Pytanie:
Moja szkoła chce zachować w tajemnicy szczegóły naszego systemu uwierzytelniania drzwi. Czy to dobry pomysł?
PyRulez
2016-02-03 02:28:47 UTC
view on stackexchange narkive permalink

Dlatego projektuję system uwierzytelniania drzwi (nie mogę wchodzić w szczegóły) dla naszej szkoły, tak aby tylko uwierzytelnione osoby mogły przejść przez określone drzwi wewnętrzne. Uważają, że jego wewnętrzne działanie powinno być utrzymywane w tajemnicy, aby nikt nie mógł go odtworzyć. Uważam, że byłoby to Bezpieczeństwo przez zaciemnienie, co jest złe. Zaprojektowałem system w taki sposób, że wiedza o tym, jak działa, nie pomogłaby ci wejść, tylko posiadanie klucza pomoże ci wejść, zgodnie z zasadą Kerckhoffa. Nadal utrzymują, że zamiast wiedzieć o tym więcej ludzi, mniej powinno.

Czy to dobry pomysł na projekt zamknięty? Jeśli nie, to dlaczego?

P.S. Powiedzieli mi, że to tajemnica dopiero po tym, jak zaprojektowałem większość z nich i powiedziałem to grupie ludzi, jeśli to ma znaczenie (nie miałem pojęcia, że ​​chcą, aby to był sekret).
P.P.S. Chociaż nie jest otwarty na zewnątrz, pomieszczenie, które chroni, zawiera cenniejsze rzeczy niż reszta szkoły, więc spodziewałbym się, że adwersarze i tak będą w stanie go odtworzyć, jeśli zastosujemy projekt zamknięty zamiast otwartego , ale nie wiem, jak to zakomunikować.

Niech zgadnę ... Twoja szkoła mieści się w starym zamku w Szkocji. Dyrektor to dziwaczny stary brodaty typ. W pokoju jest lustro ... Wygląda na to, że jakiś bezrobotny pisarz już wyjawił informacje o systemie bezpieczeństwa.
Powodem otwarcia wewnętrznych funkcji systemu jest zazwyczaj uzyskanie * bezpłatnych * recenzji od innych użytkowników. W kontekście szkolnym bardzo wątpię, czy przychodzi zbyt dużo informacji zwrotnych od bezpieczeństwa, ale raczej ktoś powiedział komuś, kto został złapany w tym pokoju.
„Utrzymują, że jego wewnętrzne działanie powinno być utrzymywane w tajemnicy, aby nikt nie mógł go odtworzyć.” Powód, dla którego coś jest poddawane inżynierii wstecznej? Ponieważ jest nieznane ...
Chciałbym zapytać, dlaczego szkoła projektuje swój własny system uwierzytelniania drzwi, skoro istnieje już wiele różnych produktów komercyjnych, które robią to samo (których szkoła prawdopodobnie już używa do zabezpieczania swoich drzwi). Jeśli masz coś zbyt tajnego, aby chronić go tylko dostęp do karty lub pada PIN, dodaj urządzenie biometryczne do „bezpiecznego” pokoju i ściśle kontroluj, kto jest zarejestrowany do korzystania z tego urządzenia.
Warstwowe zabezpieczenia Google. Każdy, kto poważnie myśli o bezpieczeństwie, wdroży zabezpieczenia warstwowe, których tajemnica / niejasność jest nie tylko uzasadnioną warstwą, ale także ważną warstwą (chociaż nie powinna to być warstwa KRYTYCZNA). To dlatego naprawdę dobrzy administratorzy konfigurują swoje serwery tak, aby nie przeciekać używanej wersji oprogramowania. Zwiększa to obciążenie atakującego, ponieważ musi on najpierw zbadać twój projekt, zanim będzie mógł go złamać.
Komentarze nie służą do rozszerzonej dyskusji; ta rozmowa została [przeniesiona do czatu] (http://chat.stackexchange.com/rooms/35279/discussion-on-question-by-pyrulez-my-school-wants-to-keep-the-details-of- nasz-doo).
Im więcej osób wie, jak to działa, tym bardziej prawdopodobne jest, że ktoś znajdzie lukę i powie (lub wykorzysta ją) tak, jak to się dzieje w przypadku oprogramowania typu open source. Myślę, że powinno to być publiczne, a sekretem powinna być ukryta kamera, więc zauważysz, gdy ktoś znajdzie lukę.
@Nanoc Zobacz wiele komentarzy w tym wątku i fragmenty, które zostały przeniesione do czatu. (I proszę o dalsze dyskusje na jednym z tych czatów.) Publikowanie tylko sprawia, że ​​projekt jest bardziej dostępny dla innych osób. Nie gwarantuje, że osoby te faktycznie to sprawdzą, ani jaki jest ich poziom kompetencji w tym zakresie. Co ważniejsze, nie masz również gwarancji co do ich zamiarów.
nikt nie może go odtworzyć, jeśli jest publiczny ...
Nie jestem pewien, dlaczego ktoś miałby zaprojektować niestandardowy system uwierzytelniania drzwi. Z pewnością musi istnieć wiele gotowych do użycia systemów, które odpowiadałyby potrzebom Twojej szkoły?
Poważne pytanie, dlaczego zaprojektowano tak ważne drzwi antywłamaniowe, zamiast kupować je od jednego z wielu wysoko wykwalifikowanych i profesjonalnych producentów.
Zamiast trzymać to w tajemnicy, opublikuj nagrodę za złamanie tego. Gwarantuje to, że każdy, komu uda się wejść, wolałby raczej nagrodę i chwałę niż zawartość.
Tl; dr: Utrzymywanie szczegółów jako niepublicznych nie jest _złym_ pomysłem.
@DeerHunter Ach cholera. Wiedziałem, że powinienem był zamiast tego użyć haszowania.
„Utrzymują, że jego wewnętrzne działanie powinno być utrzymywane w tajemnicy, aby nikt nie mógł go odtworzyć” - Um ... inżynieria odwrotna jest _ dokładnie_ w przypadku, gdy wewnętrzne działanie jest tajemnicą. Jeśli wewnętrzne działania są znane / opublikowane, nie jest to inżynieria odwrotna. Bardziej jak zwykła inżynieria. Chociaż nadmierna budowa drzwi wydaje się nieproduktywna; nie ma znaczenia, jak bezpieczne są twoje drzwi, jeśli tylko zburzę jedną ze ścian i wślizgnę się przez dziurę. Powinieneś zaprojektować skarbiec.
Bezpieczne systemy muszą pozostać bezpieczne, nawet jeśli wiem o wewnętrznej pracy. Pomyśl o KeePass, który jest open source i służy do przechowywania poufnych informacji. Oczywiście dane na dowodzie osobistym / kluczach / ... mogą być prywatne, ale byłoby lepiej zaprojektować je w sposób nie do podrobienia (nic nie jest fałszywe, ale można je zaprojektować tak, aby bardzo trudno było je sfałszować)
(Uwaga: istnieją rzeczy, które mogą być infekowalne, więcej informacji można znaleźć w kwantowych pieniądzach)
Zalecam również zachowanie kosztowności konwencjonalnymi metodami. Na przykład włóż go do metalowej skrzynki i zamknij na kłódkę. Ponieważ kiedy twoja koncepcja zawodzi, możesz chcieć mieć drugą, mniej bezpieczną w teorii, ale lepiej przetestowaną warstwę
@JonasDralle Nawet jeśli to zrobią, nie będą wiedzieć, czy to prawda, bez faktycznego umieszczenia go w zamku (w tym konkretnym przypadku).
Osiem odpowiedzi:
Iszi
2016-02-03 02:56:27 UTC
view on stackexchange narkive permalink

Niewidzialność nie jest złym środkiem bezpieczeństwa. Poleganie na niejasności, jako jedynym lub najbardziej znaczącym środku bezpieczeństwa, jest mniej więcej grzechem kardynalnym.

Zasada Kerckhoffa jest prawdopodobnie najczęściej- przytoczony argument przeciwko wdrażaniu bezpieczeństwa poprzez zaciemnienie. Jeśli jednak system jest już odpowiednio zabezpieczony zgodnie z tą zasadą, jest to niewłaściwe.

Zasada, sparafrazowana, mówi: „załóżmy, że wróg wie wszystko o projekcie twoich systemów bezpieczeństwa”. Nie oznacza to w żaden sposób „powiedz wrogowi wszystko o swoim systemie, ponieważ oni i tak wiedzą”.

Jeśli system jest już dobrze zaprojektowany zgodnie z Zasadą Kerckhoffa, najgorsze, co można powiedzieć o zastosowaniu bezpieczeństwo poprzez niejasność polega na tym, że niewiele wnosi do żadnej wartości. Jednocześnie w przypadku takiego systemu ochrona poufności jego projektu jest równie niewielka lub żadna.

„Bezpieczeństwo w ciemności nie jest złe”. Dziękuję za powiedzenie tego, czego niektórzy ludzie się nie przyznają.
„mała lub żadna szkoda w ochronie poufności jego projektu” nie jest prawdą. jak wspomniał Tom Leek, edukacja jest ważna w szkole, także poprzez wypuszczenie projektu, ludzie mogą wskazać wady.
Sformułowałbym ponownie pierwszy akapit jako: „Ciemność nie jest zła. * Poleganie * na niejasności dla bezpieczeństwa, tak jakby samo jej wystarczyło, jest mniej więcej grzechem kardynalnym”. Myślę, że byłoby to bardziej proste sformułowanie tego, co masz na myśli.
@jpmc26 „Niewidzialność to nie bezpieczeństwo, to tylko rzecz”
Komentarze nie służą do rozszerzonej dyskusji; ta rozmowa została [przeniesiona do czatu] (http://chat.stackexchange.com/rooms/35262/discussion-on-answer-by-iszi-my-school-wants-to-keep-the-details-of- nasze-drzwi-aut).
@BradBouchard Twój komentarz stracił na aktualności
@Kos Tam. Naprawiono to częściowo. Wciąż nie ma już bezpośredniego cytatu, ale przynajmniej jest w nim zdanie, które z grubsza odwzorowuje jako parafrazę.
Za każdym razem, gdy potrzebujesz hasła, aby uzyskać dostęp do zasobu, polegasz na bezpieczeństwie dzięki niejasności.
@Kos Nie wiesz, co masz na myśli?
Dobrze, że napisałem swoje pytanie tak, jak to zrobiłem. Pierwotnie chciałem zapytać: „Bezpieczeństwo przez zaciemnienie jest okropne. Jak mam to wyjaśnić?”, Ale pomyślałem, że to zostało załadowane.
@alexw Prawdopodobnie tak. Ale bez klucza w jakiejś formie - który prawie zawsze i nieuchronnie będzie odtwarzalny przez człowieka z wystarczającą wiedzą i umiejętnościami - nie ma sposobu, aby * ktokolwiek * mógł uzyskać dostęp do systemu bez umożliwienia * każdemu * dostępu do systemu. Dlatego system może być w pełni bezpieczny dla CI, ale całkowicie zawiedzie A. Lub przekroczy A, a zatem zawiedzie CI. (Z „triady CIA”). Inna powszechna parafraza Zasady Kerckoffa wyraźnie wyklucza klucze (których hasła są jednego typu): „System powinien pozostać bezpieczny, nawet jeśli wróg wie wszystko oprócz klucza”.
@BradBouchard "" Bezpieczeństwo dzięki niejasności nie jest złe. "Dziękuję za powiedzenie tego, czego niektórzy nie przyznają." Spróbuj powiedzieć to analitykom sądowym. Anomalie trafiają bezpośrednio na początek raportu „sprawdź mnie”.
@cremefraiche W swoim komentarzu skupiałem się na tym, że niejasność jako kolejna warstwa bezpieczeństwa nie jest zła. Ludzie tutaj po prostu uwielbiają wyrzucać stwierdzenie „niejasności”, jakby to było kocem w odniesieniu do każdego pytania, nawet częściowo odnoszącego się do niejasności i jestem tym zmęczony. To tylko kolejna warstwa, nawet jeśli jest to słabsza warstwa.
@BradBouchard Rozumiem, że mówisz, że niejasność jako kolejna warstwa nie jest zła i myślę, że to niebezpieczne pojęcie. Zaciemnianie danych pozostawia znamienne oznaki, chyba że jest to bardzo dobre. Każde publicznie dostępne narzędzie zaciemniające pozostawia podpisy, które są nie tylko łatwo wykrywalne przez nowoczesne oprogramowanie kryminalistyczne, ale także wyzwalają natychmiastowe _red flagi_. Jeśli chodzi o dane, które są wystarczająco ważne, aby rozważyć ich zabezpieczenie i zaciemnienie, zdecydowanie powstrzymałbym się od tego drugiego.
@alexw Aby pójść tą drogą, z pewnością każdy system bezpieczeństwa opiera się na wystarczającym stopniu zaciemnienia dla współczesnych przeciwników.
@cremefraiche Nie ma wielu systemów, jeśli w ogóle, które nie opierają się na jakiejś formie niejasności; to nie jest złe. To źle, kiedy ta ciemność jest podstawą ich bezpieczeństwa. Zobacz komentarz o czołgach wojskowych w innej odpowiedzi lub komentarz w innym miejscu w tym wątku. Znalazłbym to dla ciebie, ale nie jestem pewien, gdzie to było. To jedno z lepszych wyjaśnień dotyczących niejasności, jakie słyszałem.
@cremefraiche Poszedłem i spojrzałem; zobacz odpowiedź Cary'ego Bondoca poniżej.
@cremefraiche Poza tym naprawdę nie powinniśmy już więcej komentować. Zostaliśmy poproszeni przez mody o przeniesienie tej dyskusji do czatu, więc zrób to, ponieważ będę tam szukał kontynuacji rozmowy. Jestem otwarty na to, co masz do powiedzenia, tak jak myślę, że wszyscy powinni. Zawsze mogę się „pomylić” i zmienić zdanie.
Jest kilka problemów związanych z „niejasnością jako warstwą bezpieczeństwa”, których, jak sądzę, nie będę w stanie wyrazić wystarczająco dobrze, aby być przekonującym w tym wątku, ale jedną komplikacją jest to, że powoduje to dodatkowe koszty utrzymania wspomnianej niejasności. Jeśli zostanie podjęta decyzja, że ​​„Dokument X” lub „szczegóły A, B, C” są poufne, te szczegóły same w sobie wymagają teraz zabezpieczenia w celu zapewnienia ich niejawności. Należy dołożyć starań, aby upewnić się, że zapory ogniowe są na miejscu, że przeprowadzane są audyty w celu wykrycia wycieków, itp. Jeśli PO zostałby zwolniony za ujawnienie projektu, spowodowałoby to kolejny koszt.
Przeciwnie, powiedzmy, ustawienie dokumentu jako „ściśle tajne”. Samo sklasyfikowanie dokumentu nie chroniłoby tak naprawdę jakiejś tajemnicy wojskowej (na przykład specyfikacji jakiegoś samolotu szpiegowskiego). Ale posiadanie protokołu, który mówi, że „dokumenty sklasyfikowane na tym poziomie muszą znajdować się za tyloma warstwami * prawdziwego * bezpieczeństwa”, chroni ten dokument, jeśli ten protokół jest przestrzegany. Wpychanie tajnych dokumentów do skrytki nie chroni ani przedmiotu sekretu, ani dokumentu, który go opisuje. Ale dokument można zabezpieczyć, jak również przedmiot dokumentu, bez zamieszania, że ​​jeden jest warstwą drugiego.
„[Zasada Kerckhoffa] w żaden sposób nie oznacza„ powiedz wrogowi wszystko o swoim systemie, ponieważ oni i tak wiedzą ”. bardziej przypomina stary argument „jeśli wyjęty spod prawa broń, tylko wyjęci spod prawa będą mieli broń”: jeśli zachowasz szczegóły swojego systemu w tajemnicy, tylko osoby mające motywację do włamania się do systemu będą miały dostęp do szczegółów Twojego systemu. W szczególności oznacza to, że osoby, które mogą chcieć pomóc ulepszyć Twój system, będą miały z tym trudności.
Tom Leek
2016-02-03 02:40:14 UTC
view on stackexchange narkive permalink

Zachowanie tajemnicy projektu nie sprawia, że ​​drzwi są niepewne per se ; jednak przekonanie, że zwiększa bezpieczeństwo, jest niebezpiecznym złudzeniem.

Jeśli ujawnienie szczegółów systemu uwierzytelniania pozwoliłoby go złamać, to ten system jest czystym śmieciem i należy go wyrzucić. Dlatego jeśli dobrze wykonałeś swoją pracę, ujawnienie szczegółów powinno być nieszkodliwe. Jeśli nie wykonałeś swoją pracę prawidłowo, zwolnij się i zatrudnij kogoś kompetentnego.

Ogólnie rzecz biorąc, publikowanie szczegółów systemu promuje zewnętrzne recenzje, które skutkują przerwą cykl poprawek, który ostatecznie poprawia bezpieczeństwo. W kontekście szkolnym nie publikowanie szczegółów systemu szkodzi bezpieczeństwu, ponieważ szkoły są pełne uczniów, a studenci są znani jako wścibscy anarchiści, których szczególnie pociąga inżynieria wsteczna wszystkiego, co jest przed nimi utrzymywane w tajemnicy. Powszechnie wiadomo, że w sali komputerowej studenta najlepszym sposobem na ograniczenie liczby incydentów związanych z bezpieczeństwem jest podanie kilku uczniom hasła roota / administratora - gdy uczeń chce zająć się bezpieczeństwem komputera, dając mu pełny dostęp usuwa wszelką motywację do prób zepsucia rzeczy ORAZ zamienia go w darmowego policyjnego pomocnika do monitorowania innych uczniów.

Ponadto, opisanie wewnętrznego działania systemu bezpieczeństwa może być wysoce pedagogicznym przedsięwzięciem. Słyszałem, że w niektórych szkołach faktycznie praktykują pedagogikę, przynajmniej od czasu do czasu. Twoja szkoła może chcieć spróbować.

„Jeśli źle wykonałeś swoją pracę, zwolnij się”. I lepiej to rozgryźć przed wdrożeniem, ujawniając projekt, prawda? (Jestem naprawdę pewny projektu zabezpieczeń, ale mimo to nadal jestem dobrym środkiem ostrożności).
@PyRulez: pojęcie operacyjne to „przegląd”. Chcesz dodatkowej analizy ze strony innych ludzi. Otwarta publikacja może bardzo pomóc w uzyskaniu bezpłatnych recenzji.
Czy masz źródło dla „Podaj kilku uczniom hasło roota / administratora”? Chciałbym przeczytać o tym więcej.
Naprawdę mam wątpliwości co do podawania uczniom szkół średnich hasła root / admin. Po prostu zainstalują gry wideo na komputerze.
@Nelson czym to się różni od NIEUdzielania im hasła roota?
@JohannesKuhn Myślę, że Tom jest zdezorientowany funkcją antyhakowania [Incompatible Time Share] (https://en.wikipedia.org/wiki/Incompatible_Timesharing_System). Wielu szarych kapeluszy nie spróbuje czegoś zrobić, kiedy już wiedzą, że można to łatwo zrobić.
@JohannesKuhn: była to metoda, której używano, gdy byłem szkolony; sysadmin obserwował działania uczniów i przekazywał hasło roota najbardziej zaawansowanym. Zadziałało cuda. (Mówiąc bardziej ogólnie, nazywa się to „merytokracją” i jest skuteczną metodą zarządzania - w XIII wieku pozwoliło Czyngis-chanowi podbić świat).
+1 dla „Studenci są znani jako wścibscy anarchiści”
Podsumowując, PyRulez powinien opublikować projekt, a jeśli znajdzie się w nim jakikolwiek błąd (czy to poprzez przegląd opublikowanego projektu, czy atak na faktycznie wdrożony system), powinien zakończyć? Wydaje się, że stawka na 100% pokonania dużego zespołu wścibskich anarchistów jest dość wysoka. Lub, aby uniknąć tak wysokich stawek, po prostu daj uczniom dostęp do drobnej kasy, a wtedy nie musisz rezygnować, ponieważ zdefiniowałeś, aby ich nie trzymać, aby nie byli częścią twojej pracy ;-)
AviD
2016-02-03 04:21:45 UTC
view on stackexchange narkive permalink

Otrzymałeś już kilka doskonałych odpowiedzi, chociaż odpowiedzi @ TomLeek i @ Iszi (obie znakomite przy okazji) wydają się być w bezpośredniej sprzeczności.

Obydwie mają doskonałe uwagi: z jednej strony zachowanie tajemnicy projektu nie zapewni bezpieczeństwa systemu, podczas gdy publiczne przeglądanie go umożliwi (prawdopodobnie) znalezienie pewnych luk, których nie brałeś pod uwagę; z drugiej strony nie zaszkodzi utrzymywać projekt w tajemnicy, o ile nie jest to kluczowy czynnik dla bezpieczeństwa projektu.

Obie strony mają całkowitą rację - czasami .

Myślę, że uczciwie byłoby powiedzieć, że obie strony w ogólnym argumencie zgodzą się, że zachowanie tajemnicy projektu w ogóle nie zwiększa bezpośrednio bezpieczeństwa.
W najgorszym przypadku po prostu ukrywa luki w zabezpieczeniach (które mogą, ale nie muszą być dobre, w zależności od tego, przed kim uważasz, że są najbardziej ukryte).
W najlepszym przypadku (gdy nie ma żadnych trywialnych luk, które zostałyby ujawnione przez publikacja projektu), nadal nie zwiększa bezpieczeństwa - ale minimalizuje powierzchnię ataku .

Minimalizuje powierzchnię ataku (nawet bez obecności luka) jest zdecydowanie dobrą rzeczą; należy to jednak rozważyć i wymienić na korzyści płynące z publikacji (a mianowicie weryfikację przez dodatkowe spojrzenia) oraz wady związane z utrzymywaniem tego w tajemnicy - np. pokusa polegania na nim jako na kontroli bezpieczeństwa (zawsze popularne zabezpieczenie przez zapomnienie), jako na formie teatru bezpieczeństwa.

Warto również zauważyć, że, jak wspomniał @Tikiman, samo opublikowanie projektu nie wystarczy, aby upewnić się, że zostanie on zrecenzowany - zwłaszcza przez tych, którzy potrafią znaleźć luki i którzy są również skłonnych do ich ujawnienia. W wielu przypadkach opublikowany projekt byłby sprawdzany tylko przez złośliwe osoby z nielegalnym zamiarem, więc nie osiągnąłbyś spodziewanych korzyści. Co więcej, często nawet nie wiadomo , czy ich projekt mieści się w wyżej wymienionym najlepszym, czy najgorszym przypadku.

Podsumowując - podobnie jak w przypadku wielu innych kwestii związanych z bezpieczeństwem, prosta odpowiedź nadal brzmi: To zależy .

Należy rozważyć pewien kompromis - jeśli byłby to złożony system kryptograficzny, odpowiedź byłaby jasna; gdyby był to typowy system korporacyjny wymagający dużej liczby wdrożeń, jasna byłaby inna odpowiedź.

Moje skłonności w tym przypadku są takie, jak powiedział @Tom, ale z wymienionych drugorzędnych powodów - częściowo z anarchicznej bazy użytkowników, a głównie z celu pedagogicznego.

Zauważ, że nie są to tak naprawdę względy bezpieczeństwa - przynajmniej nie bezpośrednio.

(Aha, a co do punktu @ Tikimana - pedagogika tutaj zaangażowana oznacza, że ​​możesz faktycznie upewnić się, że projekt jest recenzowany, przynajmniej przez całą klasę ;-))

Kiedy już to zrobisz, nie zapomnij wyjaśnić odpowiedzi Tikiman163.
@PyRulez Dodałem komentarz lub dwa, takie jak oni ... Chociaż moim zamiarem nie było obalanie innych odpowiedzi punkt po punkcie, ale kontrastowanie obu stron debaty o niejasności / otwartych źródłach ...
Cary Bondoc
2016-02-03 08:45:43 UTC
view on stackexchange narkive permalink

Ten artykuł Daniela Misslera jest świetny!

Stwierdza, że ​​

Security by Obscurity jest zły, ale niejasny, gdy zostanie dodany jako warstwa na wierzchu innych elementów sterujących może być całkowicie uzasadniona.

mając taką koncepcję, o wiele lepszym pytaniem byłoby

Czy dodawanie niejasności jest najlepszym zastosowaniem moje zasoby, biorąc pod uwagę kontrolki, które mam na miejscu, czy lepiej byłoby dodać inną kontrolę (nie opartą na niejasności)?

Możemy również użyć anologii kamuflażu jako niejasność jako kolejna warstwa bezpieczeństwa

Potężnym tego przykładem jest kamuflaż . Rozważmy czołg opancerzony , taki jak M-1. Czołg jest wyposażony w najbardziej zaawansowany pancerz, jaki kiedykolwiek był używany. i wielokrotnie pokazywano, że jest skuteczny w rzeczywistych bitwach.

Tak więc, biorąc pod uwagę to wysoce skuteczny pancerz, czy zagrożenie dla czołgu wzrosłoby w jakiś sposób, gdyby był pomalowany na ten sam kolor co jego otoczenie? A może w przyszłości, gdy będziemy mogli uczynić czołg całkowicie niewidocznym? Czy zmniejszyliśmy skuteczność zbroi? Nie, nie zrobiliśmy tego. Sprawienie, że coś trudniej jest zobaczyć, nie ułatwia ataku, jeśli zostanie odkryte. Jest to błąd, który po prostu musi się skończyć.

Kiedy celem jest zmniejszenie liczby udanych ataków, zaczynając od solidnych, przetestowanych zabezpieczeń i dodawania niejasności jako warstwy, przynosi ogólne korzyści dla stanu zabezpieczeń. Kamuflaż osiąga to na polu bitwy, a PK / SPA osiąga to, chroniąc usługi wzmocnione.

Podkreślam mój.

Komentarz Isziego jest również świetny, stwierdza, że ​​tak jest znacznie lepiej, jeśli zmienimy słowo adding na enforcing , więc podsumowując będzie to wyglądało tak:

Podsumowanie:

Bezpieczeństwo dzięki niejasności jest złe, ale bezpieczeństwo wymuszane z niejasnością jako warstwą na wierzchu innych kontroli może być całkowicie uzasadnione. Zakładanie, że jesteś bezpieczny na polu bitwy, ponieważ uważasz, że twój czołg jest pomalowany na ten sam kolor co otoczenie, jest po prostu bzdurą. . Ale doskonalenie obrony czołgów i wzmocnienie farby, która zapewnia kamuflaż jako kolejną warstwę ochrony, jest świetne!

Czy ta analogia nie załamuje się, jeśli weźmiesz pod uwagę recenzje, które możesz mieć, otwierając projekt?
Może w pytaniu „Czy dodawanie niejasności” należy zmienić „dodawanie” na „wymuszanie”. Jeśli jedna osoba projektuje system wyłącznie w swojej głowie, projekt jest naturalnie niejasny bez dodatkowego wysiłku. Nawet po szczegółowym udokumentowaniu systemu przez projektanta, projekt pozostaje dość niejasny, praktycznie bez dodatkowego wysiłku, o ile pozostaje wyłącznie w posiadaniu projektanta. Umieszczenie projektu w repozytorium o współdzielonym dostępie grozi jednak (ale nie łamie automatycznie) niejasności systemu. Wtedy potrzebny jest wysiłek, aby to wyegzekwować.
@JoãoPortela Ryzyko związane z dowolnym projektem w jego bieżącej implementacji można * zwiększyć * jedynie poprzez opublikowanie szczegółów tego projektu. Pancerz czołgu to naprawdę świetna analogia, chociaż użycie kamuflażu jako warstwy zaciemnienia w analogii może nie być najlepsze. Rozważmy naród, który jest już w stanie wojny. Ich czołgi są rozmieszczone na liniach frontu w aktywnej walce. Dzięki projektowi typu open source wróg ma praktycznie takie same informacje jak ty, jeśli chodzi o znajdowanie wad w konstrukcji czołgów lub chemii zbroi. Jest bardzo możliwe, że wróg poświęci więcej zasobów na ich odnalezienie.
Jeśli w czołgach zostanie znaleziona luka do wykorzystania przez wroga, twoja skuteczność bojowa jest naprawdę zagrożona tylko wtedy, gdy wróg faktycznie wie o wadzie. Chociaż Kerckoff mówi, że musisz założyć, że jest to możliwe, w rzeczywistości posiadanie publicznych projektów czołgów oznacza, że ​​musisz założyć, że jest to * prawdopodobne *. W międzyczasie harmonogram znalezienia poprawki lub obejścia takich błędów - a następnie wycofania i modernizacji / wymiany floty - będzie prawdopodobnie mierzony za * miesiące *.
Niewidzialność, gdy jest to jedyna ochrona, jest lepsza niż brak ochrony. Wiara w to, że w tym przypadku niejasność zapewnia bezpieczeństwo, może być jednak śmiertelna.
Dodanie kamuflażu do M-1 jest wykonywane jako dodatkowa "polowa" warstwa bezpieczeństwa, która nigdy nie byłaby uważana za "część" rzeczywistych specyfikacji bezpieczeństwa czołgu podczas testów, inżynierii lub projektowania, a nawet "gotowości bojowej" (przypuszczam, że może to być Bez kamuflażu nie zostałby uznany za gotowy do bitwy, ale kamuflaż nie byłby również postrzegany jako zwiększający oczekiwane osiągi czołgu na polu bitwy.) Ale większość zabezpieczeń opartych na informacjach, które wykorzystuje pewną niewyraźną ostatnią warstwę **, wpływa ** na interpretacja jego „prawdziwego” bezpieczeństwa. Ludzie widzą „kamuflaż” i myślą „teraz _TEGO_ jest bezpieczny!”
@Anthony Cóż, technologia * stealth * została teraz wbudowana w wiele platform obronnych na bardzo podstawowym poziomie. W najbardziej ekstremalnych przypadkach - takich jak obecnie na emeryturze USF F117 stealth lekki bombowiec i bombowiec B-2 - utrzymywanie ich dokładnych pozycji „niejasnych” przed radarem wroga jest w zasadzie całkowitym powodem, dla którego te samoloty istniały / były i były / są. efektywny. Wiele platform zajmujących się badaniami i rozwojem w wielu krajach opiera się na technologiach „zarządzania sygnaturami”, w bardzo różnym stopniu, w pewnym stopniu mało zauważalnym. (Chociaż nie polegam * tylko * na tym w kwestii przeżywalności).
Pisząc to, myślałem też o bombowcach stealth. Ale wydaje się to bardziej jak zaciemnianie jako taktyka, a nie jako środek bezpieczeństwa. Jestem pewien, że pilot czuje się bezpieczniej, ale zakłada, że ​​w każdej chwili może stać się widoczny. To również sprawia, że ​​myślę o steganografii, którą można uznać za warstwę niejasności. Ale w jakiś sposób tajne / podstępne manewry wydają się oddzielnym lub poświęconym wysiłkiem poza bezpieczeństwem.
Myślę, że moim głównym problemem jest to, że niejasność jako środek bezpieczeństwa daje natychmiastowe poczucie „bezpieczeństwa”, jak chowanie się pod kocem. Jest to naiwne dla menedżerów ds. Bezpieczeństwa lub jakichkolwiek informatyków, ale możemy wtedy porozmawiać o krytycznych i uzupełniających, itp. Jednak politycy i inni decydenci, tacy jak pracownicy szkoły OP, chcą i często żądają niejasności, ponieważ wygląda to i sprawia im przyjemność.
Nie są zainteresowani ani zaniepokojeni geekowskimi głębinami problemu. To ci sami faceci, którzy nalegają, abyśmy MUSI zmieniać swoje hasło co 90 dni, ale trzymaj swoje hasło na poczcie w szufladzie biurka.
Myślę, że „wymuszone” powinno być właściwie „wzmocnione”. Tak jak w przypadku, „bezpieczeństwo ** wzmocnione ** z niejasnością jako warstwa na wierzchu innych kontroli może być całkowicie uzasadnione”. Zasłonięcie nie jest mechanizmem, za pomocą którego parametry bezpieczeństwa są realizowane (lub „wymuszane”). Jest to warstwa dodawana do innych mechanizmów bezpieczeństwa w celu zwiększenia (lub „wzmocnienia”) ogólnego poziomu bezpieczeństwa.
axl
2016-02-03 07:23:48 UTC
view on stackexchange narkive permalink

Chociaż nie odpowiadam na Twoje pytanie, może to posłużyć jako argument przeciwko Twojej szkole.

Uważam, że ktoś, kto uzyska dostęp do autoryzowanego klucza / tożsamości, stanowi realne ryzyko. Ludzie są niechlujni, używają złych haseł i cały czas zapisują sekrety. Pewien nauczyciel w mojej szkole, wieki temu, zostawił kiedyś klucze do całej szkoły w studenckiej łazience.

Gdybym chciał dostać się do tego pokoju, nie zawracałbym sobie głowy próbą znalezienia luki w zabezpieczeniach oprogramowanie; Kradłem klucz, próbowałem manipulować fizycznym zamkiem lub inną zewnętrzną metodą.

Albo, jak powiedział mój przyjaciel, gdy dyrektor zapytał go, jak zabrałby się do włamania do systemu szkolnego w celu zniszczenia danych; „Użyłbym kija baseballowego”.

Tikiman163
2016-02-03 03:56:03 UTC
view on stackexchange narkive permalink

Mam długie wyjaśnienie, które może wydawać się błądzące, więc podam skróconą odpowiedź, a następnie ją uzasadnię. Krótka odpowiedź: to bezpieczeństwo poprzez zaciemnienie, ale prawdopodobnie nie stanowi to problemu ze względu na liczbę osób, które mają kontakt z systemem. Więc prawdopodobnie nie warto się o to kłócić.

Masz rację twierdząc, że utrzymywanie projektu systemu w tajemnicy jest zabezpieczeniem przez zaciemnienie (STO). Głównym powodem, dla którego STO jest złym pomysłem, jest to, że system, którego wewnętrzne działanie nie jest początkowo znane, można odtworzyć we wszystkich przypadkach poprzez uważną obserwację i właściwe zastosowanie inżynierii społecznej. Jeśli jesteś jedyną osobą, która rozumie, jak działa system, jesteś jedyną osobą, która może zweryfikować jego integralność. Dlatego też, jeśli w Twoim projekcie występuje potencjalnie omijalna wada, a ktoś inny dokona inżynierii wstecznej Twojego projektu i odkryje go, może go wykorzystać łatwiej, niż gdybyś nie zachował swoich projektów w tajemnicy. Jest też bardziej prawdopodobne, że będą w stanie zachować swoje odkrycie i nielegalne użycie w tajemnicy.

Dzieje się tak, ponieważ jeśli upublicznisz swój projekt, więcej osób go obejrzy, im więcej osób przyjrzy się projektowi, tym większe jest prawdopodobieństwo, że ktoś odkryje istniejącą wadę i powie Ci o niej. Błąd projektowy może nie występować nawet w ogólnej koncepcji, ale w konkretnej implementacji, takiej jak możliwość przepełnienia bufora w implementacji bezpiecznego algorytmu. Podstawowa koncepcja publicznego użycia prymitywów kryptograficznych polega na tym, że informując wszystkich o twoich prymitywnych algorytmach kryptograficznych, inni mogą je przejrzeć. Po wykonaniu tej czynności przez dużą liczbę osób możesz mieć pewność, że projekt jest bezpieczny. Trudność polega na tym, że ponieważ tworzysz projekt dla szkoły, tylko bardzo niewielka liczba osób będzie prawdopodobnie oglądać Twoje projekty, z których bardzo niewielu prawdopodobnie je zrozumie. Im mniej osób obejrzy Twoje projekty, tym większe prawdopodobieństwo, że każdy, kto wykryje usterkę, nie zgłosi usterki.

Chyba że masz dostęp do dużej społeczności specjalistów ds. Bezpieczeństwa, którzy chcą przejrzeć Twój projekt, pozwalając im ich sposób może być mniej więcej równy pod względem rzeczywistego bezpieczeństwa.

Myślę, że to - liczba stron - jest punktem krytycznym. Atakujący musi znać (a) hasło lub (b) błąd projektu, który można wykorzystać. Jeśli istnieje milion klawiatur Acme, łatwiej będzie znaleźć (b), jeśli istnieje, ponieważ osoba atakująca może po prostu kupić i rozebrać dziesięć klawiatur Acme. W takim przypadku Acme corp. lepiej opublikować projekt, aby nie popadli w samozadowolenie i mieli większą szansę na natychmiastowe wykrycie jakiejkolwiek usterki. Ale jeśli istnieje tylko jedna klawiatura Acme, możliwe i opłacalne jest zachowanie jej wad konstrukcyjnych w tajemnicy, tak jak jej hasło.
Ta odpowiedź jest bardzo błędna, ponieważ zakłada, że ​​upublicznienie projektu zwiększy liczbę osób, które * przeglądają * go i które są zarówno wrogie, jak i kompetentne. Z pewnością sprawia, że ​​system jest bardziej * dostępny * do przeglądu przez wiele osób. Ale nie możesz wiedzieć, ile osób faktycznie * będzie * zadawać sobie trud, aby go przejrzeć. Albo ilu z tych ludzi będzie w ogóle kompetentnych, zręcznych i wystarczająco dokładnych w swojej recenzji, aby znaleźć jakiekolwiek wady. Albo jakie będą intencje ludzi, którzy znajdą wady.
Iszi, bardzo konkretnie odniosłem się do faktu, że jego projekt raczej nie zostanie zrecenzowany, jeśli go opublikuje. Jeśli zamierzasz kogoś obalić, nie rób tego, zgadzając się z jego oceną. Przynajmniej spróbuj w pełni przeczytać to, co komentujesz, zanim skomentujesz, możesz łatwo zdać sobie sprawę, że nie wskazujesz błędu, czytając tylko pierwszy akapit, w którym stwierdziłem, że STO nie jest złe w tym przypadku.
@Tikiman163 Twierdzisz, że pod koniec, ale początek również silnie implikuje coś przeciwnego, więc odpowiedź powinna być poprawiona. W obecnym stanie nie jestem przekonany, że wnosi to coś do dyskusji.
gnasher729
2016-02-08 05:57:38 UTC
view on stackexchange narkive permalink

Oczywistym celem byłoby uniemożliwienie uczniom włamania się do systemu uwierzytelniania drzwi.

Jeśli założymy, że system uwierzytelniania jest nieco, ale nie bardzo trudny do zhakowania, i że są studenci z pewnymi zaawansowanymi umiejętnościami hakerskimi, ale bez nich, to jest całkiem możliwe, że dodatkowa trudność wynikająca z dopracowania szczegółów systemu jest na tyle niedostępne, że jest poza zasięgiem tej grupy (studentów).

Z drugiej strony, gdy system jest tak bezpieczny, że złamanie go jest znacznie trudniejsze niż znalezienie lub odtworzenie działania systemu, utrzymywanie szczegółów w tajemnicy nie jest już zbyt przydatne.

Serge Ballesta
2016-02-09 18:52:42 UTC
view on stackexchange narkive permalink

Gdybym był odpowiedzialny za drzwi, miałbym takie same wymagania dotyczące poufności. Jeśli świat (i twoja praca) byłyby doskonałe, niejasność rzeczywiście będzie bezużyteczna.

Ale pomyśl tylko o tym, co faktycznie dzieje się w prawdziwym świecie. Zakładam, że wykonałeś swoją pracę najlepiej jak potrafiłeś, używając najnowocześniejszych algorytmów. Ale diabeł ukrywa się w szczegółach, a szczegół implementacji może osłabić bezpieczeństwo. Zdarzyło się to w bibliotece SSL nie tak dawno temu, nawet jeśli algorytmy rzeczywiście były bezpieczne.

To, czego chcesz, ujawniając szczegóły systemu bezpieczeństwa, to to, że partnerzy sprawdzają twoją implementację i ostrzegają o możliwych wadach zanim zostaną odkryte i wykorzystane przez atakujących. Jeśli znasz ekspertów w dziedzinie systemów bezpieczeństwa i każesz im przejrzeć twoją pracę, myślę, że byłoby to postrzegane jako dobra praktyka nawet w twojej szkole - przynajmniej IMHO powinno . Ale jeśli po prostu go opublikujesz, bardziej prawdopodobne jest, że Twoimi pierwszymi czytelnikami będą ci, przeciwko którym zbudowano zabezpieczenie drzwi! I na pewno nie chcesz, aby jako pierwsi przejrzeli twoją pracę pod kątem możliwych wad.

TL / DR: Jeśli zbudujesz ogólny system bezpieczeństwa, może on mieć dużą publiczność i nie używasz go od razu w produkcji powinieneś opublikować go jak najszerzej, aby uzyskać dobre recenzje. Ale jeśli stworzysz dedykowaną implementację, która zostanie natychmiast wykorzystana do prawdziwego bezpieczeństwa, ujawniaj szczegóły tylko zaufanym ekspertom, aby uniknąć pomagania atakującym w znalezieniu możliwych błędów.



To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...