David Schwartzberg, a Sophos vezető biztonsági mérnöke, a Sophos NakedSecurity blogból
Eléggé egyértelműnek tűnik, hogy megbízható biztonsági szokások bevezetésével - mint amilyen a titkosítás is - garantáltan megvédhetjük a vállalati titkainkat. Vagy mégsem?
Adatvédelmi és titkossági szakértőként úgy érzem, hogy még a legjobb kriptografikus algoritmus is használhatatlan, amikor egy bárki által elérhető titkot kell megvédeni.
Gondolkozzunk el erről egy pillanat erejéig. Ön hogyan védi a saját titkait?
Ha Ön vagy a cége használ titkosítást, azt megfelelően valósítják meg?
Most komolyan. Hagyjuk az egót egy pillanatra és gondolkozzon el a saját legjobb gyakorlatainak lehetséges hiányosságairól. Mielőtt élesbe ment volna, bevonta a szoftver gyártóját vagy egy biztonsági szakértőt a lehetséges hiányosságok feltárására?
Például Ön hol tárolja a kulcsait? Várjunk csak, még egy dolog. Szimmetrikus vagy aszimmetrikus kriptográfiát valósít meg?
Ha szimmetrikust, hogyan védi az Adat Titkosítási Kulcsokat (Data Encryption Key - DEK) a jogosulatlan terjesztéstől és másolástól?
Ha aszimmetrikus, hogyan védi a mester kulcsot a jogosulatlan hozzáféréstől és terjesztéstől? Hány személy férhet hozzá a visszaállító jelszóhoz és hány darabból áll?
Remélhetőleg magabiztos a válaszait illetően, de ez nem minden a titkok biztonságban tartásához. Csak egy jó kezdet.
Ismeri a Google szándéknyilatkozatát?
Hihetetlen munkát végeznek, hogy „...egy helyre rendezzék a világon található információkat és univerzálisan bárki által elérhetővé és hasznossá tegyék azokat." Nem a saját hibájukból, de néha túl jól végzik a dolgukat.
Példának okáért legeneráltam néhány PGP kulcsot egy iGolder-nek nevezett weboldalon.
Az iGolder felad egy oldalt, hogy biztonságosan kommunikáljunk velük, az oldal egyik tagjával vagy a barátunkkal. Milyen szép tőlük, hogy kulcsgenerálást biztosítanak a netező tömegeknek!
Kiváncsiságból úgy döntöttem, lefuttatok egy Goggle web keresést a „BEGIN PGP PRIVATE KEY BLOCK" kifejezésre, amely végül 29,500 találatot adott.
Az eredmények első oldalán a 10-ből 6 találat lefordított vagy egy ASCII Armor (.asc) fájlra mutatott. Nem akartam elhinni, hogy a 29,500 találat 50%-a ASC fájlokra mutatott.
Kicsit finomítottam a keresésen, beírtam a „BEGIN PGP PRIVATE KET BLOCK filetype:asc" kifejezést, ez 21,300 találatot adott.
Gondoltam is, hogy „Most komolyan, emberek? Ennyi entitás implementált PGP-t és hagyta a PRIVATE kulcs blokkot olvashatónak a PUBLIKUS weboldalán?"
Megpróbáltam racionalizálni ezt egy kicsit, kihagytam az utolsó találati oldalt. Azt találtam, hogy az ASC fájlok nagyrésze valójában PUBLIKUS ASC kulcs blokk. Ez azért jobb.
További finomítások után 122 találat jött ki. Adatvédelmi szempontból ez a 122 még mindig nagyon sok. Még ha csak teszt kulcsokról is van szó.
Ez a 122 entitás végigment a PGP implementálás folyamatán, titkaik megvédéséhez ezt a titkosítási formát választva, de titkaikhoz a titok publikussá vált.
Bármelyikük is találkozik adatsértéssel, 100%-osan védtelenek lesznek, és a következmények is gyorsan érezhetővé válnak.
Azt tanácsolom, hogy mindenki tekintse át vállalatának adatbiztonsággal kapcsolatos gyakorlatait, még akkor is, ha már alkalmazásba kerültek. Félre kelll tenni az egót és nem szabad a babérjainkon ülni, ez pedig mindig jó kezdetet jelenthet.
Nézzék meg, hogyan és hol tárolják a mester és a visszaállító kulcsokat. Győződjenek meg arról, hogy a titkainkat védeni hívatott kulcsokat egy másik biztonsági réteggel is védjük. Erre jó példa, hogy egy szimmetrikus DEK-et egy Kulcs Titkosítási Kulcs (Key Encryption Key), azaz KEK véd, amely csak tanúsítvány-alapú hitelesítés által hozzáférhető. Persze olyan dolgokat alkalmazzon a vállalatánál, amelyeknek van is értelme.
A történet tanulsága az, hogy még egy igencsak jó titkosság sem elég, ha azt igencsak gyengén alkalmazzák.
További információ angol nyelven