Пять ошибок в шифровании данных

Пять ошибок в шифровании данных. Ловушки на вашем пути

Если вы следите за новостями в мире IT, вы должны согласиться, что шифрование данных стало широко распространенным. Но что такое "хорошая" криптография? Классическое высказывание "Зашифровать легко, управлять ключами сложно" иллюстрирует одну из ловушек, которые поджидают вас при осуществлении шифрования в масштабе предприятия. В данной статье описано и большинство других ошибок, которые часто допускаются, когда организации пытаются использовать шифрование хранимых и передаваемых данных и таким образом повысить уровень своей безопасности.

Первая ошибка - не использовать шифрование, когда это просто и когда это является общепринятым. Речь идет о таких неудобных текстовых протоколах, как telnet и FTP. Кто-то может сказать, что эти протоколы давно забыты по причинам, не относящимся к безопасности данных, но, как показало последнее "фиаско нулевого дня", постигшее Solaris telnet, их использует еще достаточное количество людей.

О второй ошибке упоминает большое количество криптографов: изобретение собственного криптографического алгоритма. Криптография - это наука, такая же, как физика или математика (мы все знаем, что на последней она и основана), и новичкам нечего в ней делать.

Интересный вариант такой ошибки - неспособность правильно применить хорошо сконструированный криптографический алгоритм. Разработать алгоритм тяжело, но качественное применение его - тоже нелегкий труд. Как результат, те, кто решает воспользоваться хорошо известным и зарекомендовавшим себя алгоритмом, могут сослужить себе дурную службу, если он существует в виде распространенного решения (например, криптографической библиотеки).

Каждый профессионал-"безопасник", знающий свое дело, распознает третью ошибку: секреты "жесткого кодирования" (hard-coding). Как мы знаем, безопасность качественного криптографического алгоритма зависит не от его секретности, а от его ключа или пароля. Если вы по небрежности сделаете такой пароль доступным для злоумышленников, игра окончена. Внедрение паролей в код программы, конфигурационные файлы или другие "скрытые" файлы делают пароли легко доступными для злоумышленников.

Четвертая ошибка проявляется как хранение ключей вместе с данными. Известны примеры организаций, которые пытались защитить свои базы данных, шифруя таблицы с чувствительными данными и затем сохраняя ключ в другой таблице на том же сервере.

Наконец, пятая ошибка обращает шифрование данных против того, кто планировал использовать его себе на пользу (то есть против вашей же организации): отсутствие поддержки восстановления данных. Спросите себя, проходит ли ваше решение в области криптографии "автобусный тест". Если кого-либо, кто знает ключи к данным, собьет автобус, сможете ли вы вернуть себе контроль над информацией?

В заключение скажем, что защита данных - критически важная часть информационной безопасности и шифрование здесь играет важнейшую роль. Избегайте упомянутых ловушек -и шифрование данных станет настоящей "серебряной пулей" в борьбе с утечками информации.

По материалам
www.computerworld.com