Κεφάλαιο 21ο - Τι είναι η #κρυπτογράφηση#
Κρυπτογράφηση ονομάζουμε τη διαδικασία κωδικοποίησης της πληροφορίας με τέτοιο τρόπο ώστε να εμποδίζει την ανάγνωσή της από μη εξουσιοδοτημένα μέρη.
Μήκος κλειδιού και ισχύς #κωδικοποίησης# Η ισχύς της κρυπτογράφησης συχνά ταυτίζεται με το μήκος του κλειδιού (bits) και τον αλγόριθμο κρυπτογράφησης που χρησιμοποιείται. Ο απλούστερος τρόπος για να “σπάσει” η κρυπτογράφηση είναι να δοκιμαστούν όλα τα πιθανά κλειδιά. Η τεχνική αυτή είναι γνωστή ως επίθεση #brute-force#, αλλά πλέον το μήκος των κλειδιών κρυπτογράφησης έχει κάνει αυτή την προσέγγιση αναποτελεσματική.τερόλεπτο. Ο συνολικός χρόνος για να ελεγχθούν όλοι οι πιθανοί συνδυασμοί αγγίζει τα περίπου 1,5 τρις έτη.
Έτσι, συνήθως οι επιτιθέμενοι δεν προσπαθούν να κάνουν reverse-engineer του αλγόριθμου κρυπτογράφησης ή να τον “σπάσουν” με brute force. Αντ’ αυτού, αυτό που κάνουν είναι να ψάχνουν για τρωτά σημεία στο λογισμικό κρυπτογράφησης, ή να προσπαθήσουν να μολύνουν το σύστημα με κακόβουλο λογισμικό, το οποίο θα προσπαθήσει να υποκλέψει τους κωδικούς πρόσβασης ή το κλειδί κρυπτογράφησης την ώρα που υποβάλλεται σε επεξεργασία.
Για να ελαχιστοποιήσετε αυτούς τους κινδύνους, θα πρέπει να χρησιμοποιήσετε κάποιο ανεξάρτητο και αναγνωρισμένο εργαλείο κρυπτογράφησης, καθώς και να διαθέτετε κάποια προηγμένη και ενημερωμένη λύση κατά των επιθέσεων και των ιών.
Πως λειτουργεί;
Συνήθως, η κρυπτογράφηση εφαρμόζεται με δύο διαφορετικούς τρόπους:
Κρυπτογραφημένη αποθήκευση – χρησιμοποιείται συνήθως για την κρυπτογράφηση ενός ολόκληρου δίσκου, drive ή συσκευή.
Κρυπτογραφημένο περιεχόμενο – ή τμηματική κρυπτογράφηση – είναι η κρυπτογράφηση αρχείων, ή κειμένου, σε επίπεδο εφαρμογής.
Η πιο συχνή κρυπτογράφηση είναι το e-mail. Στην περίπτωση αυτή το format του μηνύματος πρέπει να παραμείνει άθικτο, ούτως ώστε να μπορεί να διαχειριστεί από τον e-mail client. Το τμήμα που υφίσταται κρυπτογράφηση είναι το σώμα κειμένου του e-mail, όπως επίσης και τα επισυναπτόμενα σε αυτό αρχεία.
Τι χρειάζομαι;
Ενώ το μήκος του κλειδιού και οι δυνατότητες του σχετικού λογισμικού που θα χρησιμοποιηθεί είναι πολύ σημαντικές παράμετροι, δεν υποδηλώνουν το πόσο καλά ένα πρόγραμμα αποδίδει από την οπτική του χρήστη, ή του διαχειριστή.
Πιστοποίηση FIPS - 140
Η πιο γνωστή και αποδεκτή ανεξάρτητη πιστοποίηση είναι το πρότυπο FIPS-140. Εάν ένα προϊόν ακολουθεί το FIPS-140, τότε είναι ήδη πιο ασφαλές από ότι θα απαιτηθεί από τις περισσότερες περιστάσεις και θα γίνει αποδεκτό από τον GDPR και άλλους κανονισμούς.
Ευκολία χρήσης για μη τεχνικούς Ανά πάσα στιγμή μπορεί να βρεθείτε αντιμέτωποι με την κατάσταση κατά την οποία οι υπάλληλοί σας θα πρέπει να λάβουν την απόφαση κρυπτογράφησης ενός εγγράφου, e-mail ή όχι. Είναι ζωτικής σημασίας το να μπορούν να χρησιμοποιήσουν το σχετικό λογισμικό που θα έχουν στη διάθεσή τους, έχοντας τη σιγουριά ότι ούτε θα κλειδώσει τους ίδιους απέξω, ούτε τους εξουσιοδοτημένους παραλήπτες.
Απομακρυσμένη διαχείριση των κλειδιών, των ρυθμίσεων και της πολιτικής ασφαλείας
Για να αποφύγετε την κατάσταση κατά την οποία το προσωπικό σας λαμβάνει αποφάσεις που έχουν να κάνουν με την ασφάλεια, η κρυπτογράφηση θα πρέπει να επιβληθεί παντού. Ωστόσο, αυτό θα έχει ως αποτέλεσμα τον περιορισμό των νόμιμων επιχειρηματικών διαδικασιών και τον “στραγγαλισμό” της παραγωγικότητας. Η προσθήκη της δυνατότητας απομακρυσμένης διαχείρισης η οποία επιτρέπει την αλλαγή των κλειδιών κρυπτογράφησης, τη λειτουργικότητα ή την πολιτική ασφαλείας για τους απομακρυσμένους χρήστες, οι οποίοι συνήθως αντιπροσωπεύουν και το μεγαλύτερο πρόβλημα σε ότι αφορά την ασφάλεια μιας επιχείρησης, σημαίνει ότι οι προεπιλεγμένες ρυθμίσεις για την επιβολή της πολιτικής κρυπτογράφησης και ασφάλειας μπορεί να ρυθμιστεί σε πιο υψηλή ιεραρχία, χωρίς να περιορίζεται η κανονική ροή των εργασιών οπουδήποτε αλλού μέσα στην επιχείρηση.
Διαχείριση των κλειδιών κρυπτογράφησης Μία από τις μεγαλύτερες προκλήσεις σε επίπεδο χρηστικότητας είναι το πώς οι χρήστες αναμένεται να μοιραστούν κρυπτογραφημένες πληροφορίες. Υπάρχουν δύο παραδοσιακές μέθοδοι:
Κοινόχρηστοι κωδικοί πρόσβασης: Εδώ το πρόβλημα έχει να κάνει με το ότι στην περίπτωση που είναι εύκολοι στην απομνημόνευση είναι παράλληλα και ανασφαλείς, ή όταν είναι ασφαλείς είναι αδύνατο να τους απομνημονεύσει κανείς. Στην περίπτωση αυτή είτε ξεχνιούνται, είτε γράφονται σε κάποιο χαρτί ή αρχείο, υποθάλποντας την ίδια την ασφάλειά τους.
Δημόσιο-κλειδί κρυπτογράφησης: Η μέθοδος αυτή λειτουργεί καλά σε μικρότερες ομάδες εργασίας με μηδενικό ή πολύ χαμηλό κύκλο εργασιών του προσωπικού, αλλά γίνεται περίπλοκη και προβληματική σε μεγαλύτερες ή πιο δυναμικές ομάδες.
Η χρήση κεντρικής διαχείριση των κοινόχρηστων κλειδιών κρυπτογράφησης αποφεύγει αυτά τα προβλήματα, έχοντας ως πρόσθετο πλεονέκτημα της αντιγραφής του τρόπου με τον οποίο τα φυσικά κλειδιά χρησιμοποιούνται για να κλειδώνουν τα σπίτια, τα αυτοκίνητα, κλπ. Το προσωπικό έχει ήδη κατανοήσει τη φιλοσοφία αυτή και απαιτείται η επεξήγηση του τρόπου λειτουργίας της διαδικασίας μόνο μία φορά. Σε συνδυασμό με ένα προηγμένο σύστημα απομακρυσμένης διαχείρισης, τα κοινόχρηστα κλειδιά κρυπτογράφησης αποτελούν τη βέλτιστη ισορροπία μεταξύ της ασφάλειας και της πρακτικότητας.
Read more
Σχόλια
Δημοσίευση σχολίου