信息化觀察網(wǎng)

加密是加強(qiáng)網(wǎng)絡(luò)安全的一個(gè)核心原則，網(wǎng)絡(luò)攻擊者通常無(wú)法竊取已經(jīng)加密的數(shù)據(jù)。很多黑客無(wú)法獲取采用良好加密措施的數(shù)據(jù)，更不用說(shuō)采用“多層加密”措施的數(shù)據(jù)。但是加密也面臨著很多挑戰(zhàn)。

在安全廠商Cyber Security Competency公司在去年秋天開(kāi)展的一項(xiàng)調(diào)查中，66%的受訪者表示，加密密鑰的管理對(duì)他們的公司而言是一個(gè)大挑戰(zhàn)。而在多個(gè)云平臺(tái)管理密鑰是一個(gè)更大的挑戰(zhàn)。

波洛蒙研究所和Encryption咨詢(xún)公司在去年進(jìn)行的類(lèi)似調(diào)查中，60%的受訪者表示，密鑰管理“非常痛苦”。

那么造成這種痛苦的最主要原因是什么?組織需要知道誰(shuí)負(fù)責(zé)所有密鑰。其他痛點(diǎn)包括缺乏熟練的人員以及孤立或零散的密鑰管理系統(tǒng)。

與此同時(shí)，加密技術(shù)在不斷發(fā)展，要在所有加密算法上保持領(lǐng)先地位是一個(gè)挑戰(zhàn)。加密涉及一些繁重復(fù)雜的數(shù)學(xué)運(yùn)算，因此很容易犯錯(cuò)誤。

受訪者預(yù)計(jì)，企業(yè)將在未來(lái)十年內(nèi)采用新方法，例如多方計(jì)算、同態(tài)加密和量子算法。

競(jìng)爭(zhēng)激烈

與任何安全技術(shù)一樣，加密是一種貓和老鼠之間的無(wú)窮無(wú)盡的游戲。網(wǎng)絡(luò)攻擊者試圖找到算法中的漏洞。為了跟上技術(shù)發(fā)展的步伐，防御者將會(huì)改進(jìn)算法，增強(qiáng)算法的實(shí)現(xiàn)方式或增加加密密鑰的長(zhǎng)度。這意味著任何長(zhǎng)期的加密策略都必須允許升級(jí)算法或密鑰。

Insight公司云計(jì)算和網(wǎng)絡(luò)安全高級(jí)經(jīng)理Mike Sprunger表示，組織需要采用例如管理互聯(lián)網(wǎng)通信的服務(wù)器。要對(duì)消息進(jìn)行加密，發(fā)送方和接收方都必須就使用的加密方法和密鑰長(zhǎng)度達(dá)成一致。

他說(shuō)：“在部署這些服務(wù)器時(shí)，會(huì)列出一系列從最理想到最不理想的算法，它們將協(xié)商以找到最高級(jí)別的匹配項(xiàng)。不幸的是，這些算法可能會(huì)過(guò)時(shí)。在通常情況下，在部署服務(wù)器時(shí)，工作人員再也不會(huì)接觸它們。”

很多密鑰在創(chuàng)建和使用之后并立即丟棄。然而，當(dāng)涉及到長(zhǎng)期儲(chǔ)存的數(shù)據(jù)時(shí)，這些密鑰必須使用多年的時(shí)間。一些組織有業(yè)務(wù)或法規(guī)要求將數(shù)據(jù)保留十年或更長(zhǎng)時(shí)間。

如果加密技術(shù)變得過(guò)時(shí)，或者密鑰本身被泄露，數(shù)據(jù)中心必須解密原有的所有數(shù)據(jù)，然后使用更好的加密方法再次對(duì)其進(jìn)行重新加密。

Sprunger說(shuō)：“一個(gè)良好的做法是定期更換密鑰。”

如果數(shù)據(jù)中心操作人員獨(dú)自一人做這件事情，很容易成為管理上的噩夢(mèng)。他說(shuō)：“良好的供應(yīng)商有一種機(jī)制來(lái)遍歷、回收和替換密鑰。如果出現(xiàn)任何問(wèn)題并且密鑰丟失，那么數(shù)據(jù)也將丟失。”

加密在生成用于對(duì)系統(tǒng)、用戶和應(yīng)用程序進(jìn)行數(shù)字簽名和身份驗(yàn)證的證書(shū)時(shí)也起著重要作用。如果這些證書(shū)過(guò)期、丟失或泄露，組織可能會(huì)失去對(duì)其應(yīng)用程序的訪問(wèn)權(quán)限，或者網(wǎng)絡(luò)攻擊者可能獲得訪問(wèn)權(quán)限。

Sprunger說(shuō)：“大多數(shù)組織在管理這方面做得并不好。而且，如果他們不能正確地管理證書(shū)，則可能會(huì)面臨關(guān)閉其組織的風(fēng)險(xiǎn)。我建議，如果他們不擅長(zhǎng)管理證書(shū)，則應(yīng)該尋求第三方提供商的幫助。”

硬件加密面臨的障礙

如果加密是由硬件處理的，那么對(duì)于選擇購(gòu)買(mǎi)和維護(hù)自己設(shè)備的數(shù)據(jù)中心來(lái)說(shuō)，升級(jí)可能是一個(gè)特殊的挑戰(zhàn)。硬件加速可以提高速度和安全性，但是硬編碼算法也可能變得陳舊過(guò)時(shí)。

Sprunger說(shuō)：“現(xiàn)在必須回去更換設(shè)備，以獲得不同的算法或更大的密鑰大小。”

另一方面，如果某個(gè)特定的系統(tǒng)具有嵌入式的基于硬件的加密(例如加密硬盤(pán))，那么當(dāng)更換設(shè)備時(shí)，新設(shè)備將自動(dòng)在其中進(jìn)行更新和更好的加密。

IEEE研究員、Coughlin協(xié)會(huì)總裁Tom Coughlin說(shuō)：“這將是很輕松的升級(jí)過(guò)程。由于基于軟件的加密包含多個(gè)系統(tǒng)，升級(jí)可能是一個(gè)更大的挑戰(zhàn)。這可能會(huì)有一些問(wèn)題，這取決于問(wèn)題的數(shù)量以及它們之間的相互依賴(lài)程度。”

評(píng)估加密

Insight公司云計(jì)算和網(wǎng)絡(luò)安全高級(jí)經(jīng)理Sprunger表示，在選擇加密供應(yīng)商時(shí)，數(shù)據(jù)中心應(yīng)該尋找那些符合FIPS 140-2標(biāo)準(zhǔn)的供應(yīng)商。

獲得這種認(rèn)證既困難又昂貴，涉及第三方安全性審查，但這需要政府的授權(quán)。

他說(shuō)：“作為一家制造加密設(shè)備廠商的技術(shù)工程總監(jiān)來(lái)說(shuō)，這是一個(gè)艱難的過(guò)程。任何供應(yīng)商都應(yīng)該能夠立即對(duì)有關(guān)合規(guī)性的問(wèn)題作出回應(yīng)。”

等待標(biāo)準(zhǔn)出現(xiàn)

有許多供應(yīng)商和組織致力于開(kāi)發(fā)新的加密技術(shù)并創(chuàng)建所需的標(biāo)準(zhǔn)，以確保都朝著同一方向發(fā)展。數(shù)據(jù)中心管理者希望購(gòu)買(mǎi)能夠?yàn)槲磥?lái)奠定基礎(chǔ)的設(shè)備，他們必須等待技術(shù)和標(biāo)準(zhǔn)的出現(xiàn)。當(dāng)使用相同的密鑰來(lái)鎖定和解鎖數(shù)據(jù)時(shí)，就對(duì)稱(chēng)加密而言，目前的情況更為清晰。

英特爾公司高級(jí)首席工程師Simon Johnson表示，要保證數(shù)據(jù)安全一兩年的時(shí)間，目前采用的128位加密措施就足夠了。

他說(shuō)，“如果組織的數(shù)據(jù)希望保留15到20年，那么至少使用256位加密。即使量子計(jì)算機(jī)到來(lái)，也能保證數(shù)據(jù)安全。幸運(yùn)的是，當(dāng)今的芯片可以支持這種級(jí)別的加密。使用AES(高級(jí)加密標(biāo)準(zhǔn))操作就可以做到這一點(diǎn)。這只是更改軟件以適應(yīng)密鑰長(zhǎng)度的問(wèn)題。”

非對(duì)稱(chēng)加密(其中一個(gè)密鑰用于加密消息，而另一個(gè)密鑰用于解密消息)則更具挑戰(zhàn)性。這是用于通信的加密類(lèi)型，也稱(chēng)為公鑰基礎(chǔ)設(shè)施。

他表示，這種加密技術(shù)的下一階段發(fā)展仍在進(jìn)行中。他說(shuō)：“我們?nèi)栽诘却绹?guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所(NIST)和學(xué)術(shù)界真正致力于提供在后量子計(jì)算時(shí)代中進(jìn)行非對(duì)稱(chēng)加密的機(jī)制。我們?cè)诘却嚓P(guān)標(biāo)準(zhǔn)。不僅僅是英特爾公司，全世界都在等待標(biāo)準(zhǔn)。因?yàn)樵诹孔佑?jì)算技術(shù)出現(xiàn)之后，數(shù)據(jù)中心領(lǐng)域?qū)⑿枰碌臉?biāo)準(zhǔn)。”

但是創(chuàng)建新的加密算法，進(jìn)行測(cè)試、創(chuàng)建標(biāo)準(zhǔn)，并獲得業(yè)界的認(rèn)可，然后部署，這一過(guò)程需要長(zhǎng)達(dá)數(shù)年的時(shí)間。而新的加密算法需要適用于當(dāng)前使用的協(xié)議。

他說(shuō)：“但是誰(shuí)知道這些新算法會(huì)是什么樣子呢?”

他建議，著眼未來(lái)的數(shù)據(jù)中心管理人員應(yīng)首先轉(zhuǎn)向256位加密以保護(hù)存儲(chǔ)。對(duì)于通信中使用的非對(duì)稱(chēng)加密，更長(zhǎng)的密鑰可以為未來(lái)的應(yīng)用提供足夠的安全性。

他說(shuō)，“沒(méi)人知道量子計(jì)算機(jī)何時(shí)會(huì)出現(xiàn)，這個(gè)時(shí)間可能是5到8年之后。”