企業加密：利大于弊否？

poodle攻擊促使很多企業更新其安全做法，以避免因用戶端或伺服器回退到安全套接字層（ssl）3.0導緻的企業加密漏洞（ssl 3.0是比較舊的，但廣泛用于加密傳輸資料的通信協定）。谷歌在2014年10月發現ssl 3.0漏洞。

美國信用評分機構fico因fico評分及欺詐防護分析而出名，表示這種針對poodle漏洞利用的中間人攻擊威脅需要在内部更新其伺服器。此外，fico要求客戶修複自己的軟體來支援傳輸層安全（tls）加密，即ssl 3.0的替代者。

首席資訊安全官vickie miller表示，fico已覆寫所有加密選項，并遵循着這一領域正取得的所有進步。然而，這種政策并不意味着“沒有任何問題”，miller承認他們在管理異構加密生态系統時面臨一些挑戰。她稱：“但這是擁有多樣化加密功能的可以接受的折衷的辦法。”

加密，有時也被稱為密文，是種很強大的工具，但加密的部署存在風險，從安全握手到加密算法選擇再到公鑰及密鑰。

“在資訊安全領域，我們專注于機密性、完整性和可用性，”pershing technologies llc公司網絡安全副總裁joel bilheimer表示，“我有很多客戶表示他們并不需要擔心資料的保密性，因為其已經加密。”然而，他也指出：“如果沒有正确地部署，加密可能不會帶來任何好處，但卻讓人有安全的錯覺。”

了解你的算法和密鑰

johnson &johnson公司資訊安全前負責人rich guida表示，他了解到，企業成功的加密部署需要確定多個方面的最佳做法。首先，必須選擇合适的加密和密鑰大小（用于加密或解密的變量随機比特數量）以確定安全性。

guida現在管理着自己的咨詢公司guida technology associates，他說道：“我可以從個人經驗告訴你，現在有很多供應商在銷售專有的加密算法。”如果加密是定制化的，這意味着他們并不了解真正的問題。加密算法應該被公衆所知，進而你可以了解其工作原理，因為最終你需要依靠的是密鑰而不是算法。

其次，你需要確定企業加密戰略的部署符合該算法需要遵守的标準。guida稱：“通常情況下，這意味着需要得到标準與技術研究的認可。”對于大多數企業而言，也就是進階加密标準（aes），這是美國聯邦政府在2002年通過的nist電子資料加密規範，該規範已在全世界使用，并已經擴充到私營機構。

作為iso/iec18033-3資料保密标準的一部分，aes算法是一種對稱密鑰塊，它使用相同的密鑰來加密明文和解密密文。“在過去幾年，人們确實發現了aes算法中的一些漏洞，”guida稱，“但它并沒有攻破，它仍然是聯邦政府采用的标準。”另外，aes可通過簡單地部署更長的密鑰長度以随着時間的推移而增加，256位目前排在第一，未來512位可能會取代它。

你還必須確定加密密鑰（以及任何相關資訊）得到适當控制和保護，讓他人沒有辦法來推導出變量字元串。他表示：“如果沒有适當的保護，這就像你鎖好門，把鑰匙留在門口墊子下面。”

forrester research副總裁兼進階分析師john kindervag也認為密鑰管理是目前企業加密面臨的最大挑戰。但是，我們需要比公鑰基礎設施更好的做法，因為從操作角度來看該技術很複雜。pki是由軟體、硬體、數字證書及政策組成的架構，它會捆綁公鑰與身份資訊，識别人員和計算機以確定安全加密。forrester認為，必須接受的獨立加密函數的數量意味着沒有供應商可能提供基于pki的統一加密系統。

kindervag指出，api在其他用例中已證明的價值為加密子系統之間支援互動提供了模式。假設這種趨勢出現，forrester預測這将刺激集中式或企業密鑰管理系統的增長。

糟糕的部署

加密通常是可行的，但大多數與該技術有關的問題在于其部署，而不是使用。tokenex公司聯合創始人兼首席執行官alex pezold表示：“我的意思是，如果你嘗試暴力破解aes256加密的文本，我們将永遠不會看到aes 256推送的初始文本。”但是，如果攻擊者正在尋找用于加密該資料的加密密鑰，那這就是薄弱點所在。

密鑰管理是建構企業加密戰略的最大挑戰之一，因為解密密文的密鑰需要位于環境中的某處，而攻擊者通常知道去哪裡找。那些需要定期通路加密資料的企業通常把加密密鑰放在資料庫管理系統内的存儲流程中，而這部分通常沒有得到充分保護。另一個風險因素是ssl，最近ssl遭到攻破，可能讓你無法再使用它。

為了部署更好的企業加密戰略，首先你要問：加密密鑰保管在哪裡，誰擁有所有權？很多面向消費者的雲服務在服務層儲存私鑰，這意味着你的資料可能會被該服務的管理者通路。這有利于提高可用性，但會影響保密性。

有的資訊安全計劃允許個人在忘記密碼後恢複個人資料，但這與有多個備援通路點的計劃截然不同。你是在為消費産品考慮加密，還是為企業資料考慮加密？這決定着你的安全和風險管理。bilheimer稱：“前者通常隻能由個人通路，而後者必須可供大量使用者通路。”

如果你的加密戰略是為了建構pki，你需要確定你可抵禦中間人攻擊。如果你計劃随着時間的推移來存檔資料，那麼，你需要保管你的密鑰并考慮加密過期問題。

監管問題

對個人可識别資訊（pii）和其他敏感資料的加密并不會幫助企業免受監管審查或幹預。隐私性與國家安全之間的平衡正在轉變，美國和歐洲的情報機構與執法部門就在辯論新近提出的加密法案。

很多資料隐私法必須通過加密來應對，其中一大推動力是資料存儲要求，在kindervag看來，這基本不太可能部署，然而，隐私的問題必須解決。

加密資料也可幫助企業應對很多資料洩露披露法案。這個先例最早是這種法案的“鼻祖”：美國加州安全洩露事故資訊法案（sb-1386）。這個加州法案于2003年通過，它要求保管個人資訊的企業在其未加密pii遭洩露時通知這些個人。有些司法管轄區試圖禁止加密，但這種做法已經不再實用。

企業需要密切關注國際資料隐私法及許可或其他與加密工具相關的法規。有些國家要求企業在必要的情況下解密他們任何産品中的資訊。“可以這麼說，你必須有開箱子的能力，”guida稱，雖然他強調他不是律師，“這可能給企業帶來很大的負擔。”

pezold稱：“出于保護資料隐私性的目的，加密應該廣泛部署，雖然這不可能讓每個人都滿意。最終，與任何技術一樣，加密的強度完全在于其部署。如果沒有适當部署，或者用于確定加密的元件沒有得到适當保護，那麼，加密技術也存在風險。”

本文轉自d1net（轉載）