2013是我们了解到,我们必须加密我们的数据,如果我们不希望美国国家安全局或英国政府通信总部阅读它的喜欢,因为它穿越因特网的一年。
安全行业有敌人就一直梦想着要在帮助它做了加密收养的情况下,但用户希望保护他们的数据和通信需要警惕的营销信息提出的索赔。在运动中保护数据的优先级,专家说,一些大型互联网公司已经在进行这方面的进展,但没有失去其效用将证明一个更大的挑战加密静态数据。
“美国国家安全局的监控已经打开了世界各地许多人的眼里,”拉马尔·贝利在安全公司的Tripwire安全研究和开发部主任在电子邮件中说。"Security professionals have always known that this style of surveillance is possible with the right resources, but this episode has been a big wake-up call for everyone. Many countries and companies outside the U.S. are now taking a harder, more in-depth look at software and hardware that comes from the U.S., although the silver lining is that mainstream users are now more concerned with encrypting data and reviewing how their information is being shared."
通过监控启示在最近几个月引发了公众辩论,促使一些令人鼓舞的答复已经:谷歌已经加密的数据中心之间的联系;雷竞技电脑网站雅虎也在努力做同样的事情并承诺默认启用的网络邮件和其他服务的SSL加密,并Twitter已经启用名为向前保密的SSL功能,已经被谷歌和Facebook,这使得SSL流量的质量解密硬即使网站运营商的主私用密钥被泄露实施。
一些软件供应商开始开发现有通信技术的替代品,目的是提供端到端加密,加大上游数据拦截的难度。安全通信提供商沉默圈推出了名为黑暗邮件联盟的努力发展私人安全电子邮件协议,加密的元数据,而不仅仅是邮件内容;海盗湾联合创始人彼得·桑德正在与其他人称为Hemlis安全的人群中资移动消息应用程序在隐私友好的司法管辖区托管的分布式基础架构,和BitTorrent,该公司的同名流行的文件共享协议的背后,正在开发一种对等网络即时通讯工具直接用户之间并加密的消息不依赖于中央服务器。
这些例子和其他例子清楚地表明:保护数据传输通道以防止不必要的上游拦截是优先考虑的。互联网工程特别工作组是一个开发互联网标准的组织,已经在朝着这个目标努力。IETF和其他互联网基础设施集团表示,他们担心政府机构的大规模监控破坏了全球互联网用户的信任和信心。
技术社会应努力使窃听昂贵,迫使NSA放弃有利于有针对性收集的数据的收集批发,著名密码学家布鲁斯在第88 IETF会议在11月全体会议的技术说。
马修·格林,巴尔的摩约翰霍普金斯大学的教授加密,认为所有的通信应该被默认加密。
“有实在没有理由通过Internet发送明文数据了,”他在电子邮件中说。“几乎每一件产品都足够强大支持加密,并做软件是免费提供,并内置到许多操作系统,除了一些边缘的情况下,唯一的理由不加密是纯粹的无能。”
在运输过程中保护数据是一个良好的开端,但它主要是大公司大量的资源和专业知识已经采取了主动至今。大部分的努力似乎来自云服务提供商,而不是打包的软件开发人员,以及较小的厂商是否能够正确地实现加密问题仍然开放。
安全咨询公司security Brokers总裁、欧洲网络和信息安全机构永久利益相关者组织成员拉乌尔•奇耶萨(Raoul Chiesa)表示:“很少有懂得IT安全的软件开发人员,雇主通常也不会聘用有安全技能的程序员,因为他们的成本更高。”他在一封电子邮件中说:“这意味着,向低级程序员谈论内置加密是不可行的。”
幸运的是,美国国家安全局的大量资源和能力可以作为一种激励来实现安全的方式加密。
“来看看NSA的方法之一是,他们是我们一直梦寐以求的对手,”格林说。“如果有在一块加密软件的实际攻击,你可以确信他们是如何利用它的思维;他们有技术能力这样做,”他说。
有从事情是由前国家安全局承办斯诺登监视泄漏前的样子了巨大的转变。然后,态度是:“嘿,缺点是OK的,因为任何人的足够聪明,利用他们,”格林说。
随着公司急于实现加密跟上竞争对手和应对市场需求,一些可能无法正确,警告马克·鲍尔副总裁数据保护供应商电压安全:“最终用户需要注意的安全,特别是任何专有的性质,或声称军事级没有任何实际验证。”Such claims may later be found flawed and useless, he said.
“通常情况下,实现不经过深思熟虑过,尤其是密钥管理或加密和散列的实施,”他说。他提到的一个例子是,WhatsApp的使者。十月一名安全研究人员报告说,流行的移动消息应用在它的加密方法包含一个基本错误,使得它可以很容易地解密截获的消息。
蒂姆二林,Tripwire的IT安全和风险的主任,他说很容易作出这样可以使加密无效的错误:“这不要紧,如果你的数据库进行加密,如果用来访问的应用程序,提供有一个默认的密码。”
为了赶上这样的错误,就需要更多的透明度。许多加密标准是开放的,但没有第三方审核或代码公开检讨,这是很难知道使用这些产品是否含有意外或故意后门。
鲍尔认为,透明度对信任至关重要,而供应商的声明是不够的。他说:“供应商不能简单地在方框上打个勾就说加密已经开启了。”“这意味着什么。如何使用它,何时对数据进行加密和解密,使用什么方法,以及密钥的管理、存储和恢复过程,在为用户提供任何好处之前,了解这些是至关重要的。如果它得到很好的实施,而且可以证明是这样,那么数据隐私和监视风险就会大大降低。”
EMC的安全部门RSA最近发现了它可信度和透明度受到质疑据路透社报道,该公司向美国国家安全局支付了1000万美元,在其BSAFE密码库中制造了一个有缺陷的伪随机数生成器Dual_EC_DRBG作为默认选项。随机数生成器在密码学中具有重要的作用,使用弱随机数生成器会破坏整个密码系统的安全性。RSA否认它曾经签订过一个合同或项目,目的是削弱或在其产品中引入后门。
今年9月,有媒体报道称,美国国家安全局(NSA)将这种有缺陷的随机数发生器作为破解加密的标准之一,随后该公司建议客户停止在BSAFE上使用Dual_EC_DRBG。
鲍尔认为,近期监管的启示应为呼吁安全声明和在开源和商业产品都加密系统设计的独立验证行动。
与许多商业产品的现状“激励用户考虑现有的开放源代码的替代品,可能提供更大的透明度和安全性,”根据二林,而鲍尔预计开源软件社区开始推动开放的审核,以确保有没有后门在流行的免费工具。
这方面的一个例子是由绿色和Kenneth白,在医疗软件作为一个服务提供商宝系统首席科学家组织的项目,审计TrueCrypt,一个流行的开源磁盘加密工具。
斯诺登对大规模监控的曝光,让很多人开始关注加密的价值,但确保所有通信的安全所面临的挑战,包括实现无缝和全自动加密。
它需要一样简单像用电,鲍尔说。“最终用户并不需要了解电磁理论用电;他们只需插上,打开,用自己喜欢的新玩意儿”
鲍尔认为,过去十年加密技术的进步使这成为可能,但其他人仍持怀疑态度。
“我们将继续看到开源和商业解决方案弹出,声称能得到充分保障,不受任何监督的尝试,”杰克·科恩斯,在安全顾问公司基于风险的安全首席信息安全官说。“我担心的是,在大多数情况下,这些服务将成为唯一的小众用户。”
期待人们来加密所有通信是不可行的,但它是一个开始,如果他们将至少加密敏感的通信,卡斯滕Eiram,在基于风险的安全的首席研究人员说。“许多人甚至无法做到这一点,这可能是由于人干脆认为它太麻烦的导入和管理密钥,”他说。
但是,这不应该增加加密功能,阻止开发商。用户将了解他们的重要性,并学习如何使用它们,基耶萨说。
加密“运动数据”实际上是比较容易的问题,根据绿色。“下一个前沿领域在静止状态下对数据进行加密眼下,这是困难的,因为企业需要对数据的访问,如果他们要计算就可以了。 - 认为谷歌搜索你的email,我们没有这个好密码的解决方案问题,并坦言很多这样的数据是在安全充其量未知云环境中使用。”
Kouns说,大多数企业都明白,他们应该使用加密技术来保护数据的安全,但当涉及到实施加密技术时,事情往往会陷入停顿。“对大多数中小企业来说,实现加密是一项艰巨的任务,太复杂、太昂贵。”
尽管有重大的问题需要克服,但大多数安全专家认为,在产品和服务中构建加密技术的趋势将在消费者和商业市场继续增长。
“任何使用消费者和分析数据带来了新的服务,无论是在云中与否,是要斗争没有数据保护策略,”鲍尔说。
Kouns表示,"我预计公司会继续在这一领域投资。"“以简单而经济的方式解决这一问题的供应商和服务机构将获得最大的收益。”
“加密可以在服务的差异,”基耶萨说。“例如,见老互联星空新兆:用户隐私是整个事情的中心了。”