大家好,欢迎来到IT知识分享网。
目录
加密的工作原理
要了解加密的工作原理,我们需要了解它如何适应更广泛的密码学领域、它如何处理数据、常见类别、顶级算法以及加密如何适应 IT 安全.
什么是加密以及它与密码学的关系
密码学研究代码、如何创建它们以及如何解决它们。 密码学研究中创建的代码称为密码算法或加密算法,而将这些算法应用于数据的过程称为加密。 解密描述了应用算法将加密数据或密文返回为可读形式或明文的过程.
显示密码学和密码分析之间关系的直观图.
显示密码学和密码分析之间关系的直观图.
加密如何处理数据?
加密算法使用数学将明文数据转换为密文。 虽然数学保持不变,但唯一的加密密钥会生成唯一的密文。 密钥可以是随机数、大素数的乘积、椭圆上的点或 用户生成的密码.
一般来说,使用的位数越多、过程越复杂,加密的强度就越强。 加密算法定义如下:
- 应用于变换的数学函数
- 处理的数据块的长度
- 加密密钥大小
- 对数据应用加密的次数(又名:轮次)
算法还可以指定更复杂的技术,例如填充块、密钥大小变化以及同时处理加密和未加密数据的混合.
2 常见的加密类型
两个主要 加密类型 类别有对称和不对称.
对称加密使用单个密钥来加密和解密数据. 对称加密通常用于本地加密(驱动器、文件、数据库等)和数据传输(Wi-Fi 路由器算法、传输层安全 [TLS] 等); 然而,要与其他人、组织或应用程序共享数据,还必须共享加密密钥,这使得密钥容易被盗.
非对称加密使用公钥和私钥 以实现更安全的共享。 用一个密钥加密的数据不能用同一个密钥解密,因此公钥可以自由公开,而不会暴露私钥。 非对称加密的用例包括:
- 数字签名验证
- 建立安全连接
- 共享加密数据
前 4 种加密算法
加密算法根据数学和计算机过程定义数据的转换。 这些算法将不断进行测试以找出弱点,发现难以攻击的算法将被替换。 目前排名前四的算法包括 AES、Blowfish、ECC 和 RSA.
AES 或高级加密标准 2001 年被美国国家标准与测试研究院 (NIST) 采用作为对称加密的标准。 该算法允许使用可变的密钥大小和可变的轮次,以提高随机性和安全性。 AES加密常见于通信协议、虚拟专用网络(VPN)加密、全盘加密和Wi-Fi传输协议中.
河豚 提供 AES 对称加密的公共域替代方案。 它通常被纳入开源应用程序和操作系统中,并且通常用于文件和文件夹加密。 虽然更稳健的 Twofish 算法可以替代 Blowfish,但 Twofish 算法尚未得到广泛采用.
ECC,或椭圆曲线密码学, 创建使用椭圆曲线生成公钥和私钥的非对称加密标准。 虽然不如 RSA 标准那么流行(见下文),但 ECC 可以使用较小的密钥大小生成等效的加密强度,从而实现更快的加密和解密。 ECC 用于电子邮件加密、加密货币数字签名和互联网通信协议.
RSA,或 Rivest、Shamir 和 Adleman 算法, 提供了第一个采用的非对称密钥,至今仍然非常流行。 该算法使用非常大的素数和 2,048-4,096 位的密钥大小。 RSA 仍然常用于安全消息传递、支付应用程序和较小文件的加密.
所有这四种算法预计都会被使用量子计算的技术所激活成功教程,因此正在开发抗量子算法,以便为未来提供加密解决方案。 对于那些对更多细节、其他算法和其他类型的加密感兴趣的人,请考虑阅读 加密类型、方法和用例.
加密工具和 IT 安全
基本协议采用加密技术来自动保护数据,包括互联网协议安全 (IPSec)、Kerberos、Secure Shell (SSH) 和传输控制协议 (TCP)。 加密也可以被纳入到各种 网络安全 和 云安全 解决方案,例如 云访问安全代理 (CASB), 下一代防火墙 (下一代防火墙), 密码管理器, 虚拟专用网络 (VPN),以及 Web 应用程序防火墙 (WAF).
专门 加密工具 可以获取(有些是免费或开源的)以启用特定类型的加密。 更复杂的商业工具提供多种加密解决方案甚至端到端加密.
关键类别 加密工具 包括:
- 本地文件和文件夹加密
- 全盘 加密
- 电子邮件加密
- 应用层加密
- 端到端加密
加密可用于保护数据,但依赖于安全堆栈的其余部分来保护用于加密、解密和发送加密保护数据的加密密钥、计算机和网络设备。 组织应应用加密解决方案来增强和补充现有的网络安全解决方案和策略.
3 加密的优点
加密在保护 IT 环境中的数据方面发挥着多种作用,但所有用途都提供三个关键优势:合规性、机密性和完整性.
遵守
许多 合规标准 要求对静态数据进行某种形式的加密,许多还指定了数据传输的要求。 例如,
- 健康保险流通与责任法案 (HIPAA) 需要加密等安全功能来保护患者的健康信息.
- 家庭教育权利和隐私法案 (FERPA) 需要加密或同等安全措施来保护私人学生记录.
- 公平信用实践法案 (FCPA) 和 支付卡行业数据安全标准 (PCI DSS) 两者都需要安全存储和传输信用卡号和其他个人信息.
组织需要选择适当的加密解决方案来保护驻留(静态)或流经组织(传输)的受监管数据。 这可能需要强大的加密工具或专用加密工具和其他安全解决方案的组合.
保密
加密保护所有数据:
- 在休息, 储存时 在本地、网络或基于云的数据存储库上
- 在途中, 在设备或应用程序之间发送时
- 加工过程中, 当使用同态加密算法时
端到端加密是一个术语,用于描述两种截然不同的加密类型。 第一个是在整个使用生命周期中对数据进行加密,目前这更多的是一个目标,而不是常见的做法。 第二个是在从一个设备到另一个设备的整个传输过程中对数据进行加密.
所有类型的加密都可以保护组织免受网络攻击甚至笔记本电脑丢失造成的数据泄露。 加密使攻击者和未经授权的用户无法读取数据,以保护信息的机密性.
正直
接收数据时,组织需要知道数据的来源和准确性是否可信。 传输协议使用加密来防止数据在传输过程中被篡改和拦截。 加密协议还可以验证来源的真实性并防止发送者否认自己是传输的来源.
例如,安全超文本传输协议 (HTTPS) 协议支持安全 Web 连接,从而提供连接的安全性和完整性。 这种安全和加密的连接可以保护消费者和组织免受欺诈,并实现安全的电子商务交易.
5 加密的挑战
加密在安全方面发挥着至关重要的作用; 然而,持续的攻击会放大错误,攻击者还可以针对组织进行加密。 为了有效部署加密,组织必须解决容量受限加密、加密激活成功教程、人为错误、密钥管理和恶意加密等挑战.
容量受限加密
加密会增加操作的开销,并且执行时可能会占用大量计算资源。 然而,物联网 (IoT) 设备往往采用完成设备设计任务(安全摄像头、打印机、电视等)所需的最少计算资源来设计.).
虽然移动设备的计算限制比物联网少,但移动设备会限制计算以避免消耗电力和耗尽电池寿命。 然而,随着物联网和移动设备变得越来越普遍,它们越来越成为攻击者的目标.
NIST 继续鼓励开发 轻量级密码学 可以在受限环境中使用,研究人员还继续探索可以使用更少的功耗和内存执行加密的新型硬件(微芯片、架构等).
在这些解决方案广泛使用之前,组织需要认识到加密可能无法平等地部署在移动和物联网设备上。 可能需要向这些设备添加补偿控制(并进一步增加运营开销),或者需要阻止这些设备访问受监管的敏感数据.
虽然移动设备和物联网仍然是当前研究的焦点,但容量限制也可能适用于配置不足的端点、服务器和容器。 处理加密将增加大量的计算开销,安全和运营在选择加密解决方案时都需要确保考虑当前的资源限制.
激活成功教程加密
有缺陷的算法、强力的计算能力和故意削弱的算法可能会使良好的加密实践变得毫无用处。 在每种情况下,激活成功教程的加密都可能导致数据泄露,但风险的性质仍然不同.
有缺陷的算法
随着密码学的发展,旧加密算法的弱点逐渐暴露出来。 将开发新的加密算法来取代旧算法,但组织和工具可能落后于加密的发展优势,从而带来未来数据泄露的风险.
例如:
- 原始 NIST 支持的数据加密标准 (DES) 的密钥大小不足,导致了高级加密标准 (AES) 的开发)
- 较旧的有线等效隐私 (WEP) 和原始 Wi-Fi 保护访问 (WPA) 无线协议被发现存在加密缺陷,已被 WPA 版本 3 (WPA3)
尽管已被替换且不再打算使用,但拥有较旧数据存储库或较旧设备的组织可能会发现仍在使用过时的加密标准。 虽然发现和消除过时和有缺陷的加密算法可能很困难,但忽略过时的加密会为受弱算法保护的数据留下后门.
暴力攻击
加密算法使用数学来锁定数据,但计算机可以通过强力计算能力来攻击该数学。 弱密码和短密钥长度通常可以让暴力攻击快速获得结果,尝试有条不紊地猜测密钥来解密数据.
现代加密算法使用分层密钥和基于素数的巨大密钥长度,使大多数暴力攻击变得不可行。 即使拥有云规模的资源,也需要花费数年时间对算法应用昂贵的计算能力才能产生结果。 然而,量子计算的兴起有可能使我们当前的加密代码迅速被激活成功教程.
为了应对这一挑战,组织必须首先确保其用户不使用容易受到当前暴力攻击的弱密码或短密钥长度。 其次,他们必须探索抗量子计算的选项,因为它们可用于最敏感的数据.
最后,今天被盗的数据可能在十年或更长时间内都无法激活成功教程,但量子计算可能在未来激活成功教程这些密码。 组织必须继续强化其整体安全性,以防止所有数据泄露并避免依赖加密进行保护.
了解有关密码分析威胁的更多信息 彩虹表攻击和密码分析防御.
故意削弱算法
世界各地的政府和执法官员,特别是五眼联盟 (FVEY) 情报联盟,为了国家安全和安保的利益而推动加密后门。 犯罪组织和恐怖组织加密在线通信的增加为政府故意添加缺陷或特殊解密功能提供了借口.
加密后门的反对者一再抱怨政府规定的加密缺陷使所有隐私和安全面临风险,因为同样的后门也可能被黑客、不道德的政府和外国对手利用。 虽然商业工具正式抵制并否认添加后门,但大多数组织将缺乏资源来调查其加密工具是否存在故意的弱点.
与此同时,联邦调查局 (FBI) 等执法机构批评提供端到端加密的科技公司,认为这种加密会阻止执法部门访问数据和通信,即使有搜查令也是如此。 美国联邦调查局 (FBI) 将此问题称为“陷入黑暗”,而美国司法部 (DOJ) 则宣称需要“负责任的加密”,技术公司可以根据法院命令解锁这种加密.
在政府立法中也可以看到对专业和个人加密的压力。 2018年,澳大利亚通过了一项电信和其他立法修正案,允许对入境澳大利亚时拒绝提供所有数字设备密码的游客处以五年监禁.
组织几乎无法防御故意削弱的算法,但可以尝试使用多种类型的加密来降低风险。 然而,这些额外的加密步骤只能在技术意义上防止未经授权的访问,并不会减少与政府调查相关的任何法律风险.
人为错误
人为错误仍然是对每一层安全(包括加密)的严重威胁。 即使未来的抗量子加密算法也容易受到发布到 GitHub、附加到发送给错误收件人的电子邮件或意外删除的加密密钥的影响.
大多数错误可以归类为密码选择不当、加密密钥丢失或加密密钥保护不当.
密码选择错误 主要适用于用于保护 Wi-Fi 网络或加密文件和文件夹的对称加密算法。 用户倾向于重复使用密码或使用易于记住的密码,这些密码很容易被猜出或通过暴力攻击激活成功教程.
虽然对于非关键信息来说可能是可接受的,但在攻击者利用它们之前,需要检测并更改选择不当的密码。 组织需要对保护受监管和关键信息的加密应用内部强力攻击,以确保其安全.
为了帮助防止错误密码,组织可以集中管理密码并提供 密码管理器 为员工提供解决方案。 然而,随着密码变得更加集中控制,攻击者将把重点转向攻击中央存储库,并且应该对存储库防御应用额外的安全层.
丢失加密密钥 只是破坏对数据的访问。 虽然技术上可以在不丢失加密密钥的情况下解密数据,但如果加密系统设计得当,则需要大量的计算资源和技能.
向员工分发加密工具时必须附带有关丢失密钥的培训和警告。 通过集中控制和防止下载和使用未经授权的加密软件可以减少密钥丢失的情况.
加密密钥保护不佳 通过将密钥暴露给公众访问或将密钥泄露给潜在的攻击者,会导致不同的问题。 组织需要跟踪加密密钥才能部署 数据丢失保护 (用于检测意外密钥泄露的 DLP)解决方案.
集中管理的加密可以通过将密钥管理交给经过培训以保护其完整性的专家来帮助防止密钥丢失和意外泄露。 组织应考虑密钥丢失或损坏时密钥管理实践如何支持加密数据的恢复。 同样,组织应该管理加密密钥的分发和可用性,以帮助限制泄露风险.
密钥应存储在受保护且隔离的存储库中,并受以下保护: 身份和访问管理 (IAM)工具, 特权访问管理 (PAM)工具, 多重身份验证 (MFA),甚至 零信任 建筑学。 一些组织将通过将加密密钥封装在加密容器(密钥包装)中或使用加密密钥管理工具来进一步增强加密密钥的保护和管理.
密钥管理
随着时间的推移,使用特定加密密钥加密的数据的定期分发会增加暴力攻击的成功概率。 如果攻击者可以收集大量使用同一密钥加密的文件,他们就可以获得可用于提高攻击效率的数据点。 同样,随着时间的推移,意外泄露密钥的风险也会稳步增加.
为了应对这些风险,组织必须采取有效的措施 加密密钥管理. 加密密钥管理主要依赖于有效的加密密钥存储(如上所述)和加密密钥轮换.
密钥轮换或定期更换加密密钥可通过创建移动解密目标来降低暴力攻击成功的可能性。 使用不同的密钥或替换加密密钥可以增强加密能力以长期保护数据.
然而,密钥轮换也增加了复杂性。 第一的, 灾难恢复 密钥检索和解密过程往往会延长工作时间。 其次,加密密钥轮换可能会导致备份或可移动介质中存储的数据无法访问。 需要跟踪和保留以前的密钥,以便能够解密使用这些密钥加密的旧数据.
恶意加密
虽然大多数挑战涉及组织的安全策略和加密操作使用,但攻击者在网络攻击期间也会恶意使用加密。 组织必须监视并尝试检查整个组织中的加密流量和加密软件的使用情况,以检测恶意活动.
使用恶意加密的两个常见示例包括 勒索软件 以及与命令和控制服务器的加密通信。 勒索软件攻击者将使用加密程序锁定硬盘、文件夹和数据,以防止合法访问.
更好的 防病毒软件 (视音频), 端点检测和响应 (EDR),以及 扩展检测和响应 (XDR)解决方案可以检测并阻止一些攻击。 然而,许多有效的勒索软件攻击在攻击中使用合法的加密工具来冒充授权活动并使检测变得复杂.
命令和控制攻击同样冒充合法流量,使用 TLS 等加密协议来避免防火墙检查. 下一代防火墙 (下一代防火墙)和 安全网络网关 (SWG)可以检查流经其解决方案的流量,以针对此类攻击提供一些保护.
加密的历史
密码学的使用比计算机早了几千年。 朱利叶斯·凯撒使用最早记录的密码之一——凯撒移位密码,向偏远地区的罗马军队发送秘密信息.
该代码要求按单独商定的字母数量按字母顺序移动消息。 例如,“三天内的攻击”移动 5 个字母将写为“fyyfhp ns ymwjj ifdx”。 诸如此类的早期文本移位密码被证明是有效的,直到开发出可以检测最常用字母(e、s 等)的文本分析技术.).
现代密码学在 20 世纪 70 年代初随着 DES、Diffie-Hellman-Merkle (DHM) 和 Rivest-Shamir-Adleman (RSA) 加密算法的发展而发展起来。 最初,只有政府追求加密,但随着网络的发展和组织在关键业务流程中采用互联网通信,加密对于保护所有公共和私营部门的数据变得至关重要.
随着这些开创性算法的缺陷逐渐为人所知,密码学家开发了新技术,使加密变得更加复杂,并将它们纳入新算法甚至新的算法分类中,例如非对称加密。 当今的标准加密算法(例如 AES 或 ECC)将被新技术所取代,这些新技术更能抵抗云计算和量子计算日益增强的能力,可用于激活成功教程加密代码.
底线:停止忽视并开始采用加密
尽管许多法规要求加密并且其可用性已超过 50 年,但加密仍然很少被采用。 一项研究 加密咨询 发现全球只有 50% 的企业采用企业加密策略,只有 47% 通过加密保护云托管数据和敏感数据.
企业是规模最大、资金最充足的组织,因此采用率低意味着部署加密需要巨大的费用或巨大的努力。 不对! 采用和合并加密不需要大量预算。 即使是最小的组织也可以利用低成本的加密软件或使用操作系统和其他安全工具中的内置加密功能.
采用加密需要付出一些努力,但好处远远大于挑战。 当今数据的广泛分散和激烈的网络攻击环境使得数据泄露几乎不可避免。 各种规模的组织都需要加密来提供最终的保障措施,以限制泄露数据的财务影响.
免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://haidsoft.com/144486.html
