11加密(几乎)死亡的原因

大规模计算能力的飞跃,隐藏层,硬件后门——加密敏感数据从窥视比以往任何时候都更加危险

在电影院看电影的人都学习数学知道加密是漂亮的老板。几乎每一个间谍在每一部间谍电影看着一个加密的文件与恐惧和害怕。军队的忍者可以战斗。可以拆除炸弹。导弹可以转移。但是一个加密的文件只能打开与适当的键,键总是在一个危险的有吸引力的代理手中藏在世界另一边的藏身之处。(不要在纽瓦克或纽黑文——谁想电影吗?)

唉,这个定理的加密安全可能接受证明数学天才在好莱坞。,但现实是有点模糊。加密并不总是完美的,即使核心算法是真正的固体,链中的其他链接可以kablooie。有成百上千的步骤和数百万行代码保护我们的秘密。如果其中任何一个失败,数据可以容易阅读作为一个五岁的脸打去钓鱼。

(自己的节7的暗中攻击使用当今最狡猾的黑客,14个肮脏的IT安全顾问的技巧,9流行的IT安全实践,不工作,10个疯狂的安全技巧。|企业构建和部署一个有效的防御入侵者的信息世界加密深潜水PDF专家指导。今天下载它!|学习如何保护您的系统与罗杰·格里姆斯安全顾问博客。]

比以往任何时候都更加密受到攻击,从比先前认为的方向。这并不意味着你应该放弃保护敏感数据,但俗话说“有备无患”。不可能确保整个栈和链。这里有11个加密的原因不再是万全之策。

加密的薄弱环节没有。1:没有证据,只是一个算法军备竞赛数学的核心加密看起来令人印象深刻的,有很多标和下标,但它没有附带任何硬性证明。最著名的算法RSA,据说是安全的——只要很难大量因素。这听上去令人印象深刻,但它只是转移责任。因素大量真的那么难吗?嗯,没有证据证明是很困难的,但没有人知道怎么做才是对的,所有的时间。如果有人找出一种快速算法,RSA可以打开像鸡蛋,但这尚未发生……我们认为。

没有加密的薄弱环节。2:检测裂缝的披露是唯一的手段假设您知道如何因素大量和破解RSA加密。你能告诉这个世界?也许。它肯定会使你出名。你可能会任命一个花哨的学院教授。你甚至可能土地上的浮雕“大爆炸理论”。

但encryption-cracking业务可以的。不难想象,它吸引了更高份额的个人或组织可能希望保持他们的新发现的秘密和用它来赚钱或提取有价值的信息。

我们的许多假设密码的安全性是基于相信人们会分享他们所有的知识漏洞,但并不能保证任何人都这样做。的间谍机构例如,经常保持他们的知识。和谣言流传一个了不起的加密突破2010年仍然是机密。为什么我们行为不同吗?

加密的薄弱环节3号:链很长,永远不会完美有许多优秀的数学证明的安全系统或系统。他们提供了大量的关于一个特定方面的深刻认识,但是他们说对整个链。人们喜欢使用诸如“完美的向前安全”来描述一种机制,改变了钥匙经常足以防止泄漏扩散。但是对于所有的完美,证明只覆盖一个链的一部分。算法的故障或故障的软件可以绕过这一切完美。需要大量的教育保持笔直。

没有加密的薄弱环节。4:云计算能力是便宜的和巨大的一些算法的描述,声称要“数百万小时”尝试所有可能的密码。这听起来像一个非常长时间,直到你意识到亚马逊,可能就有一百万台电脑按小时出租。一些僵尸网络可能超过一百万个节点。这些日子大数字不那么令人印象深刻。

没有加密的薄弱环节。5:显卡带来容易开裂的并行性相同的硬件,可以咀嚼到数以百万计的三角形也可以尝试更快数以百万计的密码。gpu是令人难以置信的并行计算机,它们比以往任何时候都更便宜。如果你需要租一架,亚马逊租金太按小时。

没有加密的薄弱环节。6:虚拟机监控程序,高度警惕的祸害你最安全的发行版,下载应用的所有更新,你清理所有的碎片,你关闭所有的奇怪的后台进程。祝贺你,你接近在一个安全的服务器。但假设你仍然痴迷和你自己审核每一个代码的最后一行。要额外小心,你甚至审计的代码编译器,以确保它不是后门下滑。

这将是一个令人印象深刻的表演,但是它不重要。一旦你有你的再次清洁,完全审计堆代码运行在云,在后台管理程序代码可以做任何它想或者你的记忆力,所以可以BIOS。哦。

没有加密的薄弱环节。7:隐藏层比比皆是hypervisor和BIOS只有几个最明显的层藏起来。几乎每个设备固件——这可以非常多孔。很少受外界,所以它是很少的。

一个研究“硬件后门”Rakshasa可以感染BIOS和潜入固件的基于pci网卡和CD驱动程序。即使你的加密是固体和你的操作系统是未感染,你的网卡可能背叛你。你的网卡可以认为为自己!它将网卡有点难以进入主存,但是更加奇怪的事情已经发生了。

这些通常隐藏层在每台机器,眼长忘记了。但他们可以做出令人惊奇的事情与他们的访问。

没有加密的薄弱环节。8:后门出众有时,程序员犯错误。他们忘了检查输入的大小,或者他们跳过清理内存之前释放它。它可以是任何东西。最后,有人发现这个洞,开始利用它。

一些最前卫的公司释放源源不断的修复,似乎永远不会结束,他们应该称赞。但无情的安全补丁表明不会很快结束。当你读完这个,可能有两个新补丁安装。

这些漏洞可以妥协你的加密。它可以补丁文件,并将该算法变成浆糊了。也可以通过其他一些泄漏的关键路径。没有结束的恶意,可以引起的后门。

没有加密的薄弱环节。9:糟糕的随机数生成器大部分的炒作加密关注加密算法的强度,但这通常光点键选择算法是同样重要。你可以超级加密,但如果偷听者可以猜到的关键,它不重要。

这很重要,因为许多加密程序需要一个值得信赖的随机数来帮助选择的关键来源。有些攻击者只会替代自己的随机数生成器和用它来破坏的关键选择。算法依然强劲,但钥匙很容易猜的人都知道随机数生成器是妥协的方式。

加密的薄弱环节:10号输入错误开源软件的美景之一是它可以发现错误,也许并不是所有的时间,但一些时间。

例如,苹果的iOS有一个额外的代码吗:转到失败。每次代码想检查证书,确保它是准确的,代码将打击goto语句和跳过它。哦。

这是一个错误吗?这是故意放吗?我们永远不会知道。但它肯定花了很长时间的“许多眼睛”的开源社区找到它。

没有加密的薄弱环节。11:可以伪造证书假设你和一个加密的电子邮件去PeteMail.com连接,要额外小心,你点击查看证书。的审查之后,你会发现它说证书颁发机构颁发的αPeteMail.com,这都是合法的。你清楚,对吧?

错了。如果PeteMail.com有它真正的SSL证书从不同的证书颁发机构——比如,β。证书从α也可能是真实的,但α为PeteMail.com和证书给偷听者做出更容易错误的连接。中间人攻击更容易如果中间人可以撒谎他的身份。有成百上千的证书颁发机构,任何一个可以为SSL问题确实的事情。

这不是一个假想的担心。有世界各地的数以百计的证书颁发机构,和一些地方政府的控制下。他们会替别人创建任何旧证书吗?你为什么不问问他们呢?

相关文章

• 11确定你已经被黑客入侵迹象
• 7的暗中攻击使用当今最狡猾的黑客
• 对于开发人员维护代码:17安全提示
• 通过模糊的安全:如何在线掩盖你的痕迹
• 真实的故事(大部分)白帽黑客
• 14个肮脏的把戏,安全专业版
• 6的教训是最可怕的安全威胁
• 这是最大的安全威胁
• 9流行的IT安全实践只是不工作
• 10疯狂实际上安全技巧的工作
• 恶意软件深入的报告
• 数据丢失预防深潜水报告
• 内部威胁深入的报告
• 恶意软件IQ测试:1
• 恶意软件IQ测试:第二轮
• 恶意软件IQ测试:第三轮

这个故事,”11加密(几乎)死亡的原因”,最初发表在InfoWorld.com。遵循的最新发展安全在InfoWorld.com上。商业技术最新发展的新闻,跟进在Twitter上InfoWorld.com。

阅读更多关于安全在信息世界的安全通道。

这个故事,“11原因加密(几乎)死”最初发表的信息世界 。