密碼學中不斷的提到了金鑰(KEY)這一個字詞,KEY的產生是一個重大的議題,然而…對於KEY的管理才是密加碼密最大的重點,
各位想想,本來買了一個七八十萬的保險櫃,用了最難開的鎖,但是鑰匙卻放在一個大家隨手可得的地方,
那麼,這個保險櫃等於買沒也沒買,因此,在金鑰的管理(Key Management)成了整個密碼學的重要核心,key不小心流失了 …
K書筆記本-Cryptography(07)
- 9124
- 0
- Information Security
密碼學中不斷的提到了金鑰(KEY)這一個字詞,KEY的產生是一個重大的議題,然而…對於KEY的管理才是密加碼密最大的重點,
各位想想,本來買了一個七八十萬的保險櫃,用了最難開的鎖,但是鑰匙卻放在一個大家隨手可得的地方,
那麼,這個保險櫃等於買沒也沒買,因此,在金鑰的管理(Key Management)成了整個密碼學的重要核心,key不小心流失了 …
訊息完整性控制(Message Integrity Controls)是密碼學精髓中的精髓,加密過後的文字畢竟已經被加密了
那我們怎麼確認收到的已加訊息沒有因為傳輸問題造成移漏?因此,雖然訊息已經被加密了
但是我們還是可以透過訊息完整性控制則可以達成訊息的確認,以保障傳遞的內容是完整無誤的…
上一篇提到的是對稱式加密(又稱為私密金鑰加密系統),而對稱式加密雖然速度快,但是在於確保安全的部份則顯示較為軟弱
非對稱式加密則是大大的提升了安全性的部份,而不止是在於機密性的保護,對於內容傳遞的保護則更加的嚴僅
公開金鑰的概念是在1976年由Diffie及Hellman兩人共同提出的,所使用到的有私鑰和公鑰兩種概念…
前一篇文章特別有提到symmetric key運作方式有分為stream ciphers及block ciphers,也有提到兩種的差別
其中Stream的運作方式對於一般的統計法,是很難找出其邏輯,並且產生出來的ciphertext是絕對的公正
在Stream cipher運作中,最重要的一個元素就是Keystream,它是用來作用於加密過程,以XOR來建立密文的程序…
密碼學的基礎中,密碼系統(Cryptosystems)並不是非常的安全,主要的原因除了以語言特性分析的問題以外,
簡單又容易的找到有問題的字元,這種類型的問題,其實與很多的破密分析中,解除與明文長度相同的加密
幾乎都能順利的找到明文內容也是很容易的,一個好的演算法必須要能在明文若改變1bit而密碼的改變高達50%以上…
密碼學中領域是離不開數學的,正所謂數學乃科學之母是一點也錯不了的,
從進位制、到網路傳遞都是經過數學的計算後,才真正得以正確的達成電腦的目的,
上個章節只能說是暖暖身,抖抖手腳,今天開始的分享才是真正講起沒有啥人聽的懂的話。
密碼學…天啊…這種看了會讓人真接趴倒在馬路上的東西怎麼k的下去,如果你即將面臨失業(老闆經營不善),
我想,你應該很有精神k的下去(就跟偶一樣啦!!!),密碼學是整個資訊安全的A.I.C.中一看就知道非C莫屬,
但是…把密碼演算更重要的是維持訊息的完整性,而非只有保持訊息的機密性而以…
要測試存取控制有沒有做好最好的方法就是進行測試,但是在測試的階段最怕的,就是造成正在運作的系統因測試而掛點,
一般用來測試存取控制有沒有最好的就是Penetration Testing(滲透測試),不論選用何種的測試攻擊均是為了找出系統的弱點,
找出根本原因再加以修補,避免在發生事情之前先找到弱點的存在…
存取控制是透過使用者的存取過程必須被管理,那麼,有沒有更加有效的管理方式呢?
當然有,再利害的駭客,你給他的輸入界面只能輸入0~9、enter和backspace的鍵盤(Physically constrained user interfaces)
他還能有辦法在鍵盤上輸入數字以外的攻擊手法嗎???
識別管理是為了讓系統驗證並授權使用者使用系統,但存取資料呢?!存取資料是否也有存取控制,說到這個就睡了一大半了,因為…它確實很無趣,不就只是放權限嘛!那有這麼難,其實,整個放權限的過程中依照放權限的規則不同,有不同的存取控制…
識別管理一直是被認定為確保一致性的前置步驟,但在現在的社會中也如同上一個章節中所討論到的有著相當多的挑戰
如何正確的識別出使用者是『對的』使用者,一直以來就是被受注目的,Jason之前在做一個專案時
客戶即有要求,要做識別管理,當時來找Jason的場商也有現在最夯的靜脈認證(掌靜脈、指靜脈…等等) …
存取控制主要是達成Integrity(一致性),在上一篇中討論的存取控制類型及種類,是讓管理者思考在各個面象可有納入管理中
那麼,存取了系統代表可以存取資料嗎?這個答案很肯定的是錯的,有權限連入系統,不代表你可以看、修改、刪除資料
那麼要進入系統我們如何來進行存取控制呢?這個部份就以Identification…
資訊安全的存取控制可以說是決定了整個資訊安全的完整度及強度!當未經授權的人取存了極敏感的資料,是否會產生更大的安全衝擊?
而資安存取控制中,共分為三大類型及七大控制種類,每一類型中均可以七大控制種類來進行存取控制。資安的目標是做到事事有人管
而如何管、怎麼管…等,有相當多的建議做法(ISO-27002),但每一項算是何種控制種類,可能就比較難以分清楚。
Access controls(存取控制)是整個資訊安全中極重要的領域,資訊的交流、不同機密等級問題,甚至人員的進出
不管是從人、事、物,都應該有不同的資訊機密等級,因此在判斷何者可做那種資訊的讀取
或是其它人員對這個人員是不是會造成資訊外洩的問題,是否都是一個必須列入存取控制的的措施…
做完了風險的識別、資產的評估,那選擇何種保護措施才是對的呢?其實沒有對錯,重點在於Owner的想法
舉個很簡單的例子,有一個資訊資產可能產生的風險是會對它造成極大的損傷,但是導入一個風險控制措施 …
Risk Management(風險管理)是資訊安全最重要的環結之一,每種Access Control(存取控制)者必須依照風險管理、BIA(商業衝擊分析)…等
來決定資訊資產需要何種保護、需要何種機密性保護,因此在風險管理可以說是左右著資訊資產的各項存取措施。…
經過了選人、用人,找到一個對的人做適當的工作,但是在人力使用的過程中又和安全有何相關呢?
如果今天企業是用了一個不對的人,而且是有意的要損壞企業的人,那麼對於安全這個架構而言
就是最大的打擊了,當然用人也有安全的控制方法,一般來說對於人員的應用有分為職務面、權責面…
從IT的建置到Policy一路到了SPGB,更底層的,必須談到有關企業內對於資安的Roles and Responsibilities;R&R(角色及職責)
畢竟,資訊安全不可能靠一個人就可以達成,必須由Group(群組)或是Team(小組)來策進、推動
那麼在資安的角度來看,該會有那一些人來執行、那些人來推動安全文化,教育員工具有安全的概念 …
安全規劃也必須照步就班一步一步來
資安計劃又分成三個等級:Tactical level planning(戰術性規劃),Operational Planning(作業性規劃), Strategic Planning(戰略性規劃) …
談到了資安治理那麼IT的安全需求呢(IT Security Requirements)?對於一個完整的資安解決方案又該如何做起?
這個又是一種考量的基礎,在尋找一個IT安全結構下應該由...