Schutz eines Systems, das in einer „feindlichen“ Umgebung eingesetzt wird

StackOverflow https://stackoverflow.com/questions/4868170

Frage

In meinem Unternehmen entwickeln wir ein großes System, das aus mehreren Servern besteht. Das System besteht aus etwa 5 logischen Komponenten. Die Daten werden in XMLs, MS SQL und SQLite gespeichert. Es ist ein .NET -System (meistens), die Komponenten kommunizieren mit WCF und einige benutzerdefinierte UDP. Clients greifen hauptsächlich über das benutzerdefinierte UDP oder Web (ASP.Net & Silverlight) auf das System zu.

Der Schutz der Kommunikation ist einfach, einige SSL und einige Sicherheit auf der WCF, und wir sind fertig.

Das Hauptproblem, mit dem wir konfrontiert sind, ist, dass das System auf der Website eines Kunden bereitgestellt werden muss, einem Kunden, dem wir nicht unbedingt vertrauen. Wir müssen die Daten auf den Servern und die Software selbst vor Reverse Engineering verteidigen. Beide sind uns entscheidend wichtig.

Außerdem brauchen wir einen Kill -Switch, ich möchte etwas, das die Daten und die Software nach dem Befehl zerstört oder wenn er nicht für einen bestimmten Zeitraum nach Hause anrufen kann.

Die Richtung, an die ich dachte Sicher auf unserer Website und vielleicht Speichervorhänge von der TPM.

Wie schlagen Sie vor, ein solches Problem zu lösen?

AKTUALISIEREN 04/02 Ich suche nach praktischen Vorschlägen oder rat zu Produkten, die mir helfen könnten, also beginne ich ein Kopfgeld ...

Schauen Sie, Jungs, wir setzen unsere Maschine im Grunde auf die Website des Kunden (aus geschäftlichen und praktischen Gründen), wir besitzen diese Maschine und der Kunde erhält alles, was er innerhalb weniger Stunden bezahlt, und er kann mit den Daten anfangen, was er will. Aber ich die Algorithmen, die auf dieser Maschine laufen, und einige der dort gespeicherten Daten sind unsere Geschäftsgeheimnisse, die wir schützen wollen. Idealerweise möchte ich, dass die Maschine überhaupt nicht einmal boot, wenn ich nicht sage, dass es in Ordnung ist, und ohne mein OK für alles auf der Maschine, um verschlüsselt zu bleiben. Speichervorhänge sieht auch nach einer schönen Möglichkeit aus, die Maschine während der Ausführung zu schützen.

Auch im Idealfall möchte ich, dass die HDs und der Speicher auf allen Maschinen explodieren, sobald jemand mit einem Schraubendreher in die Nähe kommt ... :-) Aber ich denke, das würde es zu weit bringen ...

AKTUALISIEREN 10/02 OK Nach einigen Nachforschungen werden wir etwas in die gleiche Richtung wie das PS3 -Verschlüsselungssystem ausprobieren, außer dass wir die Schlüssel zum Entschlüsseln der Software und der Daten unserer Server einbringen. Wenn wir dies tun, können wir uns für unsere Maschinen entscheiden, ob wir dem Server vertrauen, der die Schlüssel anfordert. Wir können einen Kill -Switch nur durch Wiederholen der Maschine erhalten. Dies basiert wahrscheinlich auf TPM oder ähnlichem, vielleicht auf Intels TXT ... Ich interessiere mich auch sehr für Speichervorhänge als wichtige Sicherheitsfunktion ...

Übrigens können wir dies nicht lösen, indem wir die wertvollen Teile unseres Systems auf unsere Website verschieben, sowohl aufgrund der geschäftlichen Anforderungen als auch weil es technologisch nicht machbar ist - wir würden eine riesige Bandbreite benötigen.

War es hilfreich?

Lösung

Was Sie tatsächlich verlangen, ist der Heilige Gral. Dies entspricht ungefähr dem, was für Spielekonsolen getan wird, wo Sie eine vertrauenswürdige Plattform in einer nicht vertrauenswürdigen Umgebung haben.

Überlegen Sie, ob Sie die Maschine ab Tag 1 als beeinträchtigt behandeln können oder nicht, wenn Sie unter dieser Annahme arbeiten können, dann werden die Dinge für Sie erheblich einfacher, aber das klingt hier nicht besonders lebensfähig.

Um es tatsächlich zu sichern, gibt es einige Bedenken:

  • Sie müssen das Dateisystem verschlüsseln und die Hardware -Entschlüsselung verwenden
  • Sie müssen Ihre Anwendungen voneinander isolieren, damit Sicherheitsprobleme in einem nicht andere gefährden
  • Sie müssen sich für Sicherheitsprobleme vorstellen, was bedeutet, dass Minderungsstrategien wie einen sicheren Hypervisor eingerichtet werden

Ich weiß .

Es wurde nie vollständig erfolgreich gemacht, aber Sie können die Hindernisse für den Eintritt erheblich erhöhen.

Andere Tipps

... Um ehrlich zu sein, klingt es so, als würden Sie fragen, wie Sie ein Virus in Ihre Anwendung schreiben, was mich denkt, Ihr Kunde habe wahrscheinlich mehr Grund, Ihnen nicht zu vertrauen als umgekehrt.

Davon abgesehen ist dies eine schreckliche Idee aus mehreren Gründen:

  1. Was passiert, wenn ihre Internetverbindung stirbt oder Büros bewegen und die Maschine ein wenig trennen?
  2. Was ist, wenn Sie es falsch codieren und es fehlzeigt? Daten löschen, auch wenn der Kunde sie korrekt verwendet?
  3. Ich kann nur davon ausgehen, dass Ihre Anfrage impliziert, dass Ihre Bewerbung keine Sicherungsfunktionen bietet. Hab ich recht? Klingt genau wie ein Produkt, das ich nicht kaufen würde.
  4. Wie wertvoll ist die Daten, die Ihre Anwendung verwaltet? Wenn es gelöscht wird, welche Art von finanziellen Verlusten würde dies für den Kunden führen? Hat sich Ihre Rechtsabteilung dazu unterschrieben und verifiziert, dass Sie nicht haftbar gemacht werden können?

Diese Frage wird 2-3 Mal pro Woche gestellt, und die Antwort ist immer dieselbe - was auch immer Sie dem Benutzer gegeben haben, ist nicht mehr Ihnen.

Sie können es dem Benutzer erschweren, zu den Daten zu gelangen, aber Sie können ihn nicht daran hindern, vollständig dorthin zu gelangen. Sie können die Daten verschlüsseln, Sie können den Entschlüsselungsschlüssel für USB Cryptotoken (die den geheimen Schlüssel nicht freilegen). Wenn der Code theoretisch Cryptotoken nennen kann Ihr Code (theoretisch) und lassen Sie diesen Code Cryptotoken aufrufen, um alle Daten zu entschlüsseln.

Praktisch kann die Aufgabe kompliziert genug gemacht werden, um die Daten zu erhalten. An diesem Punkt sollten Sie überprüfen, wie wichtig die entschlüsselten Daten für den Benutzer wirklich sind.

Über Kill Switch: Das funktioniert nicht. Niemals. Der Benutzer kann eine Kopie erstellen und bei Bedarf aus der Sicherung wiederherstellen. Er kann die Computeruhr wechseln. Er kann wahrscheinlich sogar die Uhr des Computers verlangsamen (wenn die Daten so wertvoll sind, dass die Investition in eine benutzerdefinierte Hardware machbar ist).

Über kritische Daten: Manchmal stellt sich heraus, dass Ihr wertvolles Kapital für jeden anderen von geringem Wert ist [und ein anderer Aspekt Ihrer Lösung]. Beispiel: Wir versenden den Quellcode unserer Fahrerprodukte. Es ist das wertvollste Gut für uns, aber die Benutzer zahlen nicht für Codezeilen, sondern für Support, Updates und andere Vorteile. Der Benutzer kann den [gestohlenen] Quellcode nicht effektiv verwenden, ohne die Summe zu investieren, vergleichbar mit den Kosten unserer Lizenz.

Über Verschleierung: Virtualisierung von Codestücken (z. B. VMProtect -Produkt) scheint sehr effektiv zu sein, kann jedoch auch mit bestimmten Anstrengungen umgangen werden.

Im Allgemeinen kann ich mir eine kundenspezifische Hardware mit maßgeschneidertem Betriebssystem vorstellen, die wie ein Geldautomaten versiegelt ist (damit der Kunde nicht ohne Brechen des Siegels einsteigen kann), mit regelmäßigen Inspektionen usw. Dies kann funktionieren. Die Aufgabe ist also nicht nur technisch, sondern hauptsächlich organisatorisch - Sie müssen regelmäßige Inspektionen der Maschine usw. arrangieren usw.

Zusammenfassen: Wenn die Daten sind das Wertvoll, behalten Sie es auf Ihren Servern und bieten Sie nur eine Internetverbindung an. Andernfalls können Sie nur die Risiken minimieren, nicht vollständig vermeiden.

Wie alle anderen sagten, gibt es keine magische Kugel. Der Benutzer könnte die Maschine ausschalten, die HD als Sklave zu einer anderen Maschine abrufen, alles sichern, Ihren Code umkehren und ihn dann erfolgreich knacken. Sobald der Benutzer einen physischen Zugriff auf die ausführbare Datei hat, ist er möglicherweise beeinträchtigt und es gibt nichts zu tun, um sie in 100% der Fälle zu stoppen.

Das Beste, was Sie tun können, ist, die Arbeit eines potenziellen Crackers verdammt schwer zu machen, aber egal was Sie tun, es wäre nicht unzerbrechlich.

Die Verwendung einer Selbstzerstörung im Falle eines Falsches kann durch einen Cracker herumgearbeitet werden, der alles unterstützte.

Die Verwendung eines Schlüssels in einem USB -Treiber hilft, das Leben des Crackers schwieriger zu machen, kann aber letztendlich von einem kompetenten entschlossenen Cracker besiegt werden: der Code, den uneinbietende Dinge nicht in einem verschlüsselten Zustand sein können (einschließlich des Teils, der den Schlüssel erhält), also Es ist der große Schwachpunkt. Wenn Sie diesen Teil des Codes hacken, um den Schlüssel zu speichern, woanders sonst, wird der Schlüssel besiegt.

Wenn die Software die Authentifizierung auf einem Remote -Server durchführt, kann dies bearbeitet werden, indem der Client angegriffen und die Authentifizierung zirkunventiert. Wenn es einen Schlüssel vom Server hat, kann das Schnüffeln des Netzwerks verwendet werden, um die Serverdaten abzufangen, die den Schlüssel enthalten. Wenn die Serverdaten verschlüsselt sind, kann der Cracker sie entkernt, indem die Software analysiert wird, die ihn entschlüsselt und die unverschlüsselten Daten fischt.

Insbesondere ist alles zu einem Cracker viel einfacher, wenn er einen Emulator verwendet, um Ihre Software auszuführen, die in der Lage ist, Schnappschüsse des Speichers zu speichern (einschließlich einer nicht verkropften Version des Algorithmus). Immer noch einfacher, wenn er den Speicher direkt manipulieren und anpassen kann, während er Ihre Software ausführt.

Wenn Sie nicht erwarten, dass Ihr nicht vertrauenswürdiger Kunde sehr entschlossen ist, können Sie die Dinge einfach komplizieren und hoffen, dass er niemals die Energie und die Fähigkeit bekommt, um sie zu brechen.

Die bessere Lösung besteht meiner Meinung nach darin, die gesamte Software in Ihren vertrauenswürdigen Server zu bringen und seinen Server einfach aufzufordern, den Job zu erledigen und Ihre Algorithmen auf Ihrem Server zu halten. Dies ist viel sicherer und einfacher als alles andere, da es das grundlegende Problem beseitigt: Der Benutzer hat nicht mehr einen physischen Zugriff auf den Algorithmus. Sie sollten wirklich, wirklich über eine Möglichkeit nachdenken, dies zu tun, indem Sie Ihre Bedürfnisse beseitigen, um den Code im Kunden zu halten. Auch dies ist jedoch nicht unzerbrechlich, ein Hacker kann abgeben, was der Algorithmus tut, indem er analysiert, was die Ausgabe in Funktion des Eingangs ist. In den meisten Szenarien (es sieht nicht so aus, als wäre dies Ihr Fall) ist der Algorithmus im System nicht der wichtigste, sondern die Daten.

Wenn Sie also nicht vermeiden können, den Algorithmus in der nicht vertrauenswürdigen Party auszuführen, können Sie nicht viel mehr tun als das, was Sie bereits gesagt haben: Verschlüsseln Sie alles (Vorlieben in Hardware), authentifizieren und überprüfen Sie alles, zerstören Sie wichtige Daten vor jemandem Denken Sie darüber nach, es zu sichern, wenn Sie vermuten, dass etwas nicht stimmt, und es verdammt noch mal schwer zu machen, dass jemand es knackt.

Aber wenn Sie wirklich ein paar Ideen wollen und das wirklich tun wollen, gehen wir hier:

Ich könnte Ihnen vorschlagen, Ihr Programm mutant zu machen. IE: Wenn Sie Ihren Code entschlüsseln, verschlüsseln Sie ihn mit einem anderen Schlüssel und werfen Sie den alten Schlüssel weg. Holen Sie sich einen neuen Schlüssel vom Server und behaupten Sie, dass der Schlüssel selbst so codiert ist, dass es sehr schwierig wäre, den Server mit etwas zu verspotten, das kompromittierte neue Schlüssel verleiht. Machen Sie eine Garantie dafür, dass der Schlüssel einzigartig ist und niemals wiederverwendet wird. Auch dies ist nicht unzerbrechlich (und das erste, was ein Cracker tun würde, ist genau diese Funktion anzugreifen).

Noch eine Sache: Stellen Sie viele nicht offensichtliche rote Heringe aus, die nicht einfühlsame seltsame Konsistenzprüfungen durchführen, die viele nicht funktionsfähige Scheinversionen Ihres Algorithmus und viel komplexes Überschaden hinzufügen, die effektiv nichts bewirken und behauptet, dass es ausgeführt wird, dass es ausgeführt wird Wie erwartet von Real Code. Machen Sie den wirklichen Code einige Dinge, die seltsam und nicht sinnvoll aussehen. Dies macht das Debuggen und umgekehrt noch schwieriger, weil der Cracker viel Anstrengungen benötigt, um das zu trennen, was nützlich von dem Müll ist.

Bearbeiten: Und machen Sie offensichtlich einen Teil des Junk -Code, der besser aussieht als der richtige, sodass ein Cracker dort zuerst schauen würde und effektiv Zeit und Geduld verliert. Unnötig zu erwähnen, dass alles verschleiert, und selbst wenn der Cracker den schlichten unverschlüsselten Laufcode bekommt, sieht er trotzdem verwirrend und sehr seltsam aus.

Ich weiß, dass andere wahrscheinlich Löcher in dieser Lösung stecken werden - und können Sie dies gerne tun, da ich so etwas berufstätige Lebensunterhalt mache und die Herausforderung begrüßen würde! - Aber warum nicht das tun:

  1. Da Sie Windows eindeutig verwenden, aktivieren Sie den Bit-Locker-Laufwerksschutz auf der Festplatte mit den maximalen Sicherheitseinstellungen. Dies wird dazu beitragen, die Menschen zu mildern, die den Antrieb als mein Verständnis klonen - wenn ich falsch liege, sagen Sie es! - Ist sein Inhalt basierend auf diesen System -Hardwareeinstellungen verschlüsselt.

  2. Aktivieren Sie TPM auf der Hardware und konfigurieren Sie sie korrekt für Ihre Software. Dies wird dazu beitragen, das Hardware zu stoppen.

  3. Deaktivieren Sie alle von Ihnen verwendeten Konten und sperren Sie die Systemkonten und Gruppen, um nur das zu verwenden, was Sie benötigen. Bonuspunkte zum Einrichten von Active Directory und einem gesicherten VPN, damit Sie über eine Hintertür aus der Ferne auf das Netzwerk zugreifen können, um das System zu überprüfen, ohne einen offiziellen Besuch vor Ort zu machen.

  4. Um die technische Leiste zu erhöhen, die erforderlich ist, um in diese Einstufung zu kommen, schreiben Etwas in der Baugruppe, auch wenn es mit den richtigen Werkzeugen immer noch sehr machbar ist. Stellen Sie sicher, dass Sie alle CPU -Anweisungen für die Hardware aktivieren, die Sie verwenden, um die Angelegenheit weiter zu komplizieren.

  5. Lassen Sie Ihre Software das Hardwareprofil (eindeutige Hardware -ID) des bereitgestellten Systems voneinander validieren. Wenn dies fehlschlägt (wie in der Hardware), haben Sie es Selbstzerstörung.

  6. Sobald die Hardware validiert wurde, laden Sie Ihre Software von einem verschlüsselten binären Bild, das in eine verschlüsselte RAM-Festplatte geladen wurde, die dann selbst in (nicht pinned!) Speicher dekryptiert ist. Pinieren Sie es nicht oder verwenden Sie eine konstante Speicheradresse, da dies eine schlechte Idee ist.

  7. Seien Sie sehr vorsichtig, dass nach Abschluss der Entschlüsselung die Schlüssel aus RAM entfernt werden, da einige Compiler einen nicht sicheren Bzero/memset0-Anruf optimieren und Ihren Schlüssel im Speicher lassen.

  8. Denken Sie daran, dass Sicherheitsschlüssel im Speicher durch ihre Zufälligkeit in Bezug auf andere Speicherblöcke erkannt werden können. Um dies zu mildern, stellen Sie sicher, dass Sie mehrere "Dummy" -Tasten verwenden, die bei Verwendung einen Intrusionserkennung auslösen und das Szenario explodieren. Da Sie nicht von den Schlüsseln verwendet werden sollten, können Sie dieselben Dummy -Tasten mehrmals auslösen. Bonuspunkte Wenn Sie alle Dummy -Tasten zufällig generiert haben, und die tatsächliche Taste jedes Mal aufgrund der folgenden Nr. 12 unterscheiden, so dass sie nicht einfach nach dem Schlüssel suchen können, der sich nicht ändert, weil sie alle dies tun.

  9. Verwenden Sie den polymorphen Assemblercode. Denken Sie daran, dass Assembly wirklich nur Zahlen sind, die sich auf der Grundlage der Anweisungen und des Status des Stapel/dem, was zuvor genannt wurde, selbst ändern können. Zum Beispiel kann in einem einfachen i386 -System 0x0f97 (Set Byte, wenn oben festgelegt) leicht die genaue Gegenteil (Byte festlegen, wenn unten festlegen), indem Sie einfach abziehen. 5. Verwenden Sie Ihre Schlüssel, um den Stapel zu initialisieren und den L1/L2 -Cache der CPU zu nutzen, wenn Sie wirklich wirklich Willst du harter Kern.

  10. Stellen Sie sicher, dass Ihr System das aktuelle Datum/die aktuelle Uhrzeit versteht und die aktuelle Datum/Uhrzeit in den akzeptablen Bereichen überprüft. Beginnend am Tag vor der Bereitstellung und eine Grenze von 4 Jahren wäre mit der Bell -Kurve des Hardwarefehlers für Festplatten unter Garantie/Unterstützung kompatibel, damit Sie einen solchen Schutz nutzen und Ihnen eine gute Zeit zwischen Hardware -Updates ermöglichen. Lassen Sie es beim Versagen dieser Validierung dazu bringen, sich selbst zu töten.

  11. Sie können dabei helfen, Personen mit der Uhr zu mildern, indem Sie sicherstellen, dass Ihre PID -Datei mit der aktuellen Zeit von Zeit zu Zeit aktualisiert wird. Der Vergleich seiner letzten modifizierten Zeit (da sowohl verschlüsselte Daten als auch ihre Dateiattribute im Dateisystem mit der aktuellen Zeit ein Frühwarnsystem für die Verstärkerin der Uhr sein. Explodieren Sie bei Problemen.

  12. Alle Datendateien sollten mit einem Schlüssel verschlüsselt werden, der sich in Ihrem Befehl aktualisiert. Stellen Sie Ihr System so ein, dass es mindestens einmal pro Woche und bei jedem Neustart aktualisiert wird. Fügen Sie dies der Funktion "Update-From-Your-Server" der Software hinzu, die Sie haben sollten.

  13. Alle Kryptographie sollten FIPS -Richtlinien folgen. Verwenden Sie also starke Krypto, verwenden Sie HMACs usw. Sie sollten versuchen, die FIPS-140-2-Level-4-Spezifikationen angesichts Ihrer aktuellen Situation zu treffen, aber verständlicherweise sind einige der Anforderungen aus wirtschaftlicher Sicht nicht möglich und realistischerweise FIPS-140 -2-Level-2 kann Ihre Grenze sein.

  14. Lassen Sie es in allen Fällen von Selbstzerstörungen zuerst nach Hause telefonieren, damit Sie sofort wissen, was passiert ist.

Und schließlich einige Nicht-Software-Lösungen:

  1. Wenn es nicht telefonisch zu Hause telefoniert. . Wenn Sie es auf die Festplatten stellen und diese über das Motherboard legen, wird die Arbeit am besten erledigt. Sie müssen sich jedoch bei Ihrer Rechtsabteilung über die Genehmigungen usw. erkundigen usw., wenn dies keine US -Militärsituation ist, wie ich davon ausgeht, dass Sie in den USA sind.

  2. Um sicherzustellen, dass die Hardware nicht manipuliert wird, finden Sie in den FIPS Physical Security Anforderungen, um weitere Informationen zur sicherzustellen, dass das System physikalisch sicher ist. Bonuspunkte Wenn Sie die modernen Racks, die Sie verwenden, in einem alten AS400 -Gehäuse als Tarnung sehen können, um die Bewegung/Manipulation der Hardware zu mildern. Jüngere Jungs werden nicht wissen, was sie tun sollen, und machen Sharp Edged Case, zumindest basierend auf meiner eigenen Erfahrung.

  3. Im Falle einer Intrusion -Benachrichtigung, nuke sie aus der Umlaufbahn. Es ist der einzige Weg, um sicher zu sein. ;) Stellen Sie einfach sicher, dass Sie über alle rechtlichen Formulare und Anforderungen für den Zugang ausgefüllt sind, damit legal mit der Minderung von Risiken oder Haftung zufrieden ist. Sie können Ihr Benachrichtigungssystem für E -Mail-/Text-/Telefon -Personen automatisch einrichten, sobald Sie eine erhalten Benachrichtigung, dass es Ihnen explodierte.

"Die einzige Möglichkeit, ein völlig sicheres System zu haben, besteht darin, es mit einem Hammer zu zerschlagen."

Das heißt, es ist möglich, mit den potenziellen Hackern ausreichend zu schrauben, um es mehr Ärger zu machen, als es wert ist. Wenn die Maschine eine "schwarze Box" ist, in der sie nicht direkt darauf zugreifen können, sondern Programme, die damit umgehen, dann ist Ihre größte Bedrohung dafür physischer Zugang. Sie können Fälle absperren und sogar einen kleinen, zerbrechlichen Gegenstand in den Fall installieren, der geschnappt wird, wenn der Fall geöffnet ist. Stellen Sie sicher Es ohne Genehmigung (ja, es ist ein alter Teenager -Trick, aber es funktioniert). Deaktivieren Sie die Hardware (wie USB -Anschlüsse), die Sie nicht unbedingt benötigen, physisch alle Schachtel selbst.

Wenn Sie es mit einer Maschine zu tun haben, die kein Black-Box ist, verschlüsseln Sie die Hölle aus allem ... 256bit-Verschlüsselung ist ohne den Schlüssel effektiv unmöglich zu knacken ... dann wird der Trick den Schlüssel.

Theoretisch könnten Sie möglicherweise den Schlüssel haben Rückgeld (Durch erneuertes Verschluss der Daten) und nur durch einen Prozess abgerufen werden, der direkt mit Ihren (sicheren) Servern kommuniziert.

Verfolgen Sie außerdem alles, was mit der Box passiert, insbesondere alles, was in der Software außerhalb des normalen Gebrauchs auftritt. Vieles davon kann Sie nicht vor jemandem schützen, der wirklich, wirklich entschlossen ist ... aber es kann Warten Sie darauf, dass Ihr System kompromittiert wurde. (auf dem Sie zum Teufel verklagen können, wer auch immer eingebrochen ist)

Was den Kill -Switch angeht ... Nun, Schlafviren sind da draußen, aber wie gesagt, können sie sich versehentlich täuschen oder absetzen. Ich würde vorschlagen, dass das System, das alles mit einem zufällig generierten Schlüssel, den Schlüssel an Ihre Server senden kann (damit Sie den Schaden rückgängig machen können), und dann die "zerkleinern" können, wenn Sie sich sauber wischen, anstatt sich selbst sauber zu wischen, wenn Sie einen Verstoß vermuten, das System verschlüsselt. Datei, die früher den Schlüssel enthielt. (Viele Datei -Shredders da draußen können Daten gut genug zerstören, dass es (fast) nicht wiederhergestellt werden kann.)

Zusammenfassende Antworten, ja. Es gibt keine "vollkommen sicheren" Lösungen für dieses Problem, wie es brauchen würde Homomorphe Verschlüsselung (die jetzt nur in Form von begrenzten Prototypen existieren, die lächerliche Berechnungsmengen erfordern).

In der Praxis benötigen Sie die Kombination aus ordnungsgemäßem Anforderungs -Engineering und Sicherheitstechnik (Bewertung von Stakeholdern, Interessen, wertvollen Vermögenswerten innerhalb des eingesetzten Systems, mögliche Angriffe und Schäden aus jedem erfolgreichen Angriffsszenario gegenüber Kosten, um sich daraus zu verteidigen.)

Danach werden Sie entweder feststellen, dass der Schutz nicht wirklich benötigt wird, oder Sie können einige angemessene Maßnahmen einsetzen und andere „Löcher“ mit rechtlichen Dingen abdecken oder das System insgesamt neu einarbeiten, beginnend mit dem Geschäftsmodell (unwahrscheinlich, aber aber möglich auch möglich).

Im Allgemeinen ist Sicherheit das System für Systemtechnik, und Sie sollten sich nicht nur auf technische Ansätze beschränken.

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top