Mã hóa / bảo vệ dữ liệu - nơi tìm thông tin về các thực tiễn tốt nhất ở cấp độ cao [đã đóng]


8

Tôi cảm thấy rằng không ai trong nhóm tôi làm việc, kể cả bản thân tôi, thực sự tìm hiểu về mã hóa và bảo mật, hoặc lý do đằng sau việc đưa ra quyết định nhất định. Ví dụ, gần đây chúng tôi đã có một cuộc trò chuyện về mã hóa dữ liệu mà chúng tôi xử lý cho một nhóm khác mà chúng tôi làm việc cùng - dữ liệu kết thúc trong cơ sở dữ liệu trên mạng công ty bảo mật của chúng tôi (Tôi làm việc trong một nhóm nhỏ trong một công ty phần mềm lớn, vì vậy tính toàn vẹn của mạng công ty rất cao), cùng với mọi thứ khác mà chúng tôi xử lý. Tất nhiên, hướng dẫn tiêu chuẩn yêu cầu "mã hóa" dữ liệu này.

Rõ ràng, điều đó có thể có nghĩa là nhiều thứ - IPSec / kết nối được mã hóa, tập tin được mã hóa, mã hóa được triển khai trong DB (toàn bộ DB hoặc cột), mã hóa các bit thực tế trong tệp, v.v. - và một số người trong nhóm nằm dưới ấn tượng rằng loại mã hóa duy nhất thực sự được tính là mã hóa trực tiếp các bit được lưu trữ, lập luận rằng mọi thứ khác quá dễ dàng để phá vỡ - "nếu DB được mã hóa, tôi vẫn có thể đăng nhập vào đó và xem dữ liệu ở đó; nếu chia sẻ tệp được mã hóa, miễn là tôi có quyền đối với thư mục, tôi chỉ có thể lấy tệp đó, nhưng nếu các bit được mã hóa trực tiếp, tôi sẽ không thể đọc được ". Bản năng của tôi nói rằng tuyên bố đó dựa trên sự hiểu biết hạn chế: họ có thể thấy mình đăng nhập vào SQL Server Management Studio để xem dữ liệu, nhưng vì họ không biết cách lấy một luồng hoặc mảng dữ liệu được mã hóa và sử dụng chứng chỉ mà họ có thể có quyền truy cập để giải mã nó, nên có thể an toàn. Họ có đúng không? Tôi có đúng không Không ai có vẻ thực sự biết, vì vậy các quyết định có được dựa trên ý kiến ​​của người được trả lương cao nhất hoặc cao nhất.

Dù sao, đó chỉ là một ví dụ mở rộng về những gì tôi đang nói. Tôi cảm thấy như đó là người mù dẫn dắt người mù ở đây, với những quyết định dựa trên sự hiểu biết hạn chế, và điều đó thật khó chịu. Tôi không phải là chuyên gia về các bit kỹ thuật của mã hóa, nhưng tôi biết cách sử dụng các thư viện tiêu chuẩn để mã hóa các luồng và mảng và tương tự - nơi tôi thực sự cần nhiều kiến ​​thức hơn về kiến ​​trúc bảo mật dữ liệu và thông tin mà tôi có thể dựa trên các quyết định như ở trên. Tôi có thể đọc về loại công cụ này ở đâu?


1
"Tất nhiên, hướng dẫn tiêu chuẩn kêu gọi" mã hóa "dữ liệu này." Hầu hết các câu hỏi của bạn dường như sôi nổi lên "chúng tôi không biết hướng dẫn tiêu chuẩn có nghĩa là gì". Những "hướng dẫn tiêu chuẩn" này đến từ đâu? Ai đã gửi chúng cho bạn? Ai chịu trách nhiệm cho họ? Ai kiểm tra sự tuân thủ?
S.Lott

Tất nhiên, bạn là chính xác, và một phần của những gì tôi cần làm là tìm ra những điều này. Cảm ơn.
nlawalker

"là tìm những thứ này ra"? Bạn sẽ có thể trả lời câu hỏi 'Những "nguyên tắc chuẩn" này đến từ đâu?' mà không tìm thấy bất cứ điều gì. Đó là một yêu cầu tài liệu, đúng không? Nếu không, tất cả chỉ là tin đồn và tất nhiên bạn bối rối.
S.Lott

1
+1 cho "người mù dẫn đầu người mù", ít nhất bạn đã đủ khôn ngoan để nhận ra khuyết điểm của mình và tìm kiếm sự giúp đỡ! Tôi chắc chắn hy vọng chúng ta có thể thu thập một số điều thú vị ở đây.
Matthieu M.

Câu trả lời:


4

Kỹ thuật mã hóa của Ferguson & Schneier sẽ cho bạn biết cách sử dụng tiền điện tử đúng cách. Từ âm thanh của câu hỏi của bạn, đó là cuốn sách dành cho bạn.

Cụ thể, trong khi nhiều cuốn sách sẽ dạy cho bạn về các thuật toán được sử dụng trong tiền điện tử - AES, SHA-1, v.v. - Kỹ thuật mã hóa không. Thay vào đó, nó giải quyết việc sử dụng tiền điện tử thông qua cách tiếp cận sách dạy nấu ăn. Khi bạn bảo mật một tin nhắn, bạn có ký tên và sau đó mã hóa tin nhắn không? Hay bạn mã hóa rồi ký? Làm thế nào để bạn kết nối các loại tiền điện tử với nhau để xây dựng một hệ thống an toàn? (Và "an toàn" thực sự có nghĩa là gì?)

Nói tóm lại, nếu bạn muốn sử dụng tiền điện tử , trái ngược với việc học các thuật toán về tiền điện tử, cuốn sách này là dành cho bạn.


3

Bước đầu tiên trong việc sử dụng mật mã một cách hiệu quả là tìm ra mối đe dọa mà bạn đang cố gắng chống lại. Từ âm thanh của sự vật, bạn không có bất kỳ thỏa thuận thực sự nào về điều đó.

Có ít nhất hai điểm cơ bản bạn cần xem xét: đầu tiên, ai có thể có quyền truy cập vào dữ liệu và ai không thể? Bạn có ít nhất một vài người cần truy cập vào dữ liệu và thường ít nhất một vài người nữa (quản trị viên hệ thống) mà bạn sẵn sàng tin tưởng.

Thứ hai, loại "kẻ xấu" nào và loại tấn công nào bạn đang cố gắng bảo vệ chống lại? Bạn đang cố gắng đơn giản để dập tắt sự tò mò của mọi người và ngăn họ tìm thấy những thứ tình cờ, hay bạn đang bảo vệ chống lại một kẻ tấn công nghiêm trọng, người biết mật mã và sẵn sàng dành nhiều thời gian và nỗ lực để truy cập dữ liệu của bạn? Bạn chỉ quan tâm đến việc người ngoài nhìn thấy dữ liệu như (ví dụ) nó được truyền qua Internet, hay bạn phải lo lắng về khả năng máy tính bị đánh cắp vật lý, vì vậy kẻ tấn công có thể nghiên cứu mọi thứ trên máy tính một cách chi tiết khoảng thời gian dài?

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.