fbpx
维基百科

隱晦式安全

十月 20, 2023

隱晦式安全(Security through obscurity)是指用設計的隱晦英语Secrecy或是實現細節的隱晦,來達成系統或是元件的安全性(security),是一種安全工程(security engineering)的設計方式。

歷史 编辑

鎖匠阿爾弗雷德·查爾斯·霍布斯英语Alfred Charles Hobbs曾反對用隱晦來達到安全性,他在1851年示範如何撬開當時最先進的鎖。有人認為,若公開鎖的設計缺陷,會讓罪犯更容易破壞鎖,霍布斯的回應是:「盜賊對他們的專業非常熱衷,他們知道的已經比我們可以教他們的多太多了。」[1]

正式文件中很少提到隱晦式安全。有安全工程的書藉在1883年時記錄了柯克霍夫原則。例如在一個有關核子指揮與控制安全性和開放性的討論中曾提到:

減少意外戰爭可能性的好處遠大於秘密的可能好處。這是柯克霍夫原則的現代強化版,柯克霍夫原則最早在十九世紀提出,其中認為系統的安全性應該是基於其鎖匙,而不是其設計的隱密性。[2]

彼得·施維爾英语Peter Swire曾著文探討「隱晦式安全只是想像」以及軍隊中loose lips sink ships英语loose lips sink ships口號之間的權衡[3],也提到競爭對於是否要公開的影響[4][需要更深入解释]

美國的全国公共广播电台在2020年1月時報導愛荷華州的民主黨官員拒絕分享有關caucus應用程式的安全性資訊,為了「確保我們不會傳遞對我們不利的資訊。」。網路安全專家的回應是「保留應用程式的技術細節不公開,無法保護整個系統。」[5]

批評 编辑

標準組織不鼓勵單單只用隱晦式安全作為安全措施。美國的國家標準技術研究所(NIST)曾針對此作法提出建議:「系統的安全性不能只靠實現方式的保密或是元件的保密來達成。」[6]

此技術和基於安全的設計Open security英语Open security的概念是相反的,不過真實世界中的專案有許多不同的元件組成,也有各自的安全策略,也不排除同一個專案中同時有不同安全策略的元件。

架構上的隱晦以及技術上的隱晦 编辑

若考慮運行安全性英语operations security,隱晦式安全的效果會和是否配合其他良好安全實務一起進行有關[7]。若隱晦式安全是獨立的技術,配合其他實務使用,則隱晦可視為是有效的安全工具[8]

近些年來,由於移動目標防禦(Moving Target Defense)以及欺敵技術英语Deception technology的實施,越來越多人支持用隱晦式安全作為網路安全(cybersecurity)的方法論之一[9]。NIST的網路防衛評估架構800-160 Volume 2建議在建立有韌性而且安全運算環境時,以隱晦式安全作為其安全措施中的一部份[10]

相關條目 编辑

參考資料 编辑

  1. ^ Stross, Randall. Theater of the Absurd at the T.S.A.. The New York Times. 17 December 2006 [5 May 2015]. (原始内容于2022-12-08). 
  2. ^ Anderson, Ross. Security Engineering: A Guide to Building Dependable Distributed Systems . New York, NY: John Wiley & Sons, Inc. 2001: 240. ISBN 0-471-38922-6. 
  3. ^ Swire, Peter P. A Model for When Disclosure Helps Security: What is Different About Computer and Network Security?. Journal on Telecommunications and High Technology Law. 2004, 2. SSRN 531782 . 
  4. ^ Swire, Peter P. A Theory of Disclosure for Security and Competitive Reasons: Open Source, Proprietary Software, and Government Agencies. Houston Law Review. January 2006, 42. SSRN 842228 . 
  5. ^ Despite Election Security Fears, Iowa Caucuses Will Use New Smartphone App. NPR.org. [2022-12-08]. (原始内容于2022-12-23). 
  6. ^ Guide to General Server Security (PDF). National Institute of Standards and Technology. July 2008 [2 October 2011]. (原始内容 (PDF)于2022-11-26). 
  7. ^ Obscurity is a Valid Security Layer - Daniel Miessler. Daniel Miessler. [2018-06-20]. (原始内容于2022-12-08) (美国英语). 
  8. ^ Cyber Deception | CSIAC. www.csiac.org. [2018-06-20]. (原始内容于2021-04-20) (美国英语). 
  9. ^ CSD-MTD. Department of Homeland Security. 2013-06-25 [2018-06-20]. (原始内容于2022-12-08) (英语). 
  10. ^ (NIST), Author: Ron Ross; (MITRE), Author: Richard Graubart; (MITRE), Author: Deborah Bodeau; (MITRE), Author: Rosalie McQuaid. SP 800-160 Vol. 2 (DRAFT), Systems Security Engineering: Cyber Resiliency Considerations for the Engineering of Trustworthy Secure Systems. csrc.nist.gov. 21 March 2018 [2018-06-20]. (原始内容于2020-06-23) (美国英语). 

外部連結 编辑

  • Eric Raymond on Cisco's IOS source code 'release' v Open Source (页面存档备份,存于互联网档案馆
  • by Ethan M. Preston and John Lofton
  • ,存档于互联网档案馆(存檔日期 February 2, 2007) by Jay Beale
  • Secrecy, Security and Obscurity (页面存档备份,存于互联网档案馆) & The Non-Security of Secrecy (页面存档备份,存于互联网档案馆) by Bruce Schneier
  • "Security through obsolescence", Robin Miller, linux.com, June 6, 2002 (页面存档备份,存于互联网档案馆

十月 20, 2023
隱晦式安全, security, through, obscurity, 是指用設計的隱晦, 英语, secrecy, 或是實現細節的隱晦, 來達成系統或是元件的安全性, security, 是一種安全工程, security, engineering, 的設計方式, 目录, 歷史, 批評, 架構上的隱晦以及技術上的隱晦, 相關條目, 參考資料, 外部連結歷史, 编辑鎖匠阿爾弗雷德, 查爾斯, 霍布斯, 英语, alfred, charles, hobbs, 曾反對用隱晦來達到安全性, 他在1851年示範如何撬開當. 隱晦式安全 Security through obscurity 是指用設計的隱晦 英语 Secrecy 或是實現細節的隱晦 來達成系統或是元件的安全性 security 是一種安全工程 security engineering 的設計方式 目录 1 歷史 2 批評 3 架構上的隱晦以及技術上的隱晦 4 相關條目 5 參考資料 6 外部連結歷史 编辑鎖匠阿爾弗雷德 查爾斯 霍布斯 英语 Alfred Charles Hobbs 曾反對用隱晦來達到安全性 他在1851年示範如何撬開當時最先進的鎖 有人認為 若公開鎖的設計缺陷 會讓罪犯更容易破壞鎖 霍布斯的回應是 盜賊對他們的專業非常熱衷 他們知道的已經比我們可以教他們的多太多了 1 正式文件中很少提到隱晦式安全 有安全工程的書藉在1883年時記錄了柯克霍夫原則 例如在一個有關核子指揮與控制安全性和開放性的討論中曾提到 減少意外戰爭可能性的好處遠大於秘密的可能好處 這是柯克霍夫原則的現代強化版 柯克霍夫原則最早在十九世紀提出 其中認為系統的安全性應該是基於其鎖匙 而不是其設計的隱密性 2 彼得 施維爾 英语 Peter Swire 曾著文探討 隱晦式安全只是想像 以及軍隊中loose lips sink ships 英语 loose lips sink ships 口號之間的權衡 3 也提到競爭對於是否要公開的影響 4 需要更深入解释 美國的全国公共广播电台在2020年1月時報導愛荷華州的民主黨官員拒絕分享有關caucus應用程式的安全性資訊 為了 確保我們不會傳遞對我們不利的資訊 網路安全專家的回應是 保留應用程式的技術細節不公開 無法保護整個系統 5 批評 编辑標準組織不鼓勵單單只用隱晦式安全作為安全措施 美國的國家標準技術研究所 NIST 曾針對此作法提出建議 系統的安全性不能只靠實現方式的保密或是元件的保密來達成 6 此技術和基於安全的設計及Open security 英语 Open security 的概念是相反的 不過真實世界中的專案有許多不同的元件組成 也有各自的安全策略 也不排除同一個專案中同時有不同安全策略的元件 架構上的隱晦以及技術上的隱晦 编辑若考慮運行安全性 英语 operations security 隱晦式安全的效果會和是否配合其他良好安全實務一起進行有關 7 若隱晦式安全是獨立的技術 配合其他實務使用 則隱晦可視為是有效的安全工具 8 近些年來 由於移動目標防禦 Moving Target Defense 以及欺敵技術 英语 Deception technology 的實施 越來越多人支持用隱晦式安全作為網路安全 cybersecurity 的方法論之一 9 NIST的網路防衛評估架構800 160 Volume 2建議在建立有韌性而且安全運算環境時 以隱晦式安全作為其安全措施中的一部份 10 相關條目 编辑隐写术 代碼變形 英语 Code morphing 柯克霍夫原則 Need to know 英语 Need to know 代码混淆 假定安全 英语 Presumed security 基於安全的設計 AACS加密密鑰爭議 英语 AACS encryption key controversy 零日攻击 解碼員 英语 Code talker 混淆 英语 Obfuscation 參考資料 编辑 Stross Randall Theater of the Absurd at the T S A The New York Times 17 December 2006 5 May 2015 原始内容存档于2022 12 08 Anderson Ross Security Engineering A Guide to Building Dependable Distributed Systems nbsp New York NY John Wiley amp Sons Inc 2001 240 ISBN 0 471 38922 6 含有內容需登入查看的頁面 link Swire Peter P A Model for When Disclosure Helps Security What is Different About Computer and Network Security Journal on Telecommunications and High Technology Law 2004 2 SSRN 531782 nbsp Swire Peter P A Theory of Disclosure for Security and Competitive Reasons Open Source Proprietary Software and Government Agencies Houston Law Review January 2006 42 SSRN 842228 nbsp Despite Election Security Fears Iowa Caucuses Will Use New Smartphone App NPR org 2022 12 08 原始内容存档于2022 12 23 Guide to General Server Security PDF National Institute of Standards and Technology July 2008 2 October 2011 原始内容存档 PDF 于2022 11 26 Obscurity is a Valid Security Layer Daniel Miessler Daniel Miessler 2018 06 20 原始内容存档于2022 12 08 美国英语 Cyber Deception CSIAC www csiac org 2018 06 20 原始内容存档于2021 04 20 美国英语 CSD MTD Department of Homeland Security 2013 06 25 2018 06 20 原始内容存档于2022 12 08 英语 NIST Author Ron Ross MITRE Author Richard Graubart MITRE Author Deborah Bodeau MITRE Author Rosalie McQuaid SP 800 160 Vol 2 DRAFT Systems Security Engineering Cyber Resiliency Considerations for the Engineering of Trustworthy Secure Systems csrc nist gov 21 March 2018 2018 06 20 原始内容存档于2020 06 23 美国英语 外部連結 编辑Eric Raymond on Cisco s IOS source code release v Open Source 页面存档备份 存于互联网档案馆 Computer Security Publications Information Economics Shifting Liability and the First Amendment by Ethan M Preston and John Lofton Security Through Obscurity Ain t What They Think It Is 存档于互联网档案馆 存檔日期 February 2 2007 by Jay Beale Secrecy Security and Obscurity 页面存档备份 存于互联网档案馆 amp The Non Security of Secrecy 页面存档备份 存于互联网档案馆 by Bruce Schneier Security through obsolescence Robin Miller linux com June 6 2002 页面存档备份 存于互联网档案馆 取自 https zh wikipedia org w index php title 隱晦式安全 amp oldid 75302809, 维基百科,wiki,书籍,书籍,图书馆,

文章

,阅读,下载,免费,免费下载,mp3,视频,mp4,3gp, jpg,jpeg,gif,png,图片,音乐,歌曲,电影,书籍,游戏,游戏。