密的本質(zhì)是為了加密和解密數據，選擇兩個(gè)密鑰，公共的和與之對應的私有的。這對密鑰中的每個(gè)密鑰都執行一個(gè)定義明確的功能——公鑰加密信息，私鑰解密信息。

在過(guò)去的四年里，信息技術(shù)發(fā)展迅速，提供了新的密碼學(xué)方法和新的使用領(lǐng)域?，F在密碼學(xué)是數學(xué)和計算機科學(xué)的結合。量子計算技術(shù)的進(jìn)步將密碼學(xué)提升到一個(gè)新的水平，即量子密碼學(xué)，它基于的不是數學(xué)原理，而是量子物理原理。量子密碼學(xué)的一個(gè)分支是后量子密碼學(xué)，它指定創(chuàng )建對“經(jīng)典”密碼分析方法和量子密碼分析方法都有抵抗力的合成密碼方案。

密碼學(xué)適用的目的

在古代和中世紀，人們使用密碼學(xué)讓某些信息只能被秘密信息所接收的人發(fā)現?，F在，幾個(gè)世紀以來(lái)，這個(gè)過(guò)程的本質(zhì)仍然保持不變。

我們可以在任何地方找到加密信息安全工具——智能手機、智能手表和其他小工具、計算機和路由器、平板電腦和智能電視、家用電器、信使和社交網(wǎng)絡(luò )、外匯和交易軟件等。所有存儲和/或傳輸的數據通過(guò)所有這些東西總是加密的。

加密在金融交易過(guò)程中是最有價(jià)值的，例如，通過(guò) NetBanking 或 PayPal 和其他國際支付系統，以及在 ATM 提取現金或與支付終端進(jìn)行交易時(shí)，在零售 POS 或外匯交易期間。

讓我們在這里添加移動(dòng)操作系統之間的激烈競爭，其加密保護將更有效地保護用戶(hù)信息。

過(guò)去十年中炒作最多的各種加密貨幣也是基于加密算法的。

互聯(lián)網(wǎng)流量也需要加密保護，HTTPS 加密擴展為通過(guò)“客戶(hù)端到站點(diǎn)”連接中的安全套接字層 (SSL) 或傳輸層安全 (TLS) 協(xié)議傳輸的數據提供安全性。幾年前，谷歌強調使用 https 和SSL 證書(shū)，并解釋說(shuō) https 上的網(wǎng)站具有更好的搜索引擎排名。

很快，其他瀏覽器開(kāi)始在谷歌瀏覽器之后使用“http = 危險網(wǎng)站，https = 安全”的標簽。描述網(wǎng)站動(dòng)態(tài)使用 https 協(xié)議的信息圖可以說(shuō)明從 2013 年 11 月至今在 Mozilla Firefox 上編制的統計數據：如您所見(jiàn)，2014 年 3 月，全球 https 流量為 28.31%，而五年后， 2019 年 3 月，這一數字增長(cháng)了近三倍，達到 78.38%。但是這種現象的原因可能是人為的（由于來(lái)自全球信息市場(chǎng)參與者的壓力），結果仍然是非常積極的——我們可以自信地說(shuō)，通過(guò)互聯(lián)網(wǎng)傳輸的數據的安全水平顯著(zhù)提高。因此，我們的信息保護得到了加強。

基于硬件或軟件的加密：一個(gè)艱難的選擇

三種類(lèi)型的加密用于保護硬盤(pán)驅動(dòng)器上的信息：硬件、軟件和軟硬件。它們都使用密碼算法來(lái)保護數據，但在加密/解密功能的實(shí)現方式上有所不同。

當您應該在所有這些中做出選擇時(shí)，您應該估計您的真實(shí)需求。軟件加密比硬件便宜，但在可靠性上卻大大遜色。此外，不同加密算法類(lèi)型的 CPU 容量以不同方式使用：軟件加密使用計算機的處理器，而硬件編碼器有自己的處理器。因此，軟件加密非常適合個(gè)人電腦和小型企業(yè)。出于企業(yè)目的，更多選擇硬件加密來(lái)保護關(guān)鍵信息——例如，金融交易、商業(yè)機密、創(chuàng )作等。網(wǎng)絡(luò )流量、通信、即時(shí)通訊——它們都使用硬件加密保護。

下表列出了要比較的一些基于硬件和基于軟件的加密的技術(shù)特征：

一個(gè)可愛(ài)的事實(shí)——盡管終生競爭，IT 行業(yè)的巨頭蘋(píng)果和微軟都做出了相同的決定：為其操作系統的用戶(hù)實(shí)施軟件加密。BitLocker 從企業(yè)操作系統版本 7 開(kāi)始成為 MS Windows 的一個(gè)組件。

但有時(shí)加密會(huì )降低安全性。例如，來(lái)自荷蘭的研究人員發(fā)現，一些 SSD 驅動(dòng)器中的軟硬件加密遭到破壞。他們發(fā)現了幾種漏洞變體，攻擊者可以利用這些變體訪(fǎng)問(wèn)數據。其中一個(gè)漏洞被“隱藏”在密碼保護的軟硬件系統中。Windows 10內置的BitLocker，在檢測到SSD盤(pán)中存在硬件加密系統后，干脆“給專(zhuān)家讓路”，并沒(méi)有使用其加密功能，僅靠硬件防御的能力。

在這種情況下，SSD制造商及時(shí)消除了缺陷。但是你永遠不應該忘記，對網(wǎng)絡(luò )攻擊的全面保護，以及幸福的普遍方程式或治愈所有疾病的方法是不存在的。在許多方面，數據安全取決于軟件供應商、設備和基礎設施服務(wù)提供商的完整性。

云安全尤其如此。SIM Networks 團隊認為，確?？蛻?hù)的數據安全是我們的首要任務(wù)之一。因此，我們使用基于硬件的加密來(lái)保護 SIM-Cloud IaaS 數據。同樣負責任的是，我們在所有其他基礎設施解決方案中處理數據的安全性，包括我們客戶(hù)的私有云。

為什么一切都還沒(méi)有加密？

直到現在，我們都在談?wù)摷用艿闹匾?。但大量信息仍未加密。為什么？如果加密在當前的網(wǎng)絡(luò )犯罪環(huán)境中如此有效，為什么還沒(méi)有對所有數據進(jìn)行加密呢？有一些原因可以提及。

加密相當昂貴并不是什么大秘密。它不僅意味著(zhù)加密軟件和硬件措施，還意味著(zhù)計算資源——RAM 和處理器時(shí)間。加密過(guò)程中數學(xué)上復雜的數據轉換操作需要大量資源，這是一個(gè)問(wèn)題。

正如我們之前所說(shuō)，微軟和蘋(píng)果為所有使用其操作系統的客戶(hù)提供了數據加密功能選項。它讓人產(chǎn)生一種加密是免費的錯覺(jué)。但是您應該同意，筆記本驅動(dòng)器上的幾個(gè) Tb（1012 位）與在公司基礎設施中傳輸和存儲的幾個(gè) PB（1015 字節）不同！在第一種情況下，用戶(hù)無(wú)法在硬件加密的筆記本上注冊一點(diǎn)性能降低；但在第二種情況下，當用戶(hù)數以千計或數萬(wàn)，交易數量達到數百萬(wàn)時(shí)，轉移到數據加密上的資源會(huì )嚴重拖慢系統速度。這就是為什么當您為商業(yè)選擇加密軟件和設備時(shí)，您應該考慮經(jīng)濟因素，

另一個(gè)問(wèn)題是缺乏透明度的加密。如果沒(méi)有完全解密，您將無(wú)法對加密數據進(jìn)行臨時(shí)檢查。在網(wǎng)絡(luò )保護方面，這很棒。但是，如果數據需要檢查一致性或符合任何監管要求——好吧，休斯頓，我們就有問(wèn)題了。很明顯，這個(gè)問(wèn)題擾亂了職能分散的企業(yè)用戶(hù)：一個(gè)部門(mén)創(chuàng )建文檔，另一個(gè)部門(mén)編輯它，第三個(gè)部門(mén)進(jìn)行合規性檢查，第四個(gè)部門(mén)將其發(fā)布在網(wǎng)站上。數據必須在該鏈中的每個(gè)節點(diǎn)上進(jìn)行解密、驗證和重新加密。盡管可以通過(guò)專(zhuān)門(mén)設計此過(guò)程來(lái)最大程度地減少性能下降，但在時(shí)間和資源上都非常昂貴。但是，在通過(guò) VPN 傳輸數據的情況下，一切都變得更加復雜。

通常，當您需要查看通過(guò) VPN 連接傳輸的數據時(shí)，您應該使用“內部入侵”，例如中間人攻擊——一種攻擊者可以讀取、插入和修改在其中傳輸的數據的黑客行為VPN 隨意，通道的任何一方都不知道干預。VPN連接需要中斷，數據需要解密和驗證，然后應該創(chuàng )建新的隧道，將已經(jīng)驗證的數據通過(guò)隧道傳輸到目的點(diǎn)。一些專(zhuān)家認為，這種選擇，特別是在公司規模上，成本高昂，并且至少會(huì )產(chǎn)生一個(gè)網(wǎng)絡(luò )故障點(diǎn)。

在過(guò)去的幾年里，一些包含加密部分透明性的安全解決方案已經(jīng)出現在 IT 安全市場(chǎng)上。然而，具有這種加密方案的系統的脆弱性問(wèn)題需要額外的研究。

一個(gè)隱藏的危險

缺乏透明度會(huì )給用戶(hù)和系統帶來(lái)一些更令人不快的驚喜。例如，加密的數據塊內部可能包含惡意代碼。問(wèn)題是這種類(lèi)型的數據是否可以逐點(diǎn)查找和清理，而不影響整個(gè)存儲或數據流。答案是——不，實(shí)際上。為了進(jìn)行有效的保護，需要在數據加密之前或解密之前檢測惡意軟件以進(jìn)行驗證。在任何情況下，這都會(huì )使過(guò)程復雜化并增加成本。這就是為什么企業(yè) IT 部門(mén)在估計了實(shí)施和支持其基礎設施的加密系統的成本后，通常會(huì )拒絕這個(gè)想法。當然，它會(huì )嚴重影響 IT 安全。

另一個(gè)問(wèn)題是由于使用加密工具而導致的基礎設施復雜化。它提供了創(chuàng )建潛在的安全系統故障點(diǎn)，這些故障點(diǎn)可以被黑客檢測和使用。企業(yè)數據加密由大量活動(dòng)元素組成，多加幾個(gè)元素會(huì )顯著(zhù)影響安全系統的整體性能。在具有數十個(gè)組件的混合云基礎架構中，這影響最大——每個(gè)額外的組件或流程都會(huì )增加失敗的可能性以及實(shí)施和維護的成本。并非每個(gè)企業(yè)都為這種情況做好了準備。

這可能聽(tīng)起來(lái)自相矛盾，但加密過(guò)程需要以與它保護的數據相同的方式進(jìn)行保護。特別是在使用密鑰對加密的情況下。許多企業(yè)安全——尤其是基于為喜達屋酒店和萬(wàn)豪國際網(wǎng)絡(luò )服務(wù)的專(zhuān)家提供的材料——證明丟失加密方案的密鑰會(huì )嚴重損害其安全性。無(wú)論在正常模式下或通過(guò) VPN 是否有數據流到加密保護，始終存在啟動(dòng)加密過(guò)程和加密密鑰的機制 - 兩者都必須存儲和保護。因此，像所有其他公司業(yè)務(wù)流程一樣，為加密機制提供安全基礎設施以及規劃加密保護的整個(gè)過(guò)程非常重要。

在企業(yè)中實(shí)施密碼學(xué)安全系統，您應該專(zhuān)注于每個(gè)關(guān)鍵細節，不要過(guò)分倉促，并嚴格按照先前制定的計劃行事。這很重要，因為粗心計劃的后果可能會(huì )對公司造成無(wú)法彌補的損害。

加拿大加密貨幣交易所 QuadrigaCX的先行者就是糟糕計劃的一個(gè)很好的例子。該公司的首席執行官 Gerald Cotten 將加密密鑰存儲在他的加密筆記本電腦上。一切都很順利，直到他突然去世。同時(shí)，沒(méi)有人——沒(méi)有人——知道密碼和密鑰。結果，交易所的潛在損失可能達到1.9億美元，這就是它的客戶(hù)的錢(qián)！到目前為止，這些資金已被凍結，專(zhuān)家們對CEO密碼的解決方案感到困惑。

結論

所以，你看，數據加密很困難。一些經(jīng)理甚至一些 IT 專(zhuān)家都有一種刻板印象，即加密簡(jiǎn)化為填寫(xiě)幾個(gè)文本字段并記住密碼，——瞧，它就在包里：你和你的數據是完全安全的。沒(méi)門(mén)！與復雜的多級網(wǎng)絡(luò )安全的所有其他方面一樣，加密需要仔細分析、規劃、記錄和明確實(shí)施。當然，在所有階段都具有很高的能力。只有當所有這些條件都滿(mǎn)足時(shí)，您才能放松一點(diǎn)，并欣賞密碼算法提供的數據保護的優(yōu)勢。