加密无处不在 但仍需权衡风险和回报

日期:2014-12-4作者:Sharon Shea翻译:柳芒来源:TechTarget中国 英文

【TechTarget中国原创】

加密长久以来都是信息安全的基石,是安全传输信息、保护数据完整性以及实现合规性的关键。

鉴于最近的漏洞事件和所谓的政府间谍,人们对于培育一个“无处不在的加密”的互联网的兴趣不断增强。但不是每个人都能够接受终端到终端的互联网加密带来的弊端。

呼吁默认加密

因特网结构协会(The Internet Architecture Board, IAB)是互联网工程任务组(IETF)的一个委员会,负责监督互联网标准的开发过程。其上周发表了一份声明,敦促设计师,开发商和运营商“将加密作为互联网流量的规范”。

该声明由因特网结构协会(IAB)主席Russ Housley所编写,评论各种攻击变得日益复杂,认为在互联网中应尽可能地使用加密。因特网结构协会(IAB)指出新的协议应该更要加密明文操作,加密应该在整个协议栈中进行部署。不仅如此,因特网结构协会(IAB)还敦促设计师实施默认加密。因特网结构协会(IAB)称:“实施这些措施将有助于重建用户对于互联网的信任。”

实现数以百万计的终端到终端加密

移动通讯厂商WhatsApp公司本周宣布,已经实现了6亿用户的WhatsApp Messenger应用程序终端到终端的加密。

该公司将使用合作伙伴Open Whisper Systems公司的Textsecure开源软件对文字和聊天内容进行加密,包括云端和用户Android设备上的数据。无论是WhatsApp还是黑客都无法访问被保护设备上发送的信息,加密密钥只有设备主人才可以访问并且永远不会脱离该设备。

根据Whisper System公司网站上发布的博客文章可知,目前一些WhatsApp Messenger的部署可能已经加密。Android系统上最新版本的WhatsApp Messenger应用程序已经包含了TextSecure的内嵌支持。虽然尚不支持群聊和媒体消息加密,但是很快就会实现,而且还会为其它的客户端平台提供支持,包括苹果的iOS系统,

为所有用户提供免费的数字证书

一个非盈利的证书颁发机构周二宣布,计划提供免费的SSL/TLS证书。Let's Encrypt是电子前哨基金会(the Electronic Frontier Foundation, EFF), Mozilla公司, 思科系统公司(Cisco Systems Inc.), Akamai科技公司, IdenTrust公司以及密歇根大学的研究人员合作的一个项目,旨在“清除网站从HTTP过渡到HTTPS道路中的剩余路障”。

根据电子前哨基金会(EFF)技术项目总监Peter Eckersley的一篇博客文章可知,阻碍HTTPS部署最大的挑战分别是“复杂,官僚主义和HTTPS证书所需要的资金”。Let's Encrypt将在明年启动,将让每个拥有域名的用户免费获得一个SSL/TLS证书。该服务基于一个开放的标准,将在服务器安装或配置过程中提供自动注册并自动更新证书。

“加密无处不在”所存在的问题

加密的好处不容否认,与此同时,还是有人提出了“加密无处不在”所存在的问题。

Blue Coat Systems公司本月初公布了一份报告,报告中强调企业将面临实现加密网络流量的可视性和减轻其不良影响等挑战,也就是要增强防御恶意软件使用加密作为斗篷绕过安全控制,悄声无息进入系统的能力。

加密的另一个主要弊端是降低存储性能。在昨天公布的测试结果中,摩托罗拉移动(Motorola Mobility LLC)的Nexu 6设备由于使用了Android 5.0 Lollipop全磁盘加密,读/写性能降低高达63%。谷歌在博客中指出,使用Lollipop的Android设备在第一次启动加密之后不能恢复到未加密状态,因此用户会陷入性能降低的困境。

加密还触动了执法人员的神经。根据周二华尔街日报(Wall Street Journal )上的一篇文章可知,美国司法部(U.S. Department of Justice)并不认为广泛使用加密是一个保护隐私的积极举动,反而阻碍刑事调查。因为供应商和服务商将不再有机会访问到客户的数据,执法部门将无法获得一些关键的犯罪证据。美国司法部副总检察长James M. Cole说,如果公安部门不能访问一个电话的数据,这可能会导致一个孩子的死亡。然而,苹果公司称这种情况为“炎症反应(inflammatory)”,并认为司法部门可以从别处获得同样的信息。

在因特网结构协会(IAB)的博客中,Housley承认加密的确存在潜在的弊端。他说:“现在的许多网络运营行为,从流量管理和入侵检测到垃圾邮件防御和策略执行,明文加载都没有使用加密。针对很多行为目前都没有解决方法,但是因特网结构协会(IAB)将研究受感染的行为,替这些愿意迁移到默认加密网络的行为找到新的发展方法。”

不过,对于“加密无处不在”仍旧有人持怀疑态度,包括认证机构和加密限制的安全问题,以及如何让其更适合作为纵深防御(defense-in-depth)战略的一部分。

其它联系性事件:

? 研究显示,超过半数的英国公司会考虑聘请黑客或有犯罪记录的人以提高信息安全。这项由毕马威会计师事务所(KPMG)所开展的调查结果显示,74%的企业认为新的网络安全挑战需要新的技能;64%的企业认为网络安全技术和传统的IT技能不同;与此同时,57%的企业发现招募和留住专业的网络安全人员很难。毕马威会计师事务所(KPMG)网络安全研究院的负责人Serena Gonsalves-Fersch在一份新闻稿中表示,公司从来不会聘请扒手作保安,所以对于雇用黑客来防护网络安全这个决定需要三思。Gonsalves-Fersch说:“与其依靠黑客分享他们的秘密,企业更需要利用自己的网络防御能力来填补他们自己具体安全需求的空白区。”

? 11月12日和13日在东京举办的2014移动Pwn2Own大赛中,只有一个移动设备经受住了全面的入侵:Lumia 1520 Windows Phone。根据主办方惠普公司的一篇博客文章可知,该设备部分被感染,一个黑客成功地潜入了cookie数据库。然而,沙箱挺住了以致黑客无法获得系统的完全控制权。大赛的第一天,无论是基于iOS系统的苹果手机,还是基于Android系统的谷歌设备都被入侵了。惠普零日倡议立即发布了受感染企业的漏洞以便整治。

? 英国隐私监督信息专员办公室(Information Commissioner's Office, ICO)早先发布了一篇博客,博客中提醒了使用摄像头的用户,黑客可能利用他们的摄像头来窥探他们。俄罗斯的一个黑客网站显示了成千上万的网络摄像头是使用网络上可找到的默认证书来访问提要。SearchSecurity选择不公布该网站,声称这是为了凸显安防监控系统更改默认密码的重要性。信息专员办公室(ICO)在其博客中呼吁用户更改他们的密码,检查他们的网络摄像头和互联网路由器的安全设置,并确保可能访问互联网的家庭和办公室的其他设备的安全。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

作者>更多

Sharon Shea
Sharon Shea

Sharon Shea是IoT Agenda的网站编辑。 她编辑该网站的技术内容,撰写有关物联网最新信息的文章,并管理IoT Agenda合作者队伍。Sharon于2011年加入TechTarget,最近担任SearchSecurity.com的助理网站编辑。

安全市场趋势>更多

相关推荐

技术手册>更多

  • 恶意软件检测与防御

    一般来说,恶意软件只是进入系统的切入点,通过下载和安装其他应用来获取管理权限,完成攻击。然而,随着网络安全战的持续胶着,威胁环境日益复杂,恶意软件也在连番升级……

  • 高级持续性威胁(APT)剖析与防护

    高级持续性威胁(APT)的目标是访问企业网络、获取数据,并长期地秘密监视目标计算机系统。这种威胁很难检测和清除,因为它看起来并不象是恶意软件,却深入到企业的计算系统中。此外,APT的设计者和发动者为逃避检测还会不断地改变其代码,从而持续地监视和指引其活动。那么,企业是否就拿这种威胁束手无策了呢?当然不是的。

  • 善用威胁情报 加固企业安全

    多年来,企业投资于安全信息和事件管理以及日志管理技术来收集、管理和分析日志。大规模数据分析领域的进步让企业使用程序得以从数据中发现异常活动和分析攻击。然而,企业很容易被从这些数据中获得的指标和警告所淹没。这正是威胁情报派上用场的时候。

  • 端点安全实用指南

    端点安全一直是令IT团队头痛的问题。如今,越来越多的员工使用自己的智能手机、平板电脑和笔记本进行工作,同时,这些设备中平台和服务数量日益增多,再加上云计算技术使用的增加,都让信息安全专业人士更加头痛。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心