光靠數(shù)據(jù)加密就可以高枕無(wú)憂(yōu)了？

追溯至網(wǎng)絡(luò)通信安全起始之初，數(shù)據(jù)安全人員就不得不面對(duì)證書(shū)使用這一挑戰(zhàn)。網(wǎng)頁(yè)證書(shū)是傳輸層安全通信的基礎(chǔ)，增加了網(wǎng)絡(luò)站點(diǎn)連接的安全性，通常顯示為“https”中的“s”。作為用戶(hù)、服務(wù)器、機(jī)器、物聯(lián)網(wǎng)設(shè)備和訪(fǎng)問(wèn)點(diǎn)的驗(yàn)證核心部分，是用戶(hù)在各個(gè)場(chǎng)合下安全防護(hù)的第一步。

現(xiàn)在，當(dāng)談及加密風(fēng)險(xiǎn)，人們似乎也越來(lái)越難以繞過(guò)證書(shū)、加密秘鑰和保護(hù)數(shù)據(jù)的算法等話(huà)題。

什么是加密風(fēng)險(xiǎn)？

加密風(fēng)險(xiǎn)是一種度量標(biāo)準(zhǔn)，用于表示加密手段下用戶(hù)數(shù)據(jù)的安全程度。在上下文中，專(zhuān)家使用“數(shù)據(jù)風(fēng)險(xiǎn)”來(lái)代表未受保護(hù)的敏感數(shù)據(jù)，使用“平臺(tái)風(fēng)險(xiǎn)”或者“基礎(chǔ)架構(gòu)風(fēng)險(xiǎn)”來(lái)表示計(jì)算機(jī)系統(tǒng)中尚未修復(fù)的漏洞所處的實(shí)際位置或者是系統(tǒng)內(nèi)部的安全性。

為了評(píng)定這些風(fēng)險(xiǎn)標(biāo)準(zhǔn)，企業(yè)采取了一系列工具進(jìn)行檢測(cè)，從未被保護(hù)的用戶(hù)敏感數(shù)據(jù)，比如社會(huì)保險(xiǎn)號(hào)、信用卡等信息，再到運(yùn)營(yíng)體系和應(yīng)用的未被修補(bǔ)的漏洞。然而，很多企業(yè)組織卻沒(méi)有一套有效的風(fēng)險(xiǎn)測(cè)量工具，檢測(cè)加密保護(hù)手段下的數(shù)據(jù)安全程度。換句話(huà)說(shuō)，當(dāng)前衡量加密風(fēng)險(xiǎn)標(biāo)準(zhǔn)還沒(méi)有一種合適的方法。

創(chuàng)建加密風(fēng)險(xiǎn)標(biāo)準(zhǔn)有助于進(jìn)一步推進(jìn)數(shù)據(jù)安全的發(fā)展。該標(biāo)準(zhǔn)應(yīng)考慮到所有導(dǎo)致加密數(shù)據(jù)不安全的因素，這或許涉及以下一些問(wèn)題的回答：

使用哪種算法可以保證密碼的完整性？（比如MD-5，SHA-1，SHA-236，SHA-3等）

保護(hù)用戶(hù)數(shù)據(jù)和企業(yè)業(yè)務(wù)相一致的的加密秘鑰長(zhǎng)度有哪些？（例如AES-128，AES-256等）

使用哪種算法使得加密具有完整性（例如，MD-5，SHA-1，SHA-236，SHA-3等）？

您的證書(shū)什么時(shí)候到期（例如12月31日午夜）？

誰(shuí)簽發(fā)了您的證書(shū)、如何對(duì)其進(jìn)行驗(yàn)證以及可以（或已經(jīng)）將其吊銷(xiāo)？

企業(yè)當(dāng)前的系統(tǒng)和應(yīng)用程序上安裝了哪些加密庫(kù)或軟件？它們足以保護(hù)數(shù)據(jù)嗎？

就像惡意軟件和事件管理一樣，這類(lèi)問(wèn)題不勝枚舉。然而，知道這個(gè)問(wèn)題答案的企業(yè)則懂得如何長(zhǎng)期使用和管理他們的加密資產(chǎn)，能夠持續(xù)地評(píng)估真正保護(hù)企業(yè)數(shù)據(jù)的有效資產(chǎn)有哪些。

“量子計(jì)算機(jī)來(lái)了！”

或許在加密風(fēng)險(xiǎn)評(píng)估方面，量子的發(fā)展已然落后了，但是故事并沒(méi)有就此戛然而止。在剛觸及算力的門(mén)檻，安全團(tuán)隊(duì)就面臨了加密方面的巨大挑戰(zhàn)。量子時(shí)代，再進(jìn)一步來(lái)說(shuō)是計(jì)算時(shí)代，有望解決傳統(tǒng)二進(jìn)制計(jì)算機(jī)目前無(wú)法解決的實(shí)際問(wèn)題。

量子計(jì)算機(jī)備受期待的一個(gè)原因在于，他們可以有效實(shí)現(xiàn) Shor算法和Grover算法。

Shor算法即舒爾算法，于1994年被發(fā)現(xiàn)，是一種針對(duì)整數(shù)分解的量子算法。Grover算法是Grover于1996年提出的量子搜索算法，這是一種對(duì)空間進(jìn)行完全搜索的優(yōu)化算法。

這兩種算法在追蹤加密秘鑰方面比傳統(tǒng)計(jì)算方法省時(shí)得多。當(dāng)量子計(jì)算機(jī)能夠?qū)崿F(xiàn)這兩種算法時(shí)，并且以合理價(jià)格在消費(fèi)者之間推廣開(kāi)來(lái)，這時(shí)我們將看到攻擊者會(huì)削弱現(xiàn)有對(duì)稱(chēng)算法（如AES）的加密強(qiáng)度并能夠有效消除現(xiàn)有非對(duì)稱(chēng)算法（如今常用的如RSA或者ECC）。

目前，我們尚未發(fā)展到那個(gè)程度，事實(shí)上，連一臺(tái)量子計(jì)算機(jī)也沒(méi)有，更別說(shuō)消除RSA秘鑰強(qiáng)度了。盡管有些專(zhuān)家認(rèn)為再過(guò)20年就能實(shí)現(xiàn)，但是也只是預(yù)測(cè)。美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院（NIST）已著手引入新的抗量子加密算法。這些后量子密碼術(shù)（PQC）算法有望抵抗量子計(jì)算機(jī)的強(qiáng)大功能。

目前，IBM和NIST開(kāi)展CRYSTALS項(xiàng)目合作，正在評(píng)估兩種算法，希望能在未來(lái)幾年內(nèi)能夠使用新算法并且標(biāo)準(zhǔn)化。使用能承受下一代計(jì)算機(jī)強(qiáng)大功能的加密算法，有助于為專(zhuān)業(yè)人員保護(hù)關(guān)鍵數(shù)據(jù)甚至是存檔數(shù)據(jù)提供新的方法。

當(dāng)今的加密風(fēng)險(xiǎn)

即使沒(méi)有量子計(jì)算機(jī)問(wèn)世帶來(lái)的風(fēng)險(xiǎn)，其他加密風(fēng)險(xiǎn)也迫在眉睫，比如包含一些簡(jiǎn)單卻長(zhǎng)期存在的問(wèn)題，比如使用過(guò)時(shí)的加密算法、簡(jiǎn)短的密鑰和來(lái)源不明或者即將過(guò)期的證書(shū)等。如果這些問(wèn)題檢測(cè)不到或者不加管理，那么對(duì)于數(shù)據(jù)保護(hù)和企業(yè)的業(yè)務(wù)持久性來(lái)說(shuō)就是一個(gè)緊迫的、現(xiàn)存的威脅。

微軟和Let’s Encrypt近期強(qiáng)調(diào)了證書(shū)管理不當(dāng)會(huì)對(duì)企業(yè)業(yè)務(wù)連續(xù)性產(chǎn)生不利影響。因此，隨著業(yè)務(wù)深入，問(wèn)題會(huì)越來(lái)越復(fù)雜，采取合適的方法來(lái)處理這個(gè)問(wèn)題十分重要。比如，蘋(píng)果的做法是主動(dòng)屏蔽任何超過(guò)一年的信任證書(shū)。否則黑客可以充分利用企業(yè)不系統(tǒng)的證書(shū)管理，偽造證書(shū)安全警示感染企業(yè)計(jì)算機(jī)。

因此，加密資產(chǎn)（比如證書(shū)、密鑰、算法和庫(kù)）的管理不當(dāng)或者是沒(méi)有管理是一個(gè)很?chē)?yán)重的問(wèn)題，這不僅會(huì)影響業(yè)務(wù)的連續(xù)性，還會(huì)給黑客機(jī)會(huì)找到企業(yè)數(shù)據(jù)安全的漏洞。加密風(fēng)險(xiǎn)是一個(gè)很普遍的問(wèn)題，需要人們加以重視，予以解決。

加強(qiáng)數(shù)據(jù)安全鏈

數(shù)據(jù)安全這扇大門(mén)，我們上鎖了、加鏈條了，但是現(xiàn)在，鎖舊了、鏈條銹了，保護(hù)強(qiáng)度也很薄弱。如果企業(yè)數(shù)據(jù)面臨風(fēng)險(xiǎn)，那么數(shù)據(jù)安全團(tuán)隊(duì)有責(zé)任測(cè)試每個(gè)環(huán)節(jié)的保護(hù)強(qiáng)度并采取措施進(jìn)行整個(gè)鏈條的強(qiáng)化。

提及加密，我們有很多個(gè)部分需要加強(qiáng)，比如算法、變化的密鑰大小、證書(shū)、非對(duì)稱(chēng)密鑰對(duì)、對(duì)稱(chēng)密鑰、輪替密鑰、密鑰分發(fā)等。為了處理加密風(fēng)險(xiǎn)，需要一種以簡(jiǎn)化的組合視圖顯示與加密相關(guān)的風(fēng)險(xiǎn)整體趨勢(shì)的方法。如果沒(méi)有一種方法來(lái)衡量這種加密風(fēng)險(xiǎn)，安全團(tuán)隊(duì)將無(wú)法對(duì)其進(jìn)行管理。