Venafi首席执行官Jeff Hudson说,加密受到攻击。

2022-02-04 15:46:13来源:

加密是互联网的核心基础之一。它可以在Web上的两个实体之间获得可信赖的信息交流,以及保护在线的身份。

如果没有这种有价值的技术,金融机构将无法在线转账,法律公司无法通过互联网分享文件。

但身份不仅仅延伸到人类用户,而是对机器延伸。“网络中有两个行动者 - 人和机器,”Venafi首席执行官Jeff Hudson说。

“人们用用户名和密码将自己识别到网络,然后机器在整个网络中彼此交谈,而不是用户名和密码,他们使用机器身份,”他每周告诉计算机。

由于使用机器,而不是人的数字信息,因此机器标识数正在增加。“我们认识到身份被盗的事实,我们每年花费约8亿美元保护人类身份,但我们在保护机器身份上几乎没有任何建造,”哈德逊说。

我们对加密技术的集体信任,使互联网能够在目前运行,允许我们在没有被截取或操纵的情况下保密地发送信息。但如果这信任应该失败,那么互联网本身就会变得无法使用。

不幸的是,加密目前正在不受欢迎,而不是一个,而是两个来源 - 寻求回溯访问加密算法的政府,以及想要违反加密以获得敏感数据的犯罪分子。

虽然她后来退缩,但前英国主秘书琥珀·鲁德德去年要求科技公司在消息传递应用中创建后门,以便为安全服务访问加密通信。

最近,联邦调查局局长克里斯托弗·克雷德在加密时重新呼吁加密,专门用于使用执法机构,美国参议员Dianne Feinstein在执法方向上驾驭,以便能够获得以电子方式发送或存储的任何信息。

“我认为网络世界有一个天真,如何保护它,”哈德森说。“人们倾向于逃跑并制作宣言,就像安装后门就是一个非常好的主意。”

政府希望加密工作,但他们还希望能够访问加密信息以追求犯罪分子。但是,在加密系统中安装后门将在不可避免地被剥削的保护中创建基本漏洞。

“从来没有在世界的历史上有一个后门,没有被犯罪分子利用”杰夫·哈德森,韦弗首席执行官

“没有像犯罪分子使用的后门那样的东西,”哈德森说。“从来没有在世界的历史上有一个后门,不会被罪犯剥削。”

哈德森认为这类后门是一场灾难。“绝不是,这种行业内的任何人都应该在提供一个后门的政府方面是同谋,”他说。“因为如果你这样做,坏人会得到它。此外,您如何访问一名政府而不是另一个政府的回程?“

请求后门访问与请求加密密钥不同。加密密钥用于访问特定的加密流量;后门访问基本上打破了加密。一旦安装了后门,无论来自政府的保证,都会滥用何时遭受困境。发生这种情况时,对加密的信任将失败,它将不再可用。

“后门是安全灾难,”哈德森说。

政府目前正在努力平衡尊重人民隐私的安全愿望。“加密给人们隐私,这意味着恐怖分子也有隐私,”哈德森说。“我认为政府正在倾听反对后门的论点,但他们的基本愿望是想要控制和了解一切。他们无法自救。“

有些人可能会争辩,政府没有故意攻击加密,并且他们只是考虑这种政策作为一种保护形式。但哈德森礼貌不同意。“一个坏人是一个不受欢迎的人,”他说。“他们正在攻击你,因为他们没有与你一致。”

犯罪分子也试图打破加密以窃取身份。使用这些身份,他们随后能够获得有价值的信息。这些身份不仅仅是人,而且是设备。“如果想要观看[网络]流量的糟糕的人,可以窃取私钥,然后他们可以攻击加密,”哈德森说。

对量子计算机的研究也是一个问题,因为这些强大的机器能够比传统计算机更快地处理数学方程,因此它们可以通过纯粹的蛮力来解码现有的加密。然而,所述哈德森,量子抗性加密算法已经在加工电力的预期(量子)跳跃中进行了。

“绝不是,这种行业内的任何人都应该在提供后门”杰夫·哈德森,首席执行官韦弗

根据哈德森的说法,今天世界上最大的威胁之一就是机器身份没有受到保护。身份可以被盗,并且当它们被妥协时,它们可以损坏系统的操作。“大多数公司都没有那种在机器身份上的视线,”哈德森说。“约有95%的公司,我们谈论的公司对他们的机器身份无关。”

这种缺乏意识可能意味着组织在违反欧盟的一般数据保护条例(GDPR)中不知不觉。如果数据落入意外收件人的手中,则可以罚款。“意外的收件人可能意味着一个人,但收件人也可以意味着一台机器,”哈德森说。

考虑到这一点,组织需要了解他们的哪些机器被授权访问其数据库。这意味着公司必须能够证明该设备的身份,否则他们无法履行其在GDP下的义务。

为了保护自己,组织应进行硬件审核,以对其设备的所有机器身份进行目录。具有所有这些身份的可见性使公司能够认识到他们的设备如何用于损害组织。“如果在同一时间使用七个相同的机器身份,那么你不能相信任何一个,”哈德森说。“知道他们是什么以及他们的意思。”

组织必须积极主动地预测对其通信网络的可能威胁,并采取风险厌恶的方法,而不是优先考虑持续的网络运营。“如果你认为身份或私钥已经受到损害,请切换出来,”哈德森说。“那样,如果有人能够窃取那个私钥,他们偷的人将不再工作。”

因此,如果组织怀疑他们的设备身份和/或加密密钥已被非法获得,他们应该寻求进一步加强他们的网络,以防止可能的未来攻击,从而进一步减少获取此关键信息的犯罪分子的风险。

除了保护自己免受罪犯,组织还应该寻求与政府联络。与立法者和政府机构一起致力于行业促进政策制定者对不幸的后果,即令人难以置信的立法,例如苛刻的后门在所有加密中苛刻,可能会对国际内部的未来。

加密是互联网的基本构建块之一,因此必须保护免受恶意妥协和误导的干扰。没有这一点,我们的在线身份 - 人类和机器 - 都会易受利用,从而消除允许信息交换的信任。如果发生这种情况,整个互联网将无法使用。

“对隐私的最大威胁是由技术提供商创造的回到以”哈德森“结束。


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章