加密是加強網(wǎng)絡(luò)安全的一個核心原則,網(wǎng)絡(luò)攻擊者通常無法竊取已經(jīng)加密的數(shù)據(jù)。很多黑客無法獲取采用良好加密措施的數(shù)據(jù),更不用說采用“多層加密”措施的數(shù)據(jù)。但是加密也面臨著很多挑戰(zhàn)。
在安全廠商Cyber Security Competency 公司在去年秋天開展的一項調(diào)查中,66%的受訪者表示,加密密鑰的管理對他們的公司而言是一個大挑戰(zhàn)。而在多個云平臺管理密鑰是一個更大的挑戰(zhàn)。
波洛蒙研究所和Encryption咨詢公司在去年進(jìn)行的類似調(diào)查中,60%的受訪者表示,密鑰管理“非常痛苦”。
那么造成這種痛苦的最主要原因是什么?組織需要知道誰負(fù)責(zé)所有密鑰。其他痛點包括缺乏熟練的人員以及孤立或零散的密鑰管理系統(tǒng)。
與此同時,加密技術(shù)在不斷發(fā)展,要在所有加密算法上保持領(lǐng)先地位是一個挑戰(zhàn)。加密涉及一些繁重復(fù)雜的數(shù)學(xué)運算,因此很容易犯錯誤。
受訪者預(yù)計,企業(yè)將在未來十年內(nèi)采用新方法,例如多方計算、同態(tài)加密和量子算法。
競爭激烈
與任何安全技術(shù)一樣,加密是一種貓和老鼠之間的無窮無盡的游戲。網(wǎng)絡(luò)攻擊者試圖找到算法中的漏洞。為了跟上技術(shù)發(fā)展的步伐,防御者將會改進(jìn)算法,增強算法的實現(xiàn)方式或增加加密密鑰的長度。這意味著任何長期的加密策略都必須允許升級算法或密鑰。
Insight公司云計算和網(wǎng)絡(luò)安全高級經(jīng)理Mike Sprunger表示,組織需要采用例如管理互聯(lián)網(wǎng)通信的服務(wù)器。要對消息進(jìn)行加密,發(fā)送方和接收方都必須就使用的加密方法和密鑰長度達(dá)成一致。
他說:“在部署這些服務(wù)器時,會列出一系列從最理想到最不理想的算法,它們將協(xié)商以找到最高級別的匹配項。不幸的是,這些算法可能會過時。在通常情況下,在部署服務(wù)器時,工作人員再也不會接觸它們。”
很多密鑰在創(chuàng)建和使用之后并立即丟棄。然而,當(dāng)涉及到長期儲存的數(shù)據(jù)時,這些密鑰必須使用多年的時間。一些組織有業(yè)務(wù)或法規(guī)要求將數(shù)據(jù)保留十年或更長時間。
如果加密技術(shù)變得過時,或者密鑰本身被泄露,數(shù)據(jù)中心必須解密原有的所有數(shù)據(jù),然后使用更好的加密方法再次對其進(jìn)行重新加密。
Sprunger說:“一個良好的做法是定期更換密鑰。”
如果數(shù)據(jù)中心操作人員獨自一人做這件事情,很容易成為管理上的噩夢。他說:“良好的供應(yīng)商有一種機制來遍歷、回收和替換密鑰。如果出現(xiàn)任何問題并且密鑰丟失,那么數(shù)據(jù)也將丟失。”
加密在生成用于對系統(tǒng)、用戶和應(yīng)用程序進(jìn)行數(shù)字簽名和身份驗證的證書時也起著重要作用。如果這些證書過期、丟失或泄露,組織可能會失去對其應(yīng)用程序的訪問權(quán)限,或者網(wǎng)絡(luò)攻擊者可能獲得訪問權(quán)限。
Sprunger說:“大多數(shù)組織在管理這方面做得并不好。而且,如果他們不能正確地管理證書,則可能會面臨關(guān)閉其組織的風(fēng)險。我建議,如果他們不擅長管理證書,則應(yīng)該尋求第三方提供商的幫助。”
硬件加密面臨的障礙
如果加密是由硬件處理的,那么對于選擇購買和維護(hù)自己設(shè)備的數(shù)據(jù)中心來說,升級可能是一個特殊的挑戰(zhàn)。硬件加速可以提高速度和安全性,但是硬編碼算法也可能變得陳舊過時。
Sprunger說:“現(xiàn)在必須回去更換設(shè)備,以獲得不同的算法或更大的密鑰大小。”
另一方面,如果某個特定的系統(tǒng)具有嵌入式的基于硬件的加密(例如加密硬盤),那么當(dāng)更換設(shè)備時,新設(shè)備將自動在其中進(jìn)行更新和更好的加密。
IEEE研究員、Coughlin協(xié)會總裁Tom Coughlin說:“這將是很輕松的升級過程。由于基于軟件的加密包含多個系統(tǒng),升級可能是一個更大的挑戰(zhàn)。這可能會有一些問題,這取決于問題的數(shù)量以及它們之間的相互依賴程度。”
評估加密
Insight公司云計算和網(wǎng)絡(luò)安全高級經(jīng)理Sprunger表示,在選擇加密供應(yīng)商時,數(shù)據(jù)中心應(yīng)該尋找那些符合FIPS 140-2標(biāo)準(zhǔn)的供應(yīng)商。
獲得這種認(rèn)證既困難又昂貴,涉及第三方安全性審查,但這需要政府的授權(quán)。
他說:“作為一家制造加密設(shè)備廠商的技術(shù)工程總監(jiān)來說,這是一個艱難的過程。任何供應(yīng)商都應(yīng)該能夠立即對有關(guān)合規(guī)性的問題作出回應(yīng)。”
等待標(biāo)準(zhǔn)出現(xiàn)
有許多供應(yīng)商和組織致力于開發(fā)新的加密技術(shù)并創(chuàng)建所需的標(biāo)準(zhǔn),以確保都朝著同一方向發(fā)展。數(shù)據(jù)中心管理者希望購買能夠為未來奠定基礎(chǔ)的設(shè)備,他們必須等待技術(shù)和標(biāo)準(zhǔn)的出現(xiàn)。當(dāng)使用相同的密鑰來鎖定和解鎖數(shù)據(jù)時,就對稱加密而言,目前的情況更為清晰。
英特爾公司高級首席工程師Simon Johnson表示,要保證數(shù)據(jù)安全一兩年的時間,目前采用的128位加密措施就足夠了。
他說,“如果組織的數(shù)據(jù)希望保留15到20年,那么至少使用256位加密。即使量子計算機到來,也能保證數(shù)據(jù)安全。幸運的是,當(dāng)今的芯片可以支持這種級別的加密。使用AES(高級加密標(biāo)準(zhǔn))操作就可以做到這一點。這只是更改軟件以適應(yīng)密鑰長度的問題。”
非對稱加密(其中一個密鑰用于加密消息,而另一個密鑰用于解密消息)則更具挑戰(zhàn)性。這是用于通信的加密類型,也稱為公鑰基礎(chǔ)設(shè)施。
他表示,這種加密技術(shù)的下一階段發(fā)展仍在進(jìn)行中。他說:“我們?nèi)栽诘却绹鴩覙?biāo)準(zhǔn)技術(shù)研究所(NIST)和學(xué)術(shù)界真正致力于提供在后量子計算時代中進(jìn)行非對稱加密的機制。我們在等待相關(guān)標(biāo)準(zhǔn)。不僅僅是英特爾公司,全世界都在等待標(biāo)準(zhǔn)。因為在量子計算技術(shù)出現(xiàn)之后,數(shù)據(jù)中心領(lǐng)域?qū)⑿枰碌臉?biāo)準(zhǔn)。”
但是創(chuàng)建新的加密算法,進(jìn)行測試、創(chuàng)建標(biāo)準(zhǔn),并獲得業(yè)界的認(rèn)可,然后部署,這一過程需要長達(dá)數(shù)年的時間。而新的加密算法需要適用于當(dāng)前使用的協(xié)議。
他說:“但是誰知道這些新算法會是什么樣子呢?”
他建議,著眼未來的數(shù)據(jù)中心管理人員應(yīng)首先轉(zhuǎn)向256位加密以保護(hù)存儲。對于通信中使用的非對稱加密,更長的密鑰可以為未來的應(yīng)用提供足夠的安全性。
他說,“沒人知道量子計算機何時會出現(xiàn),這個時間可能是5到8年之后。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。