Frage:
Meine Schule möchte die Details unseres Türauthentifizierungssystems geheim halten. Ist das eine gute Idee?
PyRulez
2016-02-03 02:28:47 UTC
view on stackexchange narkive permalink

Ich entwerfe für unsere Schule ein Türauthentifizierungssystem (kann nicht näher darauf eingehen), sodass nur authentifizierte Personen durch eine bestimmte Innentür gehen können. Sie sind der Meinung, dass sein inneres Funktionieren geheim gehalten werden sollte, damit niemand es rückentwickeln kann. Ich behaupte, dass dies Sicherheit durch Dunkelheit wäre, was schlecht ist. Ich habe das System so konzipiert, dass es Ihnen nicht hilft, einzusteigen, wenn Sie wissen, wie es funktioniert. Wenn Sie nur den Schlüssel haben, können Sie nach Kerckhoffs Prinzip einsteigen. Sie behaupten immer noch, dass weniger Menschen, die davon wissen, weniger sollten.

Ist es eine gute Idee, ein geschlossenes Design zu wählen? Wenn nicht, warum genau?

P.S. Sie sagten mir erst, es sei ein Geheimnis, nachdem ich das meiste davon entworfen und einer Reihe von Leuten gesagt hatte, ob das einen Unterschied macht (ich hatte keine Ahnung, dass sie wollten, dass es ein Geheimnis ist).
P.P.S. Obwohl es nicht nach außen offen ist, enthält der Raum, den es schützt, wertvollere Dinge als der Rest der Schule. Ich würde daher erwarten, dass Gegner es sowieso rückentwickeln können, wenn wir ein geschlossenes Design anstelle eines offenen verwenden , aber ich bin mir nicht sicher, wie ich das kommunizieren soll.

Lassen Sie mich raten ... Ihre Schule befindet sich in Schottland in einem alten Schloss. Der Schulleiter ist ein schrulliger alter bärtiger Typ. Der Raum hat einen Spiegel ... Es sieht so aus, als hätte ein arbeitsloser Schriftsteller bereits die Bohnen über das Sicherheitssystem verschüttet.
Der Grund für das Öffnen des Innenlebens eines Systems besteht normalerweise darin, dass es * kostenlose * Peer Reviews erhält. In einem schulischen Kontext bezweifle ich sehr, dass zu viele Sicherheitsrückmeldungen eingehen, sondern dass jemand jemandem erzählt hat, der in diesem Raum gefangen wurde.
"Sie sind der Meinung, dass die innere Funktionsweise geheim gehalten werden sollte, damit niemand sie rückentwickeln kann." Der Grund für die Rückentwicklung? Weil es unbekannt ist ...
Ich würde fragen, warum die Schule ein eigenes Türauthentifizierungssystem entwirft, wenn es bereits eine Vielzahl von kommerziellen Produkten gibt, die dasselbe tun (die die Schule wahrscheinlich bereits zur Sicherung ihrer Türen verwendet). Wenn Sie etwas zu Geheimnisvolles haben, um nur einen Kartenzugriff oder ein PIN-Pad zu schützen, fügen Sie dem "sicheren" Raum ein Biometriegerät hinzu und kontrollieren Sie genau, wer für die Verwendung dieses Geräts registriert ist.
Google "Layered Security". Jeder, der es mit Sicherheit ernst meint, wird mehrschichtige Sicherheit implementieren, wobei Geheimhaltung / Dunkelheit nicht nur eine legitime Schicht ist, sondern eine wichtige Schicht (obwohl es nicht die KRITISCHE Schicht sein sollte). Aus diesem Grund konfigurieren wirklich gute Administratoren ihre Server so, dass nicht bekannt wird, welche Softwareversion sie verwenden. Dies erhöht die Arbeitsbelastung des Angreifers, da er zuerst Ihr Design prüfen muss, bevor er es knacken kann.
Kommentare sind nicht für eine ausführliche Diskussion gedacht. Dieses Gespräch wurde [in den Chat verschoben] (http://chat.stackexchange.com/rooms/35279/discussion-on-question-by-pyrulez-my-school-wants-to-keep-the-details-of- our-doo).
Je mehr Leute wissen, wie es funktioniert, desto wahrscheinlicher ist es, dass jemand eine Sicherheitslücke findet und Ihnen sagt (oder sie verwendet), wie es bei Open Source geschieht. Ich denke, es sollte öffentlich sein, das Geheimnis sollte eine versteckte Kamera sein, damit Sie bemerken, wenn jemand eine Sicherheitslücke findet.
@Nanoc In diesem Thread werden mehrere Kommentare und die zum Chatten verschobenen Blöcke angezeigt. (Und bitte veröffentlichen Sie weitere Diskussionen in einem dieser Chatrooms.) Durch die Veröffentlichung wird das Design nur für andere Personen verfügbarer. Es garantiert nicht, dass diese Personen es tatsächlich überprüfen oder wie kompetent sie dabei sind. Noch wichtiger ist, dass Sie auch keine Garantie für ihre Absichten haben.
niemand kann es rückentwickeln, wenn es öffentlich ist ...
Ich bin mir nicht sicher, warum jemand ein benutzerdefiniertes Türauthentifizierungssystem entwerfen müsste. Sicherlich muss es viele Systeme von der Stange geben, die den Anforderungen Ihrer Schule entsprechen?
Fragen Sie sich ernsthaft, warum Sie eine so wichtige Sicherheitstür entworfen haben, anstatt sie von einem der vielen hochqualifizierten und professionellen Hersteller zu kaufen.
Anstatt es geheim zu halten, veröffentlichen Sie eine Belohnung für das Knacken. Das stellt sicher, dass jeder, der es schafft einzusteigen, lieber die Belohnung und den Ruhm als den Inhalt erhält.
Tl; dr: Die Details nicht öffentlich zu halten, ist keine schlechte Idee.
@DeerHunter Ah, verdammt. Ich wusste, ich hätte stattdessen Hashing verwenden sollen.
"Sie sind der Meinung, dass sein inneres Funktionieren geheim gehalten werden sollte, damit niemand es rückentwickeln kann" - Ähm ... Reverse Engineering ist genau dann, wenn das innere Funktionieren ein Geheimnis ist. Wenn das Innenleben bekannt / veröffentlicht ist, ist das kein Reverse Engineering. Eher wie normales Engineering. Obwohl ein Überbau der Tür kontraproduktiv erscheint; Es spielt keine Rolle, wie sicher Ihre Tür ist, wenn ich nur eine der Wände einbreche und durch das Loch walze. Was Sie entwerfen sollten, ist ein Tresor.
Ein sicheres System muss sicher bleiben, auch wenn ich über das Innenleben Bescheid weiß. Denken Sie an KeePass, das Open Source ist und zum Speichern vertraulicher Informationen verwendet wird. Natürlich könnten die Daten auf dem Personalausweis / den Schlüsseln / ... privat sein, aber es wäre viel besser, sie unfälschbar zu gestalten (nichts ist fälschbar, aber Sie könnten sie so gestalten, dass sie sehr schwer zu fälschen sind).
(Nebenbemerkung: Unbeugbare Dinge existieren, siehe Quantengeld für weitere Informationen)
Ich empfehle Ihnen, die Wertsachen auch mit herkömmlichen Methoden aufzubewahren. Zum Beispiel in ein Metallgehäuse legen und mit einem Vorhängeschloss versehen. Denn wenn Ihr Konzept fehlschlägt, möchten Sie vielleicht eine zweite, theoretisch weniger sichere, aber besser getestete Schicht
@JonasDralle Selbst wenn sie es fälschen, werden sie nicht wissen, ob es richtig ist, ohne es tatsächlich in das Schloss zu stecken (in diesem speziellen Fall).
Acht antworten:
Iszi
2016-02-03 02:56:27 UTC
view on stackexchange narkive permalink

Dunkelheit ist keine schlechte Sicherheitsmaßnahme. Sich auf Dunkelheit als Ihre einzige oder wichtigste Sicherheitsmaßnahme zu verlassen, ist mehr oder weniger eine Hauptsünde.

Kerckhoffs Prinzip ist vielleicht die häufigste. zitiertes Argument gegen die Umsetzung von Sicherheit durch Dunkelheit. Wenn das System jedoch nach diesem Prinzip bereits ordnungsgemäß gesichert ist, ist dies falsch.

Das umschriebene Prinzip lautet: "Angenommen, der Feind weiß alles über das Design Ihrer Sicherheitssysteme." Dies bedeutet in keiner Weise, "dem Feind alles über Ihr System zu erzählen, weil er es sowieso weiß".

Wenn das System bereits nach Kerckhoffs Prinzip gut konzipiert ist, kann das Schlimmste über die Anwendung gesagt werden Sicherheit durch Dunkelheit ist, dass es wenig bis gar keinen Wert hinzufügt. Gleichzeitig schadet es einem solchen System nicht, die Vertraulichkeit seines Entwurfs zu schützen.

"Sicherheit durch Dunkelheit ist nicht schlecht." Vielen Dank, dass Sie gesagt haben, was manche Leute nicht zugeben werden.
"wenig bis gar kein Schaden beim Schutz der Vertraulichkeit seines Designs" ist nicht wirklich wahr. Wie von Tom Leek erwähnt, ist Bildung an einer Schule wichtig, auch wenn ein Design veröffentlicht wird, können die Leute auf Mängel hinweisen.
Ich würde den ersten Absatz umformulieren als "Dunkelheit ist nicht schlecht. * Sich auf Dunkelheit für Sicherheit zu verlassen, als ob es allein genug wäre, ist mehr oder weniger eine Hauptsünde." Ich denke, dies wäre eine klarere Formulierung dessen, was Sie meinen.
@jpmc26 "Dunkelheit ist keine Sicherheit, es ist nur eine Sache"
Kommentare sind nicht für eine ausführliche Diskussion gedacht. Dieses Gespräch wurde [in den Chat verschoben] (http://chat.stackexchange.com/rooms/35262/discussion-on-answer-by-iszi-my-school-wants-to-keep-the-details-of- unsere-Tür-aut).
@BradBouchard Ihr Kommentar hat an Relevanz verloren
@Kos Dort. Semi-Fixed. Immer noch kein direktes Zitat mehr, aber zumindest enthält es einen Satz, der grob als Paraphrase zugeordnet wird.
Jedes Mal, wenn Sie ein Kennwort für den Zugriff auf eine Ressource benötigen, verlassen Sie sich auf Sicherheit durch Unbekanntheit.
@Kos Nicht sicher, was Sie damit meinen?
Gut, dass ich meine Frage so geschrieben habe, wie ich es getan habe. Ursprünglich wollte ich fragen: "Sicherheit durch Dunkelheit ist schrecklich. Wie kann ich das erklären?", Aber ich dachte, das wäre geladen.
@alexw Wohl ja. Aber ohne einen Schlüssel irgendeiner Form - der fast immer und unvermeidlich mit ausreichendem Wissen und Können vom Menschen reproduzierbar sein wird - gibt es für * niemanden * keine Möglichkeit, auf das System zuzugreifen, ohne * jedem * den Zugriff auf das System zu ermöglichen. Daher könnte das System für CI vollständig sicher sein, A jedoch vollständig ausfallen. Andernfalls wird A überschritten und CI wird daher nicht ausgeführt. (Aus der "CIA-Triade".) Eine andere gebräuchliche Umschreibung von Kerckoffs Prinzip befreit speziell Schlüssel (von denen Passwörter ein Typ sind): "Ein System sollte sicher bleiben, auch wenn der Feind alles außer dem Schlüssel weiß."
@BradBouchard "" Sicherheit durch Dunkelheit ist nicht schlecht. "Vielen Dank, dass Sie gesagt haben, was manche Leute nicht zugeben." Versuchen Sie, dies forensischen Analysten zu sagen. Anomalien werden direkt in den Check-me-Bericht aufgenommen.
@cremefraiche Worauf ich mich in meinem Kommentar konzentrierte, war die Tatsache, dass Dunkelheit als weitere Sicherheitsebene nicht schlecht ist. Die Leute hier lieben es einfach, die "Obscurity" -Aussage wie eine Decke in Bezug auf jede Frage wegzuwerfen, die sich auch nur teilweise mit Obscurity befasst, und ich bin es leid. Es ist nur eine weitere Ebene, auch wenn es eine schwächere Ebene ist.
@BradBouchard Ich verstehe, dass Sie sagen, dass Dunkelheit als weitere Schicht nicht schlecht ist, und ich denke, dass dies eine gefährliche Vorstellung ist. Das Verschleiern von Daten hinterlässt verräterische Anzeichen, sofern dies nicht sehr gut gemacht wird. Jedes öffentlich verfügbare Verschleierungstool hinterlässt Signaturen, die nicht nur von moderner Forensik-Software leicht erkannt werden können, sondern auch sofortige rote Flags auslösen. Wenn es um Daten geht, die wichtig genug sind, um das Sichern und Verschleiern in Betracht zu ziehen, würde ich auf Letzteres absolut verzichten.
@alexw Um diesen Weg zu gehen, ist sicherlich jedes Sicherheitssystem auf ausreichende Dunkelheit für zeitgenössische Gegner angewiesen.
@cremefraiche Es gibt nicht viele Systeme, wenn überhaupt, die nicht auf irgendeiner Form von Dunkelheit beruhen. das ist nicht schlecht. Es ist schlimm, wenn diese Dunkelheit der Eckpfeiler ihrer Sicherheit ist. Siehe den Kommentar zu Militärpanzern in einer anderen Antwort oder einen Kommentar an anderer Stelle in diesem Thread. Ich würde es für dich finden, aber ich bin mir nicht sicher, wo es war. Es ist eine der besseren Erklärungen für die Dunkelheit, die ich gehört habe.
@cremefraiche Ich ging und schaute; siehe Cary Bondocs Antwort unten.
@cremefraiche Außerdem sollten wir hier wirklich nicht mehr kommentieren. Wir wurden von den Mods gebeten, diese Diskussion in den Chat zu verschieben. Bitte tun Sie dies, da ich dort nach Ihrem weiteren Gespräch suchen werde. Ich bin offen für das, was Sie zu sagen haben, so wie ich denke, dass alle Menschen es sein sollten. Ich kann immer "falsch" liegen und meine Meinung über etwas geändert haben.
Es gibt ein paar Probleme mit "Dunkelheit als Sicherheitsschicht", die ich nicht gut genug ausdrücken kann, um in diesem Thread zu überzeugen, aber eine Komplikation besteht darin, dass die Aufrechterhaltung dieser Dunkelheit zusätzliche Kosten verursacht. Wenn entschieden wird, dass "X-Dokument" - oder "A-, B-, C-Details" vertraulich sind, erfordern diese Details selbst jetzt Sicherheit, um ihre Unklarheit sicherzustellen. Es müssen Anstrengungen unternommen werden, um sicherzustellen, dass Firewalls vorhanden sind, dass Audits durchgeführt werden, um auf Lecks zu prüfen usw. Wenn das OP wegen Offenlegung des Designs entlassen wurde, würde dies weitere Kosten verursachen.
Versus beispielsweise, ein Dokument auf "Top Secret" zu setzen. Die Klassifizierung des Dokuments allein würde ein militärisches Geheimnis (wie die Spezifikationen eines Spionageflugzeugs) nicht wirklich schützen. Ein Protokoll mit der Aufschrift "Dokumente, die mit dieser Stufe klassifiziert sind, müssen sich hinter diesen vielen Ebenen der * echten * Sicherheit befinden" schützt dieses Dokument, wenn dieses Protokoll eingehalten wird. Das Verschieben geheimer Dokumente in ein Versteck schützt weder das Thema des Geheimnisses noch das Dokument, das es beschreibt. Das Dokument kann jedoch ebenso wie der Gegenstand des Dokuments gesichert werden, ohne zu verwechseln, dass das eine eine Schicht des anderen ist.
"[Kerckhoffs Prinzip] bedeutet in keiner Weise," dem Feind alles über Ihr System zu erzählen, weil er es sowieso weiß "." Nein; Es ist eher wie das alte Argument "Wenn Sie Waffen verbieten, haben nur Gesetzlose Waffen": Wenn Sie die Details Ihres Systems geheim halten, erhalten nur Personen mit der Motivation, Ihr System zu knacken, die Details Ihres Systems. Dies bedeutet insbesondere, dass Menschen, die möglicherweise bereit sind, zur Verbesserung Ihres Systems beizutragen, Schwierigkeiten haben werden.
Tom Leek
2016-02-03 02:40:14 UTC
view on stackexchange narkive permalink

Wenn Sie das Design geheim halten, wird die Tür per se nicht unsicher. Die Annahme, dass dies die Sicherheit erhöht, ist jedoch eine gefährliche Täuschung.

Wenn die Offenlegung der Details des Authentifizierungssystems einen Bruch ermöglichen würde, ist dieses System reiner Müll und sollte verworfen werden. Wenn Sie Ihre Arbeit ordnungsgemäß ausgeführt haben, sollte es daher harmlos sein, die Details preiszugeben. Wenn Sie Ihre Arbeit nicht ordnungsgemäß ausgeführt haben, entlassen Sie sich selbst und stellen Sie eine kompetente Person ein.

Im Allgemeinen werden durch die Veröffentlichung von Systemdetails externe Überprüfungen gefördert, die zu einer Unterbrechung führen. Fixzyklus, der letztendlich die Sicherheit verbessert. Im schulischen Kontext schadet das Nichtveröffentlichen von Systemdetails der Sicherheit, da die Schulen voll von Schülern sind und die Schüler als neugierige Anarchisten bekannt sind, die sich besonders für das Reverse Engineering von allem interessieren, was vor ihnen geheim gehalten wird. Es ist bekannt, dass in einem Computerraum für Schüler Sicherheitsvorfälle am besten gering gehalten werden können, indem Sie einigen Schülern das Root- / Administratorkennwort geben - wenn ein Schüler sich mit Computersicherheit beschäftigen möchte und ihm vollen Zugriff gewährt beseitigt jeden Anreiz für den Versuch, Dinge zu zerbrechen, UND verwandelt ihn in einen freien Polizisten, der die anderen Studenten überwacht.

Außerdem könnte es ein sehr pädagogisches Unterfangen sein, das Innenleben eines Sicherheitssystems detailliert darzustellen. Ich habe gehört, dass sie in einigen Schulen zumindest gelegentlich Pädagogik praktizieren. Ihre Schule möchte es vielleicht versuchen.

"Wenn du deine Arbeit nicht richtig gemacht hast, dann feuere dich." Und es ist besser, das herauszufinden, bevor Sie es implementieren, indem Sie das Design enthüllen, richtig? (Ich bin sehr zuversichtlich in das Sicherheitsdesign, aber dennoch eine gute Vorsichtsmaßnahme.)
@PyRulez: der operative Begriff ist "Überprüfung". Sie möchten zusätzliche Analysen von anderen Personen. Eine offene Publikation kann viel dazu beitragen, kostenlose Rezensionen zu erhalten.
Haben Sie eine Quelle für "Geben Sie einigen Schülern das Root- / Administratorkennwort"? Ich würde gerne mehr darüber lesen.
Ich bin wirklich zweifelhaft, ob ich Schülern das Root- / Admin-Passwort geben soll. Sie werden nur Videospiele auf dem Computer installieren.
@Nelson Wie unterscheidet sich das davon, ihnen NICHT das Root-Passwort zu geben?
@JohannesKuhn Ich denke, Tom ist verwirrt über die Anti-Hacking-Funktion von [Inkompatibler Zeitanteil] (https://en.wikipedia.org/wiki/Incompatible_Timesharing_System). Viele graue Hutmacher werden nicht versuchen, etwas zu tun, wenn sie bereits wissen, dass es leicht geht.
@JohannesKuhn: war die Methode, mit der ich unterrichtet wurde; Der Systemadministrator beobachtete die Aktivitäten der Schüler und gab dem fortgeschrittensten das Root-Passwort. Es hat Wunder gewirkt. (Und im Allgemeinen wird dies als "Meritokratie" bezeichnet und ist eine effiziente Managementmethode - im 13. Jahrhundert ermöglichte es Dschingis Khan, die Welt zu erobern.)
+1 für "Studenten sind als neugierige Anarchisten bekannt"
Zusammenfassend sollte PyRulez das Design veröffentlichen, und sollte ein Fehler, der darin gefunden wird (entweder durch Überprüfung des veröffentlichten Designs oder durch Angriff auf das tatsächlich implementierte System), beendet werden? Es scheint ein ziemlich hoher Einsatz zu sein, um ein großes Team neugieriger Anarchisten zu 100% zu schlagen. Oder, um solch hohe Einsätze zu vermeiden, geben Sie den Schülern einfach Zugang zur Kasse, und dann müssen Sie nicht zurücktreten, weil Sie definiert haben, dass sie nicht Teil Ihres Jobs sind ;-)
AviD
2016-02-03 04:21:45 UTC
view on stackexchange narkive permalink

Sie haben bereits mehrere ausgezeichnete Antworten erhalten, obwohl die Antwort von @ TomLeek und @ Iszi (beide übrigens ausgezeichnet) im direkten Widerspruch zu stehen scheint.

Beide machen hervorragende Punkte: Einerseits wird das System durch die Geheimhaltung des Designs nicht sicher, während Sie durch eine öffentliche Überprüfung (möglicherweise) bestimmte Schwachstellen finden können, die Sie nicht berücksichtigt haben. Andererseits tut es nicht wirklich weh, das Design geheim zu halten, solange dies kein Schlüsselfaktor für die Sicherheit des Designs ist.

Beide Seiten sind absolut korrekt - manchmal .

Ich denke, es wäre fair zu sagen, dass beide Seiten im allgemeinen Argument zustimmen würden, dass die Geheimhaltung des Designs die Sicherheit überhaupt nicht direkt erhöht.
Im schlimmsten Fall ist es lediglich verbirgt Sicherheitslücken (die eine gute Sache sein können oder nicht, je nachdem, vor wem Sie sie am meisten verbergen).
Im besten Fall (wo es keine trivialen Schwachstellen gibt, die von aufgedeckt würden Durch das Veröffentlichen des Designs wird die Sicherheit immer noch nicht erhöht. minimiert jedoch die Angriffsfläche .

Minimierung der Angriffsfläche (auch ohne Vorhandensein von eine Verwundbarkeit) ist definitiv eine gute Sache; Dies muss jedoch abgewogen und gegen die Vorteile des Publizierens abgewogen werden (nämlich durch zusätzliche Augenpaare überprüft werden) und den Nachteil, es geheim zu halten - z. die Versuchung, sich darauf als Sicherheitskontrolle (die immer beliebter werdende Sicherheit durch Dunkelheit), als eine Form des Sicherheitstheaters zu verlassen.

Es ist auch erwähnenswert, dass, wie @Tikiman angedeutet hat, die bloße Veröffentlichung des Designs nicht ausreicht, um sicherzustellen, dass es überprüft wird - insbesondere von denen, die in der Lage sind, die Schwachstellen zu finden, und die es auch sind geneigt, sie Ihnen zu offenbaren. In vielen Fällen wird ein veröffentlichtes Design nur von diesen böswilligen Personen mit illegaler Absicht überprüft, sodass Sie nicht den erwarteten Nutzen erzielen. Darüber hinaus weiß man oft nicht einmal, ob sein Design in den oben genannten besten oder schlechtesten Fall fällt.

Fazit: Wie bei so vielen Sicherheitsaspekten lautet die klare Antwort immer noch: Es kommt darauf an .

Hier ist ein eindeutiger Kompromiss zu berücksichtigen - wenn dies ein komplexes Kryptosystem wäre, wäre die Antwort klar; Wenn dies ein implementierungsintensives typisches Unternehmenssystem wäre, wäre eine andere Antwort klar.

Mein Neigen in diesem Fall ist wie bei @Tom gesagt, aber aus den genannten sekundären Gründen - teilweise der anarchischen Benutzerbasis und hauptsächlich dem pädagogischen Ziel.

Beachten Sie, dass dies eigentlich keine wirklichen Sicherheitsaspekte sind - zumindest nicht direkt.

(Oh und was @ Tikimans Punkt betrifft - die Pädagogik hier bedeutet, dass Sie tatsächlich sicherstellen können, dass das Design zumindest von der gesamten Klasse überprüft wird ;-))

Vergessen Sie nicht, die Antwort von Tikiman163 zu erläutern.
@PyRulez Ich habe ein oder zwei Kommentare hinzugefügt, wie sie sind ... Obwohl meine Absicht nicht darin bestand, andere Antworten Punkt für Punkt zu widerlegen, sondern beide Seiten der Dunkelheits- / OpenSource-Debatte gegenüberzustellen ...
Cary Bondoc
2016-02-03 08:45:43 UTC
view on stackexchange narkive permalink

Dieser Artikel von Daniel Missler ist großartig!

Es heißt, dass

Sicherheit durch Dunkelheit schlecht ist, aber Dunkelheit, wenn sie als hinzugefügt wird Eine Schicht über anderen Steuerelementen kann absolut legitim sein.

Mit diesem Konzept wäre eine viel bessere Frage:

Das Hinzufügen von Dunkelheit ist die beste Verwendung meine Ressourcen angesichts der vorhandenen Steuerelemente, oder wäre es besser, ein anderes (nicht auf Dunkelheit basierendes) Steuerelement hinzuzufügen?

Wir können auch die Anologie der Tarnung verwenden als Dunkelheit als weitere Sicherheitsebene

Ein wirkungsvolles Beispiel hierfür ist die Tarnung . Betrachten Sie einen gepanzerten Panzer wie den M-1. Der Panzer ist mit einigen der fortschrittlichsten Rüstungen ausgestattet, die jemals verwendet wurden , und es wurde wiederholt gezeigt, dass sie im realen Kampf effektiv sind.

Also, angesichts dessen Hochwirksame Panzerung, würde die Gefahr für den Panzer irgendwie zunehmen, wenn er in der gleichen Farbe wie seine Umgebung gestrichen würde? Oder wie wäre es in Zukunft, wenn wir den Panzer vollständig unsichtbar machen könnten? Haben wir die Wirksamkeit der Rüstung verringert? Nein, haben wir nicht. Wenn Sie etwas schwerer zu sehen machen, ist es nicht einfacher anzugreifen, wenn oder wenn es entdeckt wird. Dies ist ein Irrtum, der einfach enden muss.

Wenn das Ziel darin besteht, die Anzahl zu verringern Von erfolgreichen Angriffen, angefangen bei solider, getesteter Sicherheit bis hin zum Hinzufügen von Dunkelheit als Schicht, ergibt sich ein allgemeiner Vorteil für die Sicherheitslage. Camouflage erreicht dies auf dem Schlachtfeld, und PK / SPA erreicht dies beim Schutz gehärteter Dienste.

Hervorhebung meiner.

Iszis Kommentar ist auch großartig, sagt er viel besser, wenn wir das Wort hinzufügen in erzwingen ändern. Zusammenfassend sieht es also so aus

Zusammenfassung:

Sicherheit durch Dunkelheit ist schlecht, aber Sicherheit, die mit Dunkelheit als Schicht über anderen Kontrollen erzwungen wird, kann absolut legitim sein. Die Annahme, dass Sie auf dem Schlachtfeld sicher sind, weil Sie denken, dass Ihr Panzer mit der gleichen Farbe wie die Umgebung bemalt ist, ist einfach Unsinn . Aber die Verteidigung Ihrer Panzer großartig zu machen und die Farbe zu verstärken, die Ihnen die Tarnfähigkeit als weitere Schutzschicht verleiht, ist großartig!

Bricht diese Analogie nicht zusammen, wenn Sie die Bewertungen berücksichtigen, die Sie durch Öffnen des Designs erhalten können?
Vielleicht sollten Sie in der Frage "Fügt Dunkelheit hinzu" "Hinzufügen" für "Durchsetzen" ändern. Wenn eine einzelne Person ein System nur in ihrem Kopf entwirft, ist das Design natürlich ohne zusätzlichen Aufwand unklar. Selbst nachdem der Designer das System detailliert dokumentiert hat, bleibt das Design mit praktisch keinem zusätzlichen Aufwand einigermaßen dunkel, solange es ausschließlich im Besitz des Designers bleibt. Das Einfügen des Entwurfs in ein Repository mit gemeinsamem Zugriff gefährdet jedoch die Dunkelheit des Systems (bricht diese jedoch nicht automatisch). Dann sind Anstrengungen erforderlich, um dies durchzusetzen.
@JoãoPortela Das Risiko für ein Design in seiner aktuellen Implementierung kann nur durch Veröffentlichung von Details dieses Designs * erhöht * werden. Panzerpanzer sind wirklich eine großartige Analogie, obwohl die Verwendung von Tarnung als Dunkelheitsschicht in der Analogie möglicherweise nicht die beste ist. Betrachten Sie eine Nation, die sich bereits im Krieg befindet. Ihre Panzer werden im aktiven Kampf an der Front eingesetzt. Mit Open-Source-Design hat der Feind praktisch die gleichen Informationen wie Sie, wenn es darum geht, Fehler in der Panzerkonstruktion oder in der Chemie der Panzerung zu finden. Und es ist sehr wahrscheinlich, dass der Feind mehr Ressourcen dafür einsetzt, sie zu finden.
Wenn in den Panzern ein vom Feind ausnutzbarer Fehler gefunden wird, wird Ihre Kampfeffektivität nur dann wirklich beeinträchtigt, wenn der Feind tatsächlich von dem Fehler weiß. Während Kerckoff sagt, dass Sie davon ausgehen müssen, dass dies möglich ist, bedeutet die Veröffentlichung der Panzerentwürfe, dass Sie davon ausgehen müssen, dass dies * wahrscheinlich * ist. In der Zwischenzeit wird der Zeitplan für die Behebung oder Umgehung solcher Fehler - dann Rückruf und Upgrade / Austausch der Flotte - wahrscheinlich in * Monaten * gemessen.
Dunkelheit, wenn es der einzige Schutz ist, ist besser als gar kein Schutz. Zu glauben, dass Dunkelheit in diesem Fall Sie schützt, kann jedoch tödlich sein.
Das Hinzufügen von Tarnung zum M-1 erfolgt als zusätzliche "Feld" -Sicherheitsebene, die niemals als "Teil" der tatsächlichen Sicherheitsspezifikationen des Panzers während des Testens oder der Konstruktion oder des Designs oder sogar als "Kampfbereitschaft" betrachtet wird (ich nehme an, das könnte sein ohne Tarn würde es nicht als kampfbereit angesehen werden, aber die Tarnung würde auch nicht als Steigerung der erwarteten Schlachtfeldleistung des Panzers angesehen werden.) Aber die meisten informationsbasierten Sicherheitsvorkehrungen, die eine dunkle Endschicht verwenden, wirken sich auf die Interpretation der "wahren" Sicherheit. Die Leute sehen die "Tarnung" und denken "jetzt ist das sicher!"
@Anthony Nun, die * Stealth * -Technologie wurde jetzt auf einer sehr grundlegenden Ebene in eine Reihe von Verteidigungsplattformen integriert. In den extremsten Fällen - wie dem inzwischen pensionierten F117-Stealth-Leichtbomber der USAF und dem B-2-Bomber - ist es im Grunde der einzige Grund, warum die Flugzeuge existieren / waren und waren / sind, ihre genauen Positionen vom feindlichen Radar "dunkel" zu halten Wirksam. Und sehr viele F & E-Plattformen in vielen Ländern bauen in sehr unterschiedlichem Maße "Signaturmanagement" -Technologien ein, um ein hilfreiches Maß an geringer Beobachtbarkeit zu erreichen. (Obwohl ich mich für die Überlebensfähigkeit nicht * nur * darauf verlasse.)
Ich habe auch an Stealth-Bomber gedacht, als ich das geschrieben habe. Aber das scheint fast eher eine Verschleierung als Taktik zu sein, nicht als Sicherheitsmaßnahme. Ich bin sicher, der Pilot fühlt sich sicherer, geht aber davon aus, dass er jederzeit sichtbar wird. Ich denke auch an die Steganographie, die als dunkle Schicht angesehen werden könnte. Aber irgendwie fühlen sich heimliche / hinterhältige Manöver wie eine separate oder engagierte Anstrengung, abgesehen von der Sicherheit.
Das Hauptproblem, von dem ich glaube, dass ich es habe, ist, dass Dunkelheit als Sicherheitsmaßnahme das unmittelbare Gefühl hat, "sicher" zu sein, als würde ich mich unter meiner Decke verstecken. Dies ist für Sicherheitsmanager oder IT-Mitarbeiter naiv anzunehmen, aber wir können dann über kritisch oder ergänzend usw. sprechen. Aber Politiker und andere Entscheidungsträger wie die Schulmitarbeiter der OP wollen und fordern oft Dunkelheit, weil es für sie gut aussieht und sich gut anfühlt.
Sie sind nicht interessiert oder besorgt über die geekigen Tiefen des Problems. Dies sind die gleichen Leute, die darauf bestehen, dass wir unser Passwort alle 90 Tage ändern MÜSSEN, aber ihr Passwort auf einem Post-It in einer Schreibtischschublade aufbewahren.
Ich denke, dass "erzwungen" eigentlich "verstärkt" werden sollte. Wie in "Sicherheit ** verstärkt ** mit Dunkelheit als Schicht über anderen Kontrollen kann absolut legitim sein". Die Dunkelheit ist kein Mechanismus, durch den Ihre Sicherheitsparameter realisiert (oder "erzwungen") werden. Es ist eine Ebene, die zusätzlich zu anderen Sicherheitsmechanismen hinzugefügt wird, um Ihr allgemeines Sicherheitsniveau zu erhöhen (oder zu "verstärken").
axl
2016-02-03 07:23:48 UTC
view on stackexchange narkive permalink

Obwohl Ihre Frage nicht wirklich beantwortet wird, kann dies als Argument für Ihre Schule dienen.

Ich würde jemanden, der Zugang zu einem autorisierten Schlüssel / einer autorisierten Identität erhält, als echtes Risiko betrachten. Die Leute sind schlampig, verwenden falsche Passwörter und schreiben ständig Geheimnisse auf. Ein Lehrer an meiner Schule hat vor langer Zeit einmal die Schlüssel für die gesamte Schule in einem Studentenbad hinterlassen.

Wenn ich in diesen Raum wollte, würde ich nicht einmal versuchen, eine Sicherheitslücke zu finden die Software; Ich würde den Schlüssel stehlen, versuchen, das physische Schloss oder eine andere externe Methode zu manipulieren.

Oder, wie ein Freund von mir sagte, als er vom Schulleiter gefragt wurde, wie er das Schulsystem hacken würde um Daten zu zerstören; "Ich würde einen Baseballschläger benutzen".

Tikiman163
2016-02-03 03:56:03 UTC
view on stackexchange narkive permalink

Ich habe eine lange Erklärung, die zu wandern scheint, also werde ich eine verkürzte Antwort geben und sie dann begründen. Kurze Antwort: Dies ist Sicherheit durch Dunkelheit, aber dies ist wahrscheinlich kein Problem, da viele Personen mit dem System in Kontakt kommen. Es lohnt sich also wahrscheinlich nicht, darüber zu streiten.

Sie haben Recht mit Ihrer Behauptung, dass es Sicherheit durch Dunkelheit (STO) ist, das Systemdesign geheim zu halten. Der Hauptgrund dafür, dass STO eine schlechte Idee ist, besteht darin, dass ein System, dessen Innenleben zunächst nicht bekannt ist, in allen Fällen durch sorgfältige Beobachtung und ordnungsgemäße Anwendung von Social Engineering rückentwickelt werden kann. Wenn Sie die einzige Person sind, die versteht, wie ein System funktioniert, sind Sie die einzige Person, die seine Integrität überprüfen kann. Wenn Ihr Design einen möglicherweise umgehbaren Fehler aufweist und jemand anderes Ihr Design rückentwickelt und entdeckt, kann er es daher leichter ausnutzen, als wenn Sie Ihre Designs nicht geheim gehalten hätten. Es ist auch wahrscheinlicher, dass sie ihre Entdeckung und illegale Verwendung geheim halten können.

Dies liegt daran, dass, wenn Sie Ihr Design öffentlich bekannt machen, mehr Personen es untersuchen. Je mehr Personen ein Design untersuchen, desto wahrscheinlicher ist es, dass jemand einen vorhandenen Fehler entdeckt und Ihnen davon erzählt. Ein Konstruktionsfehler liegt möglicherweise nicht einmal im allgemeinen Konzept, sondern in der spezifischen Implementierung, beispielsweise der Möglichkeit eines Pufferüberlaufs bei der Implementierung eines ansonsten sicheren Algorithmus. Das Hauptkonzept der Verwendung öffentlicher kryptografischer Grundelemente besteht darin, dass andere Personen auf Ihre kryptografischen Grundelementalgorithmen aufmerksam machen, indem sie diese möglicherweise überprüfen. Nachdem eine große Anzahl von Personen dies getan hat, können Sie ziemlich sicher sein, dass Ihr Design sicher ist. Die Schwierigkeit besteht darin, dass, weil Sie einen Entwurf für eine Schule erstellen, wahrscheinlich nur eine sehr kleine Anzahl von Personen Ihre Entwürfe anzeigen, von denen nur sehr wenige sie verstehen. Je weniger Personen Ihre Entwürfe anzeigen, desto wahrscheinlicher ist es, dass jeder, der einen Fehler entdeckt, den Fehler nicht meldet.

Es sei denn, Sie haben Zugriff auf eine große Community von Sicherheitsexperten, die bereit sind, Ihr Design zu überprüfen und zuzulassen haben ihren Weg kann in Bezug auf die tatsächliche Sicherheit in etwa gleich sein.

Ich denke, das - die Anzahl der Parteien - ist der kritische Punkt. Ein Angreifer muss (a) das Passwort oder (b) den ausnutzbaren Konstruktionsfehler kennen. Wenn es eine Million Acme-Tastaturen gibt, ist es einfacher, (b) zu finden, falls vorhanden, da der Angreifer einfach zehn Acme-Tastaturen kaufen und auseinander nehmen kann. In diesem Fall ist Acme Corp. sind besser dran, das Design zu veröffentlichen, damit sie nicht selbstgefällig werden und eine bessere Chance haben, sofort von Fehlern zu erfahren. Wenn es jedoch nur eine Acme-Tastatur gibt, ist es machbar und sinnvoll, die Designfehler so geheim wie das Passwort zu halten.
Diese Antwort ist insofern sehr fehlerhaft, als davon ausgegangen wird, dass durch die Veröffentlichung des Designs die Anzahl der Personen erhöht wird, die es * überprüfen * und die sowohl nicht feindlich als auch kompetent sind. Es macht das System sicherlich für viele Leute * zugänglicher *, um es zu überprüfen. Aber Sie können nicht wissen, wie viele Leute sich tatsächlich die Mühe machen, es zu überprüfen. Oder wie viele dieser Leute werden in ihrer Überprüfung sogar sachkundig, geschickt und gründlich genug sein, um Fehler zu finden. Oder was die Absichten der Leute sein werden, die Fehler finden.
Iszi, ich habe mich ganz konkret mit der Tatsache befasst, dass sein Design wahrscheinlich nicht überprüft wird, wenn er es veröffentlicht. Wenn Sie jemanden widerlegen wollen, tun Sie dies bitte nicht, indem Sie dessen Einschätzung zustimmen. Versuchen Sie zumindest, vor dem Kommentieren vollständig zu lesen, was Sie kommentieren. Sie hätten leicht feststellen können, dass Sie nicht auf einen Fehler hinweisen, indem Sie nur den ersten Absatz lesen, in dem ich festgestellt habe, dass STO in diesem Fall nicht schlecht ist.
@Tikiman163 Sie geben an, dass gegen Ende, aber der Anfang auch stark das Gegenteil impliziert, so dass die Antwort verbessert werden sollte. In seinem gegenwärtigen Zustand bin ich nicht davon überzeugt, dass es der Diskussion etwas hinzufügt.
gnasher729
2016-02-08 05:57:38 UTC
view on stackexchange narkive permalink

Ein naheliegendes Ziel wäre, dass das Türauthentifizierungssystem von den Schülern nicht gehackt werden kann.

Wenn wir davon ausgehen, dass das Authentifizierungssystem leicht, aber nicht sehr schwer zu hacken ist und dass es Schüler mit einigen, aber keinen fortgeschrittenen Hacking-Fähigkeiten gibt, ist es durchaus möglich, dass die zusätzliche Schwierigkeit durch das Erstellen der Details entsteht des nicht verfügbaren Systems reicht gerade aus, um es außerhalb der Reichweite dieser Gruppe (der Schüler) zu platzieren.

Wenn das System jedoch so sicher ist, dass es sehr viel schwieriger ist, es zu knacken, als die Funktionsweise des Systems zu finden oder zurückzuentwickeln, ist es nicht mehr sehr nützlich, die Details geheim zu halten.

Serge Ballesta
2016-02-09 18:52:42 UTC
view on stackexchange narkive permalink

Wenn ich für die Tür verantwortlich wäre, hätte ich die gleichen Anforderungen an die Vertraulichkeit. Wenn die Welt (und Ihr Job) perfekt wäre, wäre Dunkelheit in der Tat nutzlos.

Aber denken Sie nur daran, was in einer realen Welt tatsächlich passiert. Ich gehe davon aus, dass Sie Ihre Arbeit mit modernsten Algorithmen so gut wie möglich gemacht haben. Aber der Teufel verbirgt sich in Details, und ein Implementierungsdetail kann die Sicherheit schwächen. Es ist der SSL-Bibliothek vor nicht allzu langer Zeit passiert, auch wenn die Algen tatsächlich sicher waren.

Wenn Sie die Details Ihres Sicherheitssystems offenlegen möchten, überprüfen Peers Ihre Implementierung und warnen Sie vor möglichen Fehlern bevor sie von Angreifern entdeckt und benutzt werden. Wenn Sie Experten für Sicherheitssysteme kennen und diese Ihre Arbeit überprüfen lassen, wird dies meiner Meinung nach auch in Ihrer Schule als gute Praxis angesehen - meiner Meinung nach sollte es zumindest sein. Aber wenn Sie es nur veröffentlichen, werden Ihre ersten Leser eher diejenigen sein, gegen die die Türsicherheit gebaut wurde! Und Sie möchten sicher nicht, dass sie als erste Ihre Arbeit auf mögliche Fehler überprüfen.

TL / DR: Wenn Sie ein allgemeines Sicherheitssystem erstellen, kann dies ein großes Publikum haben und Sie verwenden es nicht Sofort in der Produktion sollten Sie es so weit wie möglich veröffentlichen, um gute Kritiken zu erhalten. Wenn Sie jedoch eine dedizierte Implementierung erstellen, die sofort für echte Sicherheit verwendet wird, geben Sie Details nur an vertrauenswürdige Experten weiter, um zu vermeiden, dass Angreifer mögliche Fehler finden.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...