автордың кітабынан сөз тіркестері  Защита данных. От авторизации до аудита

Джейсон Андресс

Уязвимость без соответствующей угрозы или угроза без соответствующей уязвимости не порождают риска.

Повышая уровень безопасности, мы обычно снижаем уровень производительности.

уровень безопасности соотносится с ценностью охраняемого объекта.

Безопасность сейчас не будет означать безопасность всегда. Следует регулярно повторять процессы тестирования, чтобы поддерживать актуальность получаемой информации

Чтобы не работать через командную строку с Telnet, можно использовать Secure Shell (SSH), а вместо передачи файлов по FTP вы можете использовать Secure File Transfer Protocol (SFTP), который основан на SSH.
SSH — удобный протокол для защиты связи, поскольку по нему можно отправлять много типов трафика. Вы можете использовать его для передачи файлов и доступа к терминалу, как уже упоминалось, а также для защиты трафика в различных других ситуациях, например при подключении к удаленному рабочему столу, общении через VPN и настройке удаленных файловых систем.

Виртуальные частные сети (virtual private networks, VPN) позволяют безопасно передавать ценный трафик через небезопасные сети. VPN-соединение, которое часто называют туннелем, представляет собой зашифрованное соединение между двумя точками.

Криптография в той или иной форме существовала на протяжении большей части человеческой истории. Ранние криптографические методы различались по сложности — от простых подстановочных шифров римской эпохи до сложных электромеханических машин, используемых до изобретения современных вычислительных систем. Такие примитивные криптографические методы не защитят от современных криптографических атак, но именно они лежат в основе современных алгоритмов.

Сегодня криптография — это использование компьютеров для создания сложных алгоритмов, которые шифруют данные. Есть три основных типа криптографических алгоритмов: криптография с симметричным ключом, криптография с асимметричным ключом и хеш-функции. В криптографии с симметричным ключом данные шифруются и расшифровываются с помощью одного и того же ключа, к которому имеют доступ все стороны, работающие с исходным текстом или зашифрованным текстом. В асимметричной криптографии используется открытый и закрытый ключ. Отправитель шифрует сообщение открытым ключом получателя, а получатель дешифрует сообщение своим закрытым ключом. Это решает проблему поиска безопасного способа совместного использования одного закрытого ключа между получателем и отправителем. В хеш-функциях вообще не используются ключи. Хеш-функции создают (теоретически) уникальный отпечаток сообщения, чтобы мы могли определить, было ли сообщение изменено.

Цифровые подписи — это следующий уровень хеш-функций, и они не только создают хеш-код, позволяющий гарантировать, что сообщение не было изменено, но и зашифровать хеш-код с помощью открытого ключа асимметричного алгоритма, чтобы убедиться, что сообщение было отправлено правильной стороной, и она не сможет отрицать это.

Сертификаты позволяют связать открытый ключ с вашей личностью, чтобы можно было гарантировать, что зашифрованное сообщение действительно представляет собой сообщение от конкретного человека. Получатель может выполнить запрос к эмитенту сертификата — центру сертификации, — чтобы определить, является ли действительным представленный сертификат. За работой сертификатов стоит инфраструктура открытых ключей, которая выдает, проверяет и отменяет сертификаты.

Криптография — это механизм защиты данных в состоянии покоя, данных в движении и, в определенной степени, используемых данных. Она лежит в основе многих основных механизмов безопасности, которые позволяют вам обмениваться данными и выполнять транзакции, если речь идет о конфиденциальных данных.

Защита самих данных
Можно использовать различные подходы к шифрованию данных, которые вы отправляете по Сети, в зависимости от типа отправляемых данных и протоколов.

Часто для шифрования соединения между двумя системами, общающимися по Сети, используется SSL и TLS. SSL — это предшественник TLS, хотя эти термины часто используются как синонимы и почти идентичны. SSL и TLS работают совместно с другими протоколами, такими как протокол доступа к сообщениям в интернете (Internet Message Access Protocol, IMAP) и протокол почтового отделения (Post Office Protocol, POP) для электронной почты, протокол передачи гипертекста (Hypertext Transfer Protocol, HTTP) для веб-трафика и VoIP для голосовых разговоров и обмена мгновенными сообщениями.

Однако меры защиты SSL и TLS обычно применяются только к одному приложению или протоколу, поэтому, хоть вы и можете использовать их для шифрования ваших сообщений с сервером, на котором хранится ваша электронная почта, это не обязательно означает, что соединения через ваш веб-браузер будут иметь такой же уровень безопасности. Многие распространенные приложения поддерживают SSL и TLS, но, как правило, необходимо выполнить для этого независимую настройку.

Хеш-функции
Хеш-функции — это третий тип современной криптографии, который мы называем криптографией без ключа. Вместо использования ключа, хеш-функций или дайджестов сообщений открытый текст преобразуется в довольно-таки уникальное значение фиксированной длины, обычно называемое хешем. Значения хеша — это своего рода отпечатки пальцев, потому что они уникальным образом соответствуют сообщению.

Алгоритмы с асимметричными ключами
Алгоритм RSA, названный по инициалам его создателей Рона Ривеста, Ади Шамира и Леонарда Адлемана, представляет собой асимметричный алгоритм, используемый во всем мире, в том числе в протоколе Secure Sockets Layer (SSL). (Протоколы — это правила, которые определяют обмен данными между устройствами. SSL используется для защиты многих транзакций, таких как веб-трафик и трафик электронной почты.) Созданный в 1977 году, алгоритм RSA до сих пор остается одним из наиболее широко используемых в мире алгоритмов.

Криптография на основе эллиптических кривых (Elliptic curve cryptography, ECC) — это целый класс криптографических алгоритмов, хотя иногда его называют в единственном числе, словно это один-единственный алгоритм. Названная в честь математической задачи, на которой основаны ее криптографические функции, криптография на основе эллиптических кривых имеет ряд преимуществ перед другими типами алгоритмов.

ECC позволяет использовать короткие ключи, сохраняя при этом более высокую криптографическую стойкость, чем многие другие типы алгоритмов. Кроме того, это быстрый и эффективный тип алгоритма, легко реализуемый на оборудовании с малой вычислительной мощностью и памятью, например на сотовом телефоне или портативном устройстве. Различные криптографические алгоритмы, включая алгоритм безопасного хеширования 2 (Secure Hash Algorithm 2, SHA-2) и алгоритм цифровой подписи с эллиптической кривой (Elliptic Curve Digital Signature Algorithm, ECDSA), используют ECC.

Существуют и другие асимметричные алгоритмы, такие как алгоритм Эль-Гамаля, Диффи — Хеллмана и Стандарт цифровой подписи (Digital Signature Standard, DSS). Многие протоколы и приложения основаны на асимметричной криптографии, например протокол Pretty Good Privacy (PGP) для защиты сообщений и файлов, SSL и Transport Layer Security (TLS) для обычного интернет-трафика, а также некоторые протоколы передачи голоса по IP (VoIP) для голосовых разговоров.

PGP

PGP, созданный Филом Циммерманом, был одним из первых надежных инструментов шифрования, который привлек внимание общественности и СМИ. Первая версия PGP, созданная в начале 1990-х годов, была основана на симметричном алгоритме, и ее можно было использовать для защиты данных, например при обмене данными и файлами. Первоначальная версия PGP распространялась как бесплатное ПО, включая исходный код. На момент выпуска инструмент PGP с юридической точки зрения проходил как боеприпасы в соответствии с Законом США о международной торговле оружием (ITAR). Циммерман провел несколько лет под следствием по обвинению в преступной деятельности, когда его заподозрили в вывозе PGP из страны, что в то время было незаконно и считалось торговлей оружием.