Cifrado / protección de datos: dónde encontrar información sobre las mejores prácticas de alto nivel [cerrado]

8

Siento que nadie en el grupo en el que trabajo, incluido yo mismo, realmente cree que el cifrado y la seguridad, o las razones detrás de tomar ciertas decisiones. Por ejemplo, recientemente tuvimos una conversación sobre el cifrado de datos que manejamos para otro grupo con el que trabajamos: los datos terminan en una base de datos que está en nuestra red corporativa segura (trabajo en un grupo pequeño en una gran empresa de software, así que la integridad de la red corporativa es muy alta), junto con todo lo demás que manejamos. Por supuesto, las pautas estándar exigen el "cifrado" de estos datos.

Obviamente, eso podría significar muchas cosas: conexiones IPSec / cifradas, archivos compartidos cifrados, cifrado implementado en el DB (DB completo o columna), cifrado de los bits reales en el archivo, etc., y algunas personas en el grupo están bajo impresión de que el único tipo de encriptación que realmente cuenta es encriptar directamente los bits que están almacenados, el argumento es que todo lo demás es demasiado fácil de eludir: "si la base de datos está encriptada, aún podría iniciar sesión y ver los datos allí; si el recurso compartido de archivos está encriptado, siempre que tenga permisos para la carpeta, puedo tomar el archivo, pero si los bits están encriptados directamente, no podré leerlo ". Mi instinto dice que esa declaración se basa en una comprensión limitada: pueden verse a sí mismos iniciando sesión en SQL Server Management Studio para ver los datos, pero dado que no sabrían cómo tomar una secuencia o una matriz de datos cifrados y usar un certificado al que probablemente tengan acceso para descifrarlo, probablemente sea seguro. ¿Tienen razón? Estoy en lo cierto? Nadie parece saberlo realmente, por lo que las decisiones se basan en la opinión de la persona más ruidosa o mejor pagada.

De todos modos, es solo un ejemplo extenso de lo que estoy hablando. Siento que es el ciego guiando al ciego aquí, con decisiones basadas en una comprensión limitada, y es frustrante. No soy experto en los aspectos técnicos del cifrado, pero sé cómo usar las bibliotecas estándar para cifrar secuencias y matrices y similares, donde realmente necesito más conocimiento es sobre la arquitectura de la seguridad de los datos y la información en la que puedo basar decisiones como la encima. ¿Dónde puedo leer sobre este tipo de cosas?

security  encryption 
nlawalker
fuente
1
"Por supuesto, las pautas estándar exigen el" cifrado "de estos datos". La mayor parte de su pregunta parece reducirse a "no sabemos qué significan las pautas estándar". ¿De dónde vienen estas "pautas estándar"? ¿Quién te los envió? ¿Quién es responsable de ellos? ¿Quién verifica el cumplimiento?
S.Lott
Usted es, por supuesto, correcto, y parte de lo que tengo que hacer es descubrir estas cosas. Gracias.
nlawalker
"es encontrar estas cosas"? Debería poder responder a la pregunta "¿De dónde vienen estas" pautas estándar "?" sin encontrar nada Es un requisito documentado, ¿correcto? Si no, todo es solo un rumor y, por supuesto, estás confundido.
S.Lott
1
¡+1 para "el ciego guiando al ciego", al menos fuiste lo suficientemente sabio como para reconocer tus defectos y buscar ayuda! Ciertamente espero que podamos reunir algunas cosas interesantes aquí.
Matthieu M.

Respuestas:

4

La Ingeniería de Criptografía de Ferguson & Schneier le dirá cómo usar la criptografía correctamente. Por el sonido de su pregunta, es el libro para usted.

Específicamente, mientras que muchos libros le enseñarán sobre los algoritmos utilizados en criptografía - AES, SHA-1, etc. - Cryptography Engineering no lo hace. En cambio, aborda el uso de criptografía a través de un enfoque de libro de cocina. Cuando asegura un mensaje, ¿lo firma y luego encripta el mensaje? ¿O encriptas y luego firmas? ¿Cómo se conectan las primitivas criptográficas para construir un sistema seguro? (¿Y qué significa "seguro" realmente?)

En resumen, si desea usar criptografía, en lugar de aprender algoritmos criptográficos, este libro es para usted.

Frank Shearar
fuente
3

El primer paso para usar la criptografía de manera efectiva es descubrir de qué amenaza estás tratando de defenderte. Por el sonido de las cosas, no tienes ningún acuerdo real al respecto.

Hay al menos dos puntos básicos que debe considerar: primero, ¿quién puede tener acceso a los datos y quién no? Tiene al menos algunas personas que necesitan acceso a los datos y, por lo general, al menos algunas más (administradores del sistema) en las que está dispuesto a confiar.

Segundo, ¿contra qué "tipos malos" y contra qué tipo de ataques estás tratando de protegerte? ¿Estás tratando de calmar la curiosidad de las personas y evitar que encuentren cosas por accidente, o estás protegiéndote de un atacante serio que conoce la criptografía y está dispuesto a dedicar mucho tiempo y esfuerzo para obtener tus datos? ¿Le preocupa que un extraño vea los datos ya que (por ejemplo) se transmiten a través de Internet, o tiene que preocuparse por la posibilidad de que una computadora sea robada físicamente, para que un atacante pueda estudiar todo en la computadora en detalle para un ¿Periodo de tiempo extendido?

Jerry Coffin
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.