Enkripcija – pravi tehnički odgovor na izazove informacijske sigurnosti?

02/07/2009 // Posted in ICT tehnologije  

Tradicionalna tehnologija koja se koristi kako bi se osigurali podaci je enkripcija – upotreba kompleksnih algoritama za kodiranje informacija koja se ustalila kao industrijski standard koji počiva na činjenici da iako je moguće dekriptirati kriptirane informacije, većina napadača nema pristup znanju, algoritmima ili procesorskoj snazi koja je potrebna za dekriptiranje kodiranih informacija.

Tehnika kriptiranja podataka u raznim oblicima i tehnoloÅ¡kim rjeÅ¡enjima primjenjuje se na podatke sadržane na mrežama, na podatke koji se nalaze u tranzitu unutar komunikacijskih kanala od izvora do primatelja, te na osobnim računalima i “pametnim” telefonima.

Međutim, ukoliko se gleda razvojnost informacijskih sustava, možemo lako posumnjati da li je enkripcija pravi odgovor na pitanje kako osigurati sigurnost podataka. Razlozi su sljedeći:

1. Upravljanje ključevima

Za dekodiranje enkriptiranih datoteka korisnik treba enkripcijski ključ. Upravljanje velikim brojem takvih ključeva može biti problematično – iako postoje rjeÅ¡enja za korporativno upravljanje ključevima (EKM – Enterprise Key Management) koja obećavaju mogućnost upravljanja i promjene ključeva tijekom njihovog životnog ciklusa – ona su viÅ¡e “flaster na otvorenoj rani” cjelokupnog sustava. PoÅ¡to je lanac jak koliko je jaka najjača karika, korporativno upravljanje ključevima sigurno je toliko koliko su sigurni integrirani sustavi upravljanja ključevima. Ako je ključ kompromitiran u hijerarhijski nižem sustavu od sigurnog managera ključeva ili neki sistem nije dizajniran da bi adekvatno adresirao odreÄ‘enu prijetnju, čitav sustav upravljanja ključevima postaje nesiguran.

2. Zakonska regulativa

U mnogim državama postoje zakoni koji zahtijevaju od raznih organizacija, poduzeća i državnih tijela da obavijeste pojedince o tome kako postoji sumnja ili saznanje da su njihove osobne informacije kompromitirane od neautoriziranih osoba. U praksi to često rezultira medijskim aferama koje su noćna mora za sve pogođene organizacije. Dobro razumijevanje tehnika enkripcije zasigurno može pomoći u tome da odgovorne osobe budu sigurne kako su podaci zaštićeni, no to ne pomaže javnom mnijenju. Jednom kada su osobni podaci postali ranjivi ili lako dostupni, izgubljeno je povjerenje onih na koje se oni odnose i javnosti općenito. Stoga enkripcija nije dovoljna mjera za adresiranje poslovnih zahtjeva za sigurnost podataka.

3. Računalna moć

Temeljna postavka klasične tehnologije enkripcije, kao što je rečeno, je nesrazmjer između procesorske moći potrebne za enkripciju i dekripciju podataka te odvraćanje onoga tko pokušava kompromitirati podatke kompleksnošću postupka. Međutim, porast procesorske snage je tako eksponencijalan da je posve izvjesno kako ono što je danas sigurno, sutra više neće biti. Iz tog razloga već danas su mnoge organizacije prisiljene sistematski vršiti re-enkripciju kako bi ostale sigurne od potencijalnih hakera. Sustavna je pak enkripcija problematična, skupa, povezana s dodatnih problemima po pitanju sigurnosti sadržanih podataka i zahtijeva puno ljudskog rada, odnosno direktnih intervencija.

Jedna od tehnika kojom se ova problematika može donekle rijeÅ¡iti je tehnika rasapa (disperzije) koja dijeli podatke na dijelove (“tranÅ¡e”) koje su spremljene na različitim logičkim ili geografskim lokacijama. Svaki djelić sadrži premalo informacija da bi bio koristan sam za sebe ili da bi mogao kompromitirati sadržane podatke, no sve podatke moguće je rekreirati iz inicijalno zadanog broja dislociranih tranÅ¡i. Nadalje, u slučaju ispada nekog od servera ili lokacija na kojima su sadržani podaci, ne dolazi do njihovog gubitka jer se mogu rekreirati iz preostalih lokacija i sadržanih tranÅ¡i. Neovisno o napretku procesorske snage, maliciozni hakeri ne mogu na jednostavan način doći do podataka a tehnika disperzije ne zahtijeva značajno vrijeme i rad u postupak re-enkripcije kako bi podaci bili dodatno zaÅ¡tićeni.

Zanimljivo je da norma ISO 27001:2005 u okviru Aneksa A *ne predviÄ‘a* kontrole vezane uz tehniku disperzije niti adresira temeljni koncept “cloud computinga”.

This entry was posted on 02/07/2009 at 9:48 am and is filed under ICT tehnologije. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Leave a Reply (name & email required)

You must be logged in to post a comment.