企業如何實現強加密安全防護?
責編:gltian |2024-01-12 14:01:46一直以來,密碼技術都被認為是一種有效保護數據,避免未經授權訪問的有效技術。但隨著密碼分析技術不斷改進以及計算能力不斷增強,很多曾經有效的加密方案變得不再可靠,加密算法的有效性和可靠性因此受到多方面的挑戰。
實現強加密防護的要素
實現強加密安全防護需要包括強加密密鑰、強大的數學算法和復雜的加密過程等諸多關鍵要素,其中:
?強加密密鑰是用于加密的密碼。密碼越長或越復雜,就越難被攻擊者破解。然而,現代計算機系統所采用的二進制計數方式,導致加密密鑰很難具備充分的復雜性,因此只能在長度上進行彌補。大多數強加密密鑰需要至少128位(128個0和1的組合)。
?強大的數學算法是指使用密鑰為簡單數學方法組成的算法饋入信息。當前的加密算法普遍使用了橢圓上的點、大素數乘法或對部分數據實現異或(XOR)邏輯操作作為算法的基礎。
?復雜的加密過程是指通過多輪加密來對需要保護的數據集綜合使用多種復雜的加密密鑰和數學算法。比如說,Blowfish算法使用簡單的XOR函數,并在16輪加密中每一輪執行這四個操作:
1. 對數據的左半部分與18項p數組執行XOR操作。
2. 使用XOR數據作為f函數的輸入(用于轉換數據)。
3. 對f函數的輸出與數據的右半部分執行XOR操作。
4. 交換結果的左右兩半部分,作為下一輪加密的輸入。
以上所述的每個要素都能夠單獨提供部分保護能力。而將密鑰、算法和加密過程共同整合,就可以最大程度確保加密過程的完整性和強壯性。需要強調的是,強加密防護的最大特點是會對被保護數據進行轉換以防止被竊取,而不僅是屏蔽數據,或只在數據輸出時進行防篡改檢查。
每種加密技術在開始應用時都被認為是難以破解的,比如說早期的加密算法DES使用64位數據塊加密,采用16輪加密,密鑰只有56位。隨著算力增強,它就很容易被蠻力猜測破解。1997年,AES加密算法逐步取代了DES,將數據塊大小增加到128位,使用10到14輪加密,并將密鑰大小增加到至少128位。但美國國家標準與技術研究所(NIST)已經發出提醒,量子計算可能會在未來20年讓AES岌岌可危。
實現強加密防護的建議
與網絡安全其他領域的安全工具一樣,密碼技術部署不當會大大削弱其應有的能力。為了獲得可靠的加密防護效果,企業的安全團隊應該根據業務發展的實際需求,選用適當的加密技術,并在應用實踐中參考一下建議:
1 全面了解企業的加密環境
要實現強加密保護,安全團隊首先需要全面評估和了解整個組織的加密措施應用情況,以取代過時的保護措施,并確保其他加密最佳實踐的普遍應用。就像資產發現或數據分析等其他任何安全實踐一樣,對不可見的資產是無法進行監控和保護。
同樣,將當前加密數據的使用情況與整個組織的數據使用情況進行比較。幾乎所有組織都對服務器采用全磁盤加密,以保護重要的靜態數據,但敏感數據需要持續保護,數據使用可能需要額外的文件、電子郵件或數據庫加密。
2 使用可以支持的最長加密密鑰
要實現強加密保護格外強調密碼長度的重要性,但關鍵問題是如何設定密碼長度的最大值和最小值的合理范圍。過去,密碼長度受到限制是為了適應存儲需求。但現在,隨著散列值的存儲,大小限制變得非常寬松,允許使用強而復雜的密碼。
此外,企業還可以采用密碼管理器或集中式加密管理,以彌補密碼遺忘的問題,并增加算力,以抵消操作方面的限制。通常情況下,鑰匙越長,安全性越高。
然而,加長的加密密鑰也一定程度增加了密碼應用的成本,一些組織無力為所有數據使用最強的加密選項。最好的方法通常是將要保護的數據存放在特定的系統,然后針對不同用途采用不同的密鑰長度。比如說,較短的密鑰保護筆記本電腦上不太敏感的數據,較長的密鑰保護存儲在服務器上的敏感數據。
3 采取分層加密的模式
使用多種類型和多層加密可以顯著提高加密技術抵御攻擊的能力。強加密防護同樣需要縱深防御的模式,多層加密限制了任何單一加密解決方案失效可能造成的危害,尤其是針對那些最關鍵的數據。
分層加密的每一層都能都加固密碼應用的外部環境,并進一步阻止未經授權的解密活動。比如說,微軟建議使用磁盤加密對靜態數據進行加密、使用單獨的數據庫加密,并使用加密的VPN網關以傳輸數據。
4 對密鑰進行集中統一管理
為了提升加密應用的安全水平,企業應該將密鑰管理提高到與加密技術相同的重要級別。因為即使企業部署了良好的加密策略和加密程序,糟糕的密鑰管理仍然會成為“阿喀琉斯之踵”。對于訓練有素的安全團隊,應該盡快實施集中式統一密鑰管理,規范地生成、輪換、更新和注銷加密密鑰。集中管理有助于提高加密方案的安全級別并改進安全流程,比如定期訪問或審計日志審查,對長期備份數據中的密鑰進行跟蹤,以及對加密資源進行安全訪問管理。
5 對應用程序中的加密組件加強管理
OWASP 每年都會列出最嚴重、最常見的Web應用程序安全漏洞,而由于加密組件管理不善、使用弱加密算法或加密算法部署不當,使得加密故障類漏洞長期存在在于這份清單中。加密部署不當往往源于編程錯誤或對如何執行復雜的加密算法過程有誤解,比如無法更改變量、不正確地生成用于創建密鑰的隨機數,或者使用容易受到惡意或意外的算法輸入攻擊的代碼。
由于應用軟件的開發人員往往不具備識別弱加密的專業知識,因此安全團隊應向開發團隊列出可以使用或需禁止的加密算法類型/庫,以降低弱加密的風險。當然,借助一些先進的應用程序漏洞掃描器也可以幫助開發人員檢測加密使用不當的情形。
此外,加密組件管理不善也會導致密鑰泄露或證書管理不當,從而違背安全集中式密鑰管理原則。比如說,維護和保護web服務器SSL數字證書以方便加密連接,防止攻擊者竊取和使用企業證書實施冒充攻擊。企業可以借助專業工具和加密技術,加強對應用程序中所應用的加密組件進行保護。