斯诺登后遗症:加密技术何去何从?(二)
作者: 日期:2014年04月01日 阅:2,595

NSA-photo-by-Trevor-Paglen-

NSA爆出监控丑闻后,全球政府和企业对加密技术的关注热情空前高涨。麻省理工科技评论的一篇文章更是将2014年称为“加密年”。谷歌、微软、Facebook等互联网企业纷纷通过强制使用加密协议,扩大加密应用范围等方式来挽救被斯诺登毁掉的用户信心,但这样做真的有效吗?

近日IDG Connect走访了多位安全技术专家,包括学院派教授和企业CEO,讨论加密技术的过去和未来,以及在后斯诺登时代面临的种种技术和社会难题。以下是安全牛对采访的摘译和评述,内容主要分为两大部分,分别讨论影响密码学发展的“两只手”——学院和政府,以下为第二部分:

 

Cigital的首席顾问Paco Hope认为:

从基本面来看,类似非对称密码、哈希表和秘钥交换都是可靠的加密技术。更多时候我们发现加密不到位的原因是预算或者设备原因。我们依赖的一些商用加密产品确实被情报机构消弱了(编者按:例如RSA的人为算法后门),但这只是加密算法实施环节的问题,而并不是说加密技术本身有什么问题。

被高估的加密

2013年11月,谷歌总裁施密特声称:“防止政府监控的解决办法是全面加密。”吸引了包括微软在内的硅谷企业跟风。但是BullGuard公司的安全专家Alex Balan认为,谷歌倡导的加密只能解决一部分问题。如果没有很强的技术背景,普通用户很难了解和控制整个系统的安全性,例如是否有人实施中间人攻击,你使用的信息系统的每个环节是否都使用了正确的加密技术(例如APP、系统组件甚至硬件),片面强调加密容易给人安全的错觉。

加密是正确的措施,但并不是解决方案的全部,真正的解决方案需要有合适的法律来确保隐私被侵犯时公众有足够的知情权。民众呼吁对国家监控进行管控,但是因为制定决策的人不是缺少技术背景就是对个人隐私漠不关心,因此民众的呼吁很难见到成效。

此外,从技术上讲加密也不是万灵药,不是说往软件上“撒点加密的魔粉”就万事大吉了。如果你的PC里面有恶意软件,那么攻击者(无论是政府还是其他人)都可以在你加密前甚至加密后获得你的数据。而那些使用SSL的web服务器,但是通过SQL注入非授权方亦然能够拿到机密数据。如果整个数据安全过程出现逻辑错误,那么单纯依靠加密也保护不了数据。使得,我们比过去需要更多使用加密,但我们需要意识到加密只是众多安全环节中的一个短板而已,要做的工作还有很多。

关于NSA对加密行业的影响,Voltage Security的产品总监Carole Murphy认为:

政府大规模监控激发了人们的隐私意识,大众市场从未像今天这般渴望新一代广泛适用且易用的加密技术,这意味着加密不再是一个企业级市场的需求。

在云安全方面,CypherCloud的高级副总裁Paige Leidig认为,并非所有的云数据都需要加密,“在我们的客户案例中,只有一些敏感的数据需要加密,例如个人身份信息、网银和医疗信息以及研发信息等。如果采用工业级的加密技术如AES 256位加密,在数据泄漏时也能确保敏感数据的安全。

但是Leidig认为没有一种单一的安全技术能够防范所有的恶意攻击和病毒感染。主动防御模型需要立体的数据保护,”你不但需要本地的保护措施如防火墙和防病毒软件,还需要在云端加密、数据标记、数据丢失保护和访问政策等外围安全技术和服务上投资。你还需要根据信息密级分层部署,将这些安全控制措施与数据可视化、异常检测工具等结合,实现对特定数据集的最佳安全控制。”

EventTrack的首席执行官Ananth认为:虽然加密会让斯诺登泄露的大规模政府监控行为变得没那么容易,但是斯诺登透露的NSA对加密技术的削弱,以及NSA黑客部队TAO的曝光,表明大量通用技术从最基本的底层被动手脚了。这意味着需要有一个智慧的政策框架,来约束政府行为。“这听上去有些像单方面的核裁军,在现实政治中几乎是不可能的。”Ananth说道。

 

上接:斯诺登后遗症:加密技术何去何从?(一)

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章