「軍事グレード」または「銀行グレード」とはどのようなセキュリティですか?
.NET アプリの場合、データの基本的な暗号化と SSL を使用するよりもはるかに多くの「セキュリティ」を考えることはできず、簡単にハッキングされないようにする必要があります...?
私は自分で webapp を構築していますが、それが「軍事」グレードと見なされるのはいつなのか、興味があります。
3 に答える
1
何もない。実際、「軍事レベルの暗号化」という用語は、セキュリティ/暗号化業界のかなりの数の人々によって蛇油と見なされており、せいぜい、何も知らないマーケティング担当者が製品のコピーを作成したことを示しており、最悪の場合、マーケティングを示唆しています。何も知らない人が書いた。
「軍事レベルの暗号化」には特定の基準はありません。もしあれば、彼らはその特定の基準を満たしていると言い、ドキュメントを提供します。通常、これらのソフトウェアが AES-256 を使用することを意味していました。もちろん、それでは何もわかりません。これは、AES-256 を使用して暗号化されたペンギンの画像です。
あまり安全ではありませんが、それでも「軍用グレード」です。トリックは、ほとんどすべてのアプリケーションに対して安全ではない ECB モードを使用して行われることです。
実際、実際に存在する基準はどれも優れているわけではありません。FIPS 140 があります。これは、もともと暗号化ハードウェアを対象とした NIST 標準です。ソフトウェアへの適用性は非常に疑わしいです。実際、ECB は FIPS 承認の動きであるため、上記のペンギン暗号化は有効です。
機密情報を保護するために使用する一連のアルゴリズムをリストした NSA Suite B もあります。繰り返しますが、それらの使用方法は指定されておらず、繰り返しになりますが、ECB モードが許可されています。
于 2013-09-02T23:58:30.727 に答える
0
企業は、一連のセキュリティ基準に準拠しているという認定を取得できます。一般的な基準は、情報セキュリティの ISO27001 基準 ( http://en.wikipedia.org/wiki/ISO/IEC_27001:2005 ) です。ソフトウェア自体よりも、会社の内部ポリシーと手順について詳しく説明します。
多くの大企業またはセキュリティに敏感な業界 (軍事、銀行など) の企業は、サプライヤーがこの種の基準に準拠していることを主張します。これは通常、ファイアウォール、パスワード、およびデータに関するアクセス制御、監査、資産管理などに関する厳格なポリシーがあることを意味します。
ソフトウェア開発者として、アプリケーションとそれがホストされている環境が攻撃に対して脆弱になる可能性がある基本的な方法を読んで、SQL インジェクション攻撃、脆弱なパスワード、安っぽい暗号化 ( ahem MD5)など、何を避けるべきかを理解することは価値があります。、あまりにも多くの情報を吐き出す例外...
良い本はhttp://www.amazon.co.uk/Deadly-Sins-Software-Security-Programming/dp/0071626751です。よく書かれており、有益です。私はそれのいくつかを完全に読みました。
于 2013-09-02T15:19:38.183 に答える