Hacker News

Шағын блоктық шифрларды жібермеңіз

Шағын блоктық шифрларды жібермеңіз Бұл өтудің жан-жақты талдауы оның негізгі құрамдас бөліктері мен кеңірек әсерлерін егжей-тегжейлі тексеруді ұсынады. Фокустың негізгі бағыттары Пікірталас мыналарды қамтиды: Негізгі механизмдер мен процестер ...

1 min read Via 00f.net

Mewayz Team

Editorial Team

Hacker News

Шағын блоктық шифрлар 64 бит немесе одан аз деректер блоктарында жұмыс істейтін симметриялық шифрлау алгоритмдері болып табылады және олардың күшті жақтары мен шектеулерін түсіну құпия деректерді өңдейтін кез келген бизнес үшін өте маңызды. Бұрынғы жүйелер әлі де оларға сүйенсе де, заманауи қауіпсіздік стандарттары үйлесімділікті, өнімділікті және тәуекелге ұшырауды теңестіретін шифрды таңдауға стратегиялық тәсілді көбірек талап етеді.

Шағын блокты шифрлар дегеніміз не және бизнес не үшін қажет?

Блоктық шифр ашық мәтіннің бекітілген өлшемді бөліктерін шифрланған мәтінге шифрлайды. Шағын блоктық шифрлар - 32-ден 64-битке дейінгі блок өлшемдерін пайдаланатындар - ондаған жылдар бойы басым стандарт болды. DES, Blowfish, CAST-5 және 3DES барлығы осы санатқа жатады. Олар есептеу ресурстары тапшы болған және олардың ықшам блок өлшемдері осы шектеулерді көрсететін дәуірде жасалған.

Бүгінгі бизнес үшін шағын блок шифрларының өзектілігі академиялық емес. Кәсіпорын жүйелері, ендірілген құрылғылар, ескі банктік инфрақұрылым және өнеркәсіптік басқару жүйелері 3DES немесе Blowfish сияқты шифрларды жиі пайдаланады. Егер сіздің ұйымыңыз осы орталардың кез келгенін пайдаланса (немесе жұмыс істейтін серіктестермен біріктірілсе), сіз оны түсінсеңіз де, білмесеңіз де, сіз шағын блоктық шифр экожүйесінде бұрыннан барсыз.

Негізгі мәселе - криптографтар туған күн деп атайды. 64 биттік блоктық шифрмен бір кілт астында шифрланған шамамен 32 гигабайт деректерден кейін соқтығыс ықтималдығы қауіпті деңгейге дейін көтеріледі. Жүйелер арқылы күнделікті терабайттар өтетін заманауи деректер орталарында бұл шектен тез өтеді.

Шағын блок шифрларымен байланысты нақты қауіпсіздік тәуекелдері қандай?

Шағын блоктық шифрлармен байланысты осалдықтар жақсы құжатталған және белсенді түрде пайдаланылады. Ең көрнекті шабуыл класы – зерттеушілер 2016 жылы ашқан SWEET32 шабуылы. SWEET32 64-биттік блоктық шифрмен (TLS жүйесіндегі 3DES сияқты) шифрланған жеткілікті трафикті бақылай алатын шабуылдаушы туған күнмен байланысты соқтығыстар арқылы ашық мәтінді қалпына келтіре алатынын көрсетті.

"Қауіпсіздік барлық тәуекелдерден аулақ болу емес, ол қандай тәуекелдерді қабылдайтыныңызды түсіну және олар туралы негізделген шешім қабылдау. Кішкентай блоктық шифрларда белгіленген туған күнді елемеу - есептелген тәуекел емес, бұл қадағалау."

SWEET32-ден басқа шағын блоктық шифрлар мына құжатталған тәуекелдерге тап болады:

  • Соқтығысуды бұғаттау шабуылдары: Екі ашық мәтін блогы бірдей шифрлық мәтін блоктарын жасағанда, шабуылдаушылар аутентификация таңбалауыштарын немесе сеанс кілттерін әшкерелеп, деректер сегменттері арасындағы қарым-қатынас туралы түсінік алады.
  • Бұрынғы хаттаманың экспозициясы: Шағын блоктық шифрлар жиі ескірген TLS конфигурацияларында (TLS 1.0/1.1) пайда болады, бұл ескі кәсіпорын орналастыруларында ортадағы адам қаупін арттырады.
  • Кілттерді қайта пайдаланудың осалдықтары: Шифрлау кілттерін жеткілікті жиі айналдырмайтын жүйелер, әсіресе ұзақ жұмыс істейтін сеанстарда немесе деректерді жаппай тасымалдау кезінде туған күнге байланысты мәселені күшейтеді.
  • Сәйкестік ақаулары: PCI-DSS 4.0, HIPAA және GDPR сияқты нормативтік базалар енді нақты контексттерде 3DES-ке тыйым салады немесе бизнесті аудит тәуекеліне ұшыратады.
  • Жеткізу тізбегінің әсер ету қаупі: Жаңартылмаған үшінші тарап кітапханалары мен жеткізуші API интерфейстері шағын блоктық шифр жиынтықтарымен үнсіз келіссөздер жүргізіп, тікелей бақылауыңыздан тыс осалдықтарды тудыруы мүмкін.

Шағын блокты шифрлар қазіргі шифрлау баламаларымен қалай салыстырылады?

AES-128 және AES-256 128 биттік блоктарда жұмыс істейді, 64 биттік шифрлармен салыстырғанда туған күнді төрт есе арттырады. Тәжірибелік тұрғыдан алғанда, AES туған күнмен байланысты тәуекел маңызды болғанға дейін шамамен 340 дециллион байтты шифрлай алады, бұл кез келген нақты жұмыс жүктемесі үшін соқтығысу қаупін тиімді түрде жояды.

ChaCha20, тағы бір заманауи балама – блок өлшеміне қатысты мәселелерді толығымен айналып өтетін және AES жеделдетусіз аппараттық құралда ерекше өнімділікті ұсынатын ағындық шифр, бұл оны мобильді орталар мен IoT орналастыру үшін тамаша етеді. TLS 1.3, көлік қауіпсіздігінің қазіргі алтын стандарты тек қана AES-GCM және ChaCha20-Poly1305 негізіндегі шифрлар жиынтығын қолдайды, дизайны бойынша заманауи қауіпсіз коммуникациялардан шағын блоктық шифрларды жояды.

Бір кездері шағын блоктық шифрларды қолдаған өнімділік аргументі де жойылды. Заманауи процессорлар AES-256 шифрлауын 2010 жылдан кейін сатып алынған барлық дерлік кәсіпорын жабдықтарында Blowfish немесе 3DES бағдарламалық жасақтамасынан жылдамырақ ететін AES-NI аппараттық жеделдетуді қамтиды.

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

Қандай нақты сценарийлер әлі де шағын блокты шифр туралы хабардар болуды негіздейді?

Осал жерлеріне қарамастан, шағын блоктық шифрлар жойылған жоқ. Олардың қай жерде сақталатынын түсіну тәуекелді дәл бағалау үшін өте маңызды:

Бұрынғы жүйе интеграциясы негізгі пайдалану үлгісі болып қала береді. Mainframe орталарын, ескі SCADA және өнеркәсіптік басқару жүйелерін және ондаған жылдар бойы ескірген бағдарламалық жасақтаманы басқаратын қаржылық желілерді айтарлықтай инженерлік инвестицияларсыз жаңарту мүмкін емес. Бұл сценарийлерде жауап соқыр қабылдау емес — бұл кілттерді айналдыру, трафик көлемін бақылау және желіні сегменттеу арқылы тәуекелді азайту.

Енгізілген және шектелген орталар кейде әлі де ықшам шифрды іске асыруды қолдайды. Кейбір IoT сенсорлары мен смарт-карта қолданбалары жад пен өңдеу шектеулерімен жұмыс істейді, бұл жерде тіпті AES мүмкін емес болады. Арнайы шектеулі аппараттық құрал үшін әзірленген PRESENT немесе SIMON сияқты мақсатқа арналған жеңіл шифрлар осы контексттерде бұрынғы 64 биттік шифрларға қарағанда жақсырақ қауіпсіздік профильдерін ұсынады.

Криптографиялық зерттеу және хаттамалық талдаубар жүйелердегі шабуыл беттерін дұрыс бағалау үшін шағын блоктық шифрларды түсінуді талап етеді. Ену сынақтарын жүргізетін немесе үшінші тарап интеграциясын тексеретін қауіпсіздік мамандары осы шифрлық әрекеттерді жақсы меңгеруі керек.

Кәсіпорындар шифрлауды басқарудың практикалық стратегиясын қалай құруы керек?

Өсіп келе жатқан бизнесте шифрлау шешімдерін басқару тек техникалық мәселе емес, ол операциялық мәселе. Бірнеше құралдарды, платформаларды және интеграцияларды басқаратын компаниялар деректердің тыныштықта және бүкіл стек бойынша тасымалдау кезінде шифрлану жолын көру мүмкіндігін сақтау қиынға соғады.

Құрылымдық тәсіл шифрлар жинағы конфигурациясына арналған барлық қызметтерді тексеруді, барлық соңғы нүктелерде TLS 1.2 минимумын (TLS 1.3 қолайлы) қолдануды, 64-биттік шифр сеанстарын туған күнмен шектелген шектерден төмен ұстау үшін жеткілікті қысқа сақтайтын кілттерді айналдыру саясаттарын орнатуды және криптографиялық тексеру талаптарын қамтитын жеткізушіні бағалау процестерін құруды қамтиды.

Бірыңғай платформа арқылы бизнес операцияларыңызды орталықтандыру жеке қауіпсіздікті тексеруді қажет ететін біріктіру нүктелерінің жалпы санын азайту арқылы шифрды басқарудың күрделілігін айтарлықтай азайтады.

Жиі қойылатын сұрақтар

3DES әлі де бизнес үшін қауіпсіз болып саналады ма?

NIST 2023 жылға дейін 3DES-ті ресми түрде ескірген және жаңа қолданбалар үшін оған рұқсат бермеген. Қолданыстағы ескі жүйелер үшін 3DES кілтті қатаң айналдырумен (әрбір кілтке сеанс деректерін 32 ГБ-тан төмен ұстау) және желі деңгейіндегі басқару элементтерімен қолайлы болуы мүмкін, бірақ AES жүйесіне көшіру қатаң түрде ұсынылады және сәйкестік шеңберлері көбірек талап етеді.

Менің бизнес жүйелерім шағын блоктық шифрларды қолданып жатқанын қалай білуге болады?

Жалпыға арналған соңғы нүктелер үшін SSL Labs сервер сынағы сияқты TLS сканерлеу құралдарын пайдаланыңыз. Ішкі қызметтер үшін протоколды тексеру мүмкіндіктері бар желіні бақылау құралдары түсірілген трафиктегі шифрлар жиынтығының келіссөздерін анықтай алады. Толық түгендеу жасау үшін АТ тобы немесе қауіпсіздік кеңесшісі API, дерекқор және қолданба серверлеріне қарсы шифрлық тексерулерді жүргізе алады.

AES жүйесіне ауысу үшін менің қолданба кодымды қайта жазу қажет пе?

Көп жағдайда жоқ. Қазіргі криптографиялық кітапханалар (OpenSSL, BouncyCastle, libsodium) шифрды таңдауды кодты қайта жазудан гөрі конфигурация өзгертуіне айналдырады. Негізгі инженерлік күш конфигурация файлдарын, TLS параметрлерін жаңартуды және бар шифрланған деректерді деректерді жоғалтпай көшіруге немесе қайта шифрлауға болатынын тексеруді қамтиды. Ағымдағы құрылымдарға негізделген қолданбалар әдетте шифрды таңдауды қатаң кодталған іске асыру мәліметтері емес, параметр ретінде көрсетеді.

Бүгін қабылданған шифрлау шешімдері сіздің бизнесіңіздің жылдар бойына қауіпсіздік жағдайын анықтайды. Mewayz өсіп келе жатқан бизнеске CRM, маркетинг, электрондық коммерция, аналитика және т.б. қамтитын 207 модульді операциялық платформаны ұсынады — қауіпсіздікті ескеретін инфрақұрылыммен құрастырылған, осылайша сіз фрагменттелген құралдар стекіндегі осалдықтарды түзетуге емес, масштабтауға назар аудара аласыз. app.mewayz.com сайтында бизнесін ақылдырақ басқаратын 138 000+ пайдаланушыға қосылыңыз, жоспарлары айына $19-дан басталады.