您当前的位置:   首页 > 新闻中心
数据和加密密钥,谁更重要?
发布时间:2020-05-25 19:14:19   阅读次数:

数据和加密密钥,谁更重要?(图1)

向自己提问

如今,保护数据和系统比以往任何时候都变得尤为重要–公司信誉以及他们的业务可以依靠它。数据安全性有很多层,对于不信任外围安全性的公司而言,数据加密是最重要的层。但是,即使在这一层,许多公司也无法保护一个更重要的级别:加密密钥。考虑到这一点,我们可以向自己问一个问题:您的数据和加密密钥,谁更重要?


面对这个问题时,最有可能立即做出的回应就是“当然的数据”。然而,在进一步考虑之后,大多数人可能会改变答案。它不像您想象的那样黑白。


让我们从再问两个问题开始:如果人们知道私人信息会遭到泄露,他们是否会公开?可以在没有隐私保证的情况下进行现代商务吗?这两个问题的答案当然都是“否”。


加密的前世今生

由于不经常讨论,人们可能不完全了解的是,所有现代加密过程都是众所周知的。默默无闻的安全日子已经一去不复返了。当今流行的加密算法(例如ECC、AES、DES和RSA)的过程已得到充分记录和理解。然而,数千年来,加密过程本身被认为是秘密的。这种做法的问题在于无法对流程进行充分的测试。这些旧解决方案是安全的,直到有人破解了它们,然后它们才过时了。只需一个人就可以破解系统,而且没人知道那个人是谁或何时破解了该程序。当然这就是第二次世界大战中纳粹政权使用的Enigma机器所发生的情况。


现代密码学家意识到通过使用秘密过程和秘密密钥来保护某物的愚蠢行为。有人可能会说,将复杂度提高一倍是一件好事,但由于缺乏同行评审的审查,秘密流程变得如此脆弱。要考虑的另一件事是,在秘密过程中,总是至少有一个知道秘密的人。是什么阻止了这个人,也因此阻止了机密,使其免受妥协或对妥协的感知?一种安全的加密解决方案只能具有一个秘密,以确保安全。这就是为什么需要开发一个新流程,并且只需要一个秘密就对该流程进行测试的原因:密钥。唯一的秘密是由已知过程生成的密码密钥,随后将其用于复杂的数学方程式中,以使除知道秘密密钥的人员之外的任何人都无法读取数据。另一种看待这种情况的方式是,数据可能会或可能不会是机密的,但是在所有情况下,密钥都必须是机密的。如果公开了密钥,则所有数据都将公开。


英语充满了针对不同情况的习语。“weakest link”一词有众多释义,这是有原因的:阿喀琉斯之踵、纸牌屋、氪石、单点失败、致命缺陷、柔软的腹部、空洞等。这主要是因为发生了这种情况在现实生活中常常如此,以至于一种表达方式最终变得多余而枯燥。在使用密码密钥的情况下,没有足够的惯用语来充分表达由于密码密钥受损而造成的现代破坏。


当今的数据保护挑战之一是,尽管大多数安全专业人员都通过对等审查来了解标准化加密的优势,但他们并不十分了解保持密钥安全的重要性。有一个非常古老的小东西,结尾是“而且全都想要马蹄铁钉子。” 这是一个告诫性的故事,讲述像马蹄钉之类的简单事物如何摧毁整个王国的故事。密码机密同样不为人知,而且更为重要。用现代的说法来阐释这一观点:

  • 由于缺少加密密钥,数据丢失了,

  • 由于缺少数据,因此失去了声誉,

  • 由于缺乏声誉,销售损失了,

  • 由于缺乏销售,收入损失了,

  • 由于缺乏收入,公司损失惨重,

而所有这些都是需要加密密钥的。


与马蹄铁钉不同,可以使用像硬件安全模块HSM)一样简单的方法来保护加密密钥,但是不幸的是,在大多数公司中,加密密钥不能被保护。希望使用密码保护其数据或系统的组织必须开始意识到,用于保护数据或系统的密钥比数据本身更为重要。在此之前,我们的个人数据、公司数据和系统都可以妥协。密钥比数据重要吗?毕竟不是非黑即白!



揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:


您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问!


相关阅读

购买咨询电话
021-54410609