专栏首页FreeBuf加密就安全了?一览用户的数据安全盲点

加密就安全了?一览用户的数据安全盲点

追溯至网络通信安全起始之初,数据安全人员就不得不面对证书使用这一挑战。网页证书是传输层安全通信的基础,增加了网络站点连接的安全性,通常显示为“https”中的“s”。作为用户、服务器、机器、物联网设备和访问点的验证核心部分,是用户在各个场合下安全防护的第一步。

现在,当谈及加密风险,人们似乎也越来越难以绕过证书、加密秘钥和保护数据的算法等话题。

什么是加密风险?

加密风险是一种度量标准,用于表示加密手段下用户数据的安全程度。在上下文中,专家使用“数据风险”来代表未受保护的敏感数据,使用“平台风险”或者“基础架构风险”来表示计算机系统中尚未修复的漏洞所处的实际位置或者是系统内部的安全性。

为了评定这些风险标准,企业采取了一系列工具进行检测,从未被保护的用户敏感数据,比如社会保险号、信用卡等信息,再到运营体系和应用的未被修补的漏洞。然而,很多企业组织却没有一套有效的风险测量工具,检测加密保护手段下的数据安全程度。换句话说,当前衡量加密风险标准还没有一种合适的方法。

创建加密风险标准有助于进一步推进数据安全的发展。该标准应考虑到所有导致加密数据不安全的因素,这或许涉及以下一些问题的回答:

使用哪种算法可以保证密码的完整性?(比如MD-5,SHA-1,SHA-236,SHA-3等) 保护用户数据和企业业务相一致的的加密秘钥长度有哪些?(例如AES-128,AES-256等) 使用哪种算法使得加密具有完整性(例如,MD-5,SHA-1,SHA-236,SHA-3等)? 您的证书什么时候到期(例如12月31日午夜)? 谁签发了您的证书、如何对其进行验证以及可以(或已经)将其吊销? 企业当前的系统和应用程序上安装了哪些加密库或软件?它们足以保护数据吗?

就像恶意软件和事件管理一样,这类问题不胜枚举。然而,知道这个问题答案的企业则懂得如何长期使用和管理他们的加密资产,能够持续地评估真正保护企业数据的有效资产有哪些。

“量子计算机来了!”

或许在加密风险评估方面,量子的发展已然落后了,但是故事并没有就此戛然而止。在刚触及算力的门槛,安全团队就面临了加密方面的巨大挑战。量子时代,再进一步来说是计算时代,有望解决传统二进制计算机目前无法解决的实际问题。

量子计算机备受期待的一个原因在于,他们可以有效实现 Shor算法和Grover算法。

Shor算法即舒尔算法,于1994年被发现,是一种针对整数分解的量子算法。Grover算法是Grover于1996年提出的量子搜索算法,这是一种对空间进行完全搜索的优化算法。

这两种算法在追踪加密秘钥方面比传统计算方法省时得多。当量子计算机能够实现这两种算法时,并且以合理价格在消费者之间推广开来,这时我们将看到攻击者会削弱现有对称算法(如AES)的加密强度并能够有效消除现有非对称算法(如今常用的如RSA或者ECC)。

目前,我们尚未发展到那个程度,事实上,连一台量子计算机也没有,更别说消除RSA秘钥强度了。尽管有些专家认为再过20年就能实现,但是也只是预测。美国国家标准技术研究院(NIST)已着手引入新的抗量子加密算法。这些后量子密码术(PQC)算法有望抵抗量子计算机的强大功能。

目前,IBM和NIST开展CRYSTALS项目合作,正在评估两种算法,希望能在未来几年内能够使用新算法并且标准化。使用能承受下一代计算机强大功能的加密算法,有助于为专业人员保护关键数据甚至是存档数据提供新的方法。

当今的加密风险

即使没有量子计算机问世带来的风险,其他加密风险也迫在眉睫,比如包含一些简单却长期存在的问题,比如使用过时的加密算法、简短的密钥和来源不明或者即将过期的证书等。如果这些问题检测不到或者不加管理,那么对于数据保护和企业的业务持久性来说就是一个紧迫的、现存的威胁。

微软和Let’s Encrypt近期强调了证书管理不当会对企业业务连续性产生不利影响。因此,随着业务深入,问题会越来越复杂,采取合适的方法来处理这个问题十分重要。比如,苹果的做法是主动屏蔽任何超过一年的信任证书。否则黑客可以充分利用企业不系统的证书管理,伪造证书安全警示感染企业计算机。

因此,加密资产(比如证书、密钥、算法和库)的管理不当或者是没有管理是一个很严重的问题,这不仅会影响业务的连续性,还会给黑客机会找到企业数据安全的漏洞。加密风险是一个很普遍的问题,需要人们加以重视,予以解决。

加强数据安全链

数据安全这扇大门,我们上锁了、加链条了,但是现在,锁旧了、链条锈了,保护强度也很薄弱。如果企业数据面临风险,那么数据安全团队有责任测试每个环节的保护强度并采取措施进行整个链条的强化。

提及加密,我们有很多个部分需要加强,比如算法、变化的密钥大小、证书、非对称密钥对、对称密钥、轮替密钥、密钥分发等。为了处理加密风险,需要一种以简化的组合视图显示与加密相关的风险整体趋势的方法。如果没有一种方法来衡量这种加密风险,安全团队将无法对其进行管理。

*参考来源:Securityintelligence,Sandra1432编译,转载请注明来自FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf),作者:Sandra1432

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-05-09

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 量子计算从概念走入现实,公钥加密是否岌岌可危

    量子计算,梦幻概念走进现实,那如果走向商业化呢? 量子计算的概念起源于20世纪80年代,量子物理学蓬勃发展引发了量子计算的概念。利用量子物理学来重构计算机系统,...

    FB客服
  • 买台量子计算机,分分钟破解加密算法

    听到“量子计算”这个名字,就感觉是电子科技的高端领域。以最直白的方式表达,量子计算的核心就是计算速度相较传统晶体管计算机的大幅跃升。 一旦计算能力获得极为可观的...

    FB客服
  • 谷歌72位量子计算机面世,比特币还安全吗?

    在今年于洛杉矶举办的美国物理学会年会上,谷歌放了一个大招,发布全球首个 72 位量子比特通用的量子计算机 Bristlecon,实现 1% 的低错误率,与谷歌之...

    FB客服
  • IBM量子计算新突破:成功构建50个量子比特原型机

    维金 编译整理 量子位 出品 | 公众号 QbitAI ? IBM去年开始以云计算服务的形式提供量子计算能力。当时,IBM发布了包含5个量子比特的计算机。在短短...

    量子位
  • app微信支付(一) - 微信支付基本业务流程解析

    想必微信支付是现在很多朋友离不开的一个功能,不论是扫描支付还是公众号支付或者app端支付,基本的思路都是一样的,之前做过支付宝支付以及中国移动支付接口,这几天花...

    风间影月
  • spring 学习(四): spring 的 jdbcTemplate 操作

    spring 针对 javaee 的每一层,都提供了相应的解决技术,jdbcTemplate 的主要操作在 dao 层。

    希希里之海
  • 互联网广告该拦吗?

    360浏览器拦截百家广告事件还没有划上句号。今天早晨(2014.2.16)百家测试人员通过360浏览器访问百家页面时仍然被提示是否要进行广告拦截。但愿这...

    罗超频道
  • 编程小白 | 每日一练(136)

    这道理放在编程上也一并受用。在编程方面有着天赋异禀的人毕竟是少数,我们大多数人想要从编程小白进阶到高手,需要经历的是日积月累的学习,那么如何学习呢?当然是每天都...

    C语言入门到精通
  • Mac上用docker安装SQLserver

    悠扬前奏
  • python使用数据库

    使用python-DB-API,只需要搞清楚Connection、Cursor对象,打开后一定得关闭。

    py3study

扫码关注云+社区

领取腾讯云代金券