注释

安全

重新审视安全基础知识

史蒂夫·戈纳

史蒂夫·戈纳
杰出的技术专家,安全

2019年10月17日

这是网络安全意识月 - 时间学习!

网络安全是一个复杂的主题。解决网络ecurity的工程师不仅必须是安全专家;他们还必须是他们确保技术的专家。此外,他们必须了解他们支持和使用的技术可能易受攻击和攻击的方式。

另一层复杂性是技术总是在不断发展。与这种演变平行,我们的对手不断推进其攻击方法和技术。我们如何留在那之上?我们必须是安全基本面的主人。我们需要能够从基础校长开始,并从那里扩展我们的安全工具,技术和方法:使东西不比所必需的复杂,以确保安全和安全的用户体验。

庆祝网络安全意识月,我想用一系列的博客文章来阐述一些关于安全的基本知识,并提供一个新的视角来解释为什么这些概念仍然是网络安全的重要关注点。

三个目标

在最基本的层面,有线和无线网络安全的三个主要目标是确保保密正直可用性服务。NIST在特殊的出版物中记录了这些概念,“信息安全的介绍。”

  • 保密确保仅授权用户和系统可以访问给定的资源(例如,网络接口,数据文件,处理器)。这是一个很容易理解的概念:最着名的机密性方法是加密。
  • 正直,这有点模糊,防止对数据和系统的未经授权更改。它还包括非拒绝的想法,这意味着给定消息(或分组)的源是已知的,并且不能被该源拒绝。
  • 可用性是三合会中不知名的成员。它常常被遗忘,直到服务可用性方面的故障被认为是“真正的问题”。这是不幸的,因为确保可用性的工程是非常成熟的。

在本系列的第1部分中,我想专注于机密性。我将在两个后续博客中讨论完整性和可用性。

正如我所提到的,机密性是大多数人都知道的安全功能。加密是保证机密性最常用的方法。我不会进入加密的初步。但是,值得谈论原则。加密是关于使用空间,电量和时间应用数学,以确保只有正确秘密(通常是密钥)的派对可以阅读某些数据。理想情况下,使用的数学应该需要更大的空间,功率或时间,而没有正确的秘密来读取该数据。为什么这件事?因为加密只要使用的数学就是声音,而且对读取数据的对手的相应空间,功率和时间相应的空间,功率和时间是不切实际的。这通常是一个很好的假设,但历史表明,随着时间的推移,给定的加密解决方案最终会变得不安全。因此,应用其他方法也是一个好主意,也可以提供保密性。

这些方法中有哪些?最终,其他解决方案阻止访问受保护的数据。概念是,如果阻止访问(物理或逻辑)到受保护的数据,则无法通过未经授权的方解密。该地区的解决方案主要分为两种策略:访问控制分离

访问控制验证访问数据或使用资源的请求(如网络)来自授权源(使用网络地址和其他凭据标识)。例如,网络中使用访问控制列表(ACL)以限制对特定IP或MAC地址的资源访问。作为另一个示例,可以使用加密挑战和响应(通常通过公钥加密启用)来确保请求实体具有访问数据或资源的“正确凭证”。我们每天都使用的一种方法是密码。每次我们“登录”某事物一样,我们就像银行账户一样,我们提供了我们的用户名(识别)和我们(希望)的密码。

分离是一种保密的方法。一个极端的分离示例是建立完全独立的网络架构,用于传送和存储机密信息。政府经常使用这种策略,但即使是大型企业也将其与“私人线路网络”一起使用它。不太极端的东西是使用某种形式的标识或标记来封装数据包或帧,以便只有授权的端点可以接收流量。这是通过使用虚拟LAN(VLAN)以太网实现的。每个帧由端点或其与VLAN标签连接的交换机标记,并且只有同一VLAN中的端点可以接收来自该源端点的流量。更高的网络层解决方案包括IP虚拟专用网络(VPN),或者有时,多协议标签交换(MPLS)。

威胁保密

保密的威胁是什么?我已经暗示了加密并不完美。有时可以缺陷给定加密方法的数学数学。在开发原始数学后,可以发现这种类型的缺陷。这就是为什么它传统上很重要,以便使用必要的政府组织如NIST或ENISA批准的密码套件。这些组织与研究人员合作,开发,选择,测试和验证给定加密算法,因为被证明的声音。

然而,即使算法是合理的,它在代码或硬件中实现的方式也可能存在系统性错误。例如,大多数加密方法都需要使用随机数生成器来执行某些函数。如果用于加密的给定代码库使用的随机数生成器在某种程度上是有偏差的(不是真正的随机),那么实现对加密数据的未经授权访问所需的空间、能量和时间可能比预期的要少得多。

量子计算被认为是当前密码学方法面临的一个迫在眉睫的威胁。与传统计算机所需的算法相比,量子计算机使解决某些特定问题所需的能量、空间和时间得以减少。对于密码学,Grover的和Shor的算法就是这样的两种算法。

格罗弗的算法。格罗弗的量子算法解决了执行非结构化搜索所需的时间长度(计算数量)。这意味着它可能需要猜测秘密(密钥)所需的猜测数量的一半来读取给定的加密数据。鉴于当前常用的加密算法,可以为两十年的传统密码分析提供机密性,格罗弗的算法只是一个适度的威胁 - 直到您认为这些加密算法的一些实施方式中的系统缺陷可能导致更好的安全性。

Shor的算法。Shor的量子算法是一个更严重的威胁,专门用于不对称密码学。目前的不对称密码术依赖于数学,该数学依然难以将整数难以向下归属于媒体(例如由RIVEST-Shamir-Adleman算法使用)或猜测数学函数或字段中的给定数字(例如在椭圆曲线加密中使用)。Shor的量子算法使健性的非常快速;实际上,可以几乎可以立即给出能够执行算法的足够大的量子计算机来编写这些数学。

理解保密和隐私之间的关系很重要。它们不一样。机密性保护通信或数据的内容不受未经授权的访问,但隐私不仅限于保护机密性的技术控制,还扩展到个人数据如何使用的商业实践。此外,在实践中,一些数据的安全基础设施可能要求在网络上运行时对其进行加密,但在服务器上处于静止状态时可能不需要。此外,虽然机密性在安全上下文中是一个相当直接的技术主题,但隐私是关于与个人数据使用相关的权利、义务和期望。

我为什么要把它带到这里?因为违反机密性也可能是违反隐私。因为单独的机密性工具的应用不满足许多情况下的隐私要求。安全工程师 - 对策工程师 - 需要牢记这些事情并记住,今天隐私违规导致我们公司的罚款和品牌损坏的实际成本。

哇!经历所有比我想要更多的东西 - 让我们完成这个博客。电缆和无线网络已经实施了许多机密性解决方案。wifi,lte,和DOCSIS技术它们都使用加密来确保用于传输数据包的共享介质的机密性。密码算法DOCSIS技术通常采用的是经受住了时间考验的AES128。我们可以预见未来的发展。其中之一是NIST主动选择一种新的轻量级密码——比AES使用更少的处理资源。金宝搏备用这是一件大事。对于安全性的轻微降低(使用一种叫“安全位”的模糊度量),NIST考虑的一些候选可能会比AES128使用一半的能量或空间。这可能转化为使用新密码的终端成本更低、可靠性更高。

另一个领域电缆行业包括Cablelabs,继续跟踪是量子抗性密码学。金宝搏188BET这里有两种方法。一个是使用量子技术(生成键或发射数据),其可以固有地对基于量子计算机的密码分析进行固有的安全。另一种方法是使用在传统计算方法上实施的诸如使用SHOR和GROVER的算法抵抗密码分析的新数学的方法。这两种方法都呈现出色。

有一个关于保密的快速回顾。接下来呢?的完整性。

想了解更多关于网络安全的知识吗?注册我们即将到来的网络研讨会:链中的链接:CableLabs' Primer on What's Happen金宝搏188BETing in区块链。挡住你的日历。把你们自己拴在电脑上。您一定不想错过区块链和分布式账本技术的现状,因为它涉及到电缆和电信行业。

现在注册

注释

隐私偏好中心

    严格必要

    该网站必须正常运行的饼干。

    phpsessid,__cfduid,hubspotutk

    性能

    这些用于跟踪用户交互并检测潜在问题。这些帮助我们通过提供有关用户使用本网站的分析数据来改进我们的服务。

    Bizoid,Wootracker,GPS,_GA,_GAT,_GID,_hjincludedInsample,mailmunch_second_pageview

    瞄准

    这些cookie用于(1)向您和您的兴趣提供更相关的广告;(2)限制您看到广告的次数;(3)帮助衡量广告活动的有效性;(4)在观看广告后,了解人们的行为。

    __hssc,__hssrc,__hstc,