加密軟體的黑洞系列一:密鑰
2024-08-04 14:05:10
過去20年信息技術的不斷發展,讓社會取得了巨大進步。變幻莫測的數據安全威脅,給企業IT維護帶來前所未有的挑戰。無處不在的洩密風險,迫使企業用戶不得不將數據洩密防護上升成常態,越來越多的企業選擇用加密軟體進行文件加密。眾所周知,文件加密就是對文件進行加密保護。加密建立在對信息進行數學編碼和解碼的基礎上。我們使用的加密通常都是通過密鑰來完成的。先來看看什麼是密鑰。
密鑰分為兩種:對稱密鑰與非對稱密鑰。對稱密鑰加密,即信息的發送方和接收方用同一個密鑰去加密和解密數據。它的最大優勢是加/解密速度快,適合於對大數據量進行加密,但密鑰管理困難。非稱密鑰加密系統,又稱公鑰密鑰加密。它需要使用不同的密鑰,來分別完成加密和解密操作,一個公開發布,即公開密鑰,另一個由用戶自己秘密保存,即私用密鑰。信息發送者用公開密鑰去加密,而信息接收者則用私用密鑰去解密,公鑰機制靈活。這種系統加密和解密速度比對稱密鑰加密慢一些,但在保護通信安全和方面,非對稱加密算法卻具有對稱密碼難以企及的優勢。
對稱算法與非對稱算法綜合起來使用如下圖:
目前市場上的加密軟體產品大多採用單獨的對稱加密系統,即公司所有的文件用一個密鑰,最多細分到一個部門的所有文件用一個密鑰,那麼一旦密鑰被破解,那這個公司的數據一定是可以被隨意解密的了。這對企業的安全來說,也是非常不穩定的。如果安全軟體都不能保障安全,那麼它的價值就無法體現,企業就沒有選擇它的必要。
先來看看企業調查加密軟體結果顯示:
區別 | 山麗防水牆 | 明朝萬達 | 億賽通 |
加密算法 | 非對稱加密和對稱加密結合,任何文件的密鑰均不一樣(即使不更改內容的另存為文件) | 單獨對稱加密,文件密鑰一樣 | 非對稱密鑰加密;文件密鑰一樣 |
安全性 | 高 | 弱 | 弱:網上有破解工具 |
我們還可以來看一個案例。
最近去朋友小王家小聚,正好聊到如何他們公司曾出過的一個事件,小王在某知名開採類企業工作,這家企業規模較大,公司研發和技術部門人員多,所以每天的圖紙文檔產出物很多,很不方便管理。由於圖紙內容涉及公司機密和寶貴信息,所以這家企業需要一款加密軟體來進行使用權限控制和防止圖紙洩密。當時,這家公司選擇了一款由北京以Y開頭的某知名安全軟體生產商的加密軟體。所有的圖紙文件全部使用統一的密鑰管理,剛開始的時間裡,工作起來很順手,因為操作簡單,便於管理。不料,不久後爆出了一件洩密事故,該企業公司內部一高管在競爭同行利益驅使下帶走了一些重要的機密文檔,後來被同行破解了密鑰,由於所有文件的密鑰都是一樣的,同行很容易就進入了該公司的內網並獲得了重要的機密。這次事件讓小王的公司受到巨大的損失,該企業的高層領導也開始相當重視內網安全和防信息外洩的重要性。雖然洩密者得到了應有的懲罰,但是給公司帶來的損失是短時間內無法挽回的。
相信通過以上案例,不少的企業領導開始擔心,因為這家企業都已經採取措施使用了加密軟體,結果還是洩密了,這讓不少人開始懷疑加密軟體的實用性。這種擔心也不是多餘的,小王的企業使用的加密軟體採取是所有文件用一個密鑰的系統而導致企業信息洩露,造成企業損失。那麼,如果可以把對稱加密和非對稱加密結合起來,那麼這些機密文件的安全性就得到了很大的提高,會讓企業的領導放心許多。可是,目前到底有沒有加密軟體能做到這一點呢?小王說後來他們企業通過各種渠道發現了一個叫山麗防水牆的軟體,這個軟體是國內知名真正可以做到對稱加密和非對稱加密結合的軟體,非常適合他們公司。他還給我看了他與山麗公司的部分聊天記錄。
Inta 8:44:58
還有個問題哦
如果要是利用防水牆的漏洞呢?
比如我們以前發現的把文件拖到虛擬機裡面文件就莫名自動解密的這種情況呢?
山麗網安........ 8:45:18
這個也可以處理
沒可信也是不會解密的
Inta 8:46:11
我的意思是如果沒資料庫有指紋的情況下,利用上面說的漏洞能解得了密麼?
山麗網安........ 8:46:26
那是一定不會的
Inta 8:47:10
那我們就不怕了
山麗網安........ 8:47:46
我們是一文一密鑰,
Inta 8:49:07
伺服器上和文件上是一對,對吧?
Inta 8:51:34
伺服器上的密鑰和文件的密鑰是一對,對吧?
文件的密鑰存在資料庫裡面,所以沒資料庫是沒有用的?
Inta 8:55:00
文件的密鑰存在文件裡面,與之對應的密鑰在資料庫裡面,所以沒資料庫是沒有用的?
山麗網安........ 8:57:30
不是;
我們是一文一密鑰,
目前除了pdf、windows的efs是一文一密鑰之外,市場上的產品是一個公司一個密鑰,最多到一個部門一個密鑰,而密鑰是最後在內存裡面以明文形式被加密程序調用的,一旦密鑰被截獲(技術上不能),而加密算法又是國家規定的算法(就是公開的意思),那這個公司的數據一定是可以被隨意解密的了。
因為我們的密鑰是動態變化的,每個文件的密鑰都是不一樣的,所以被破解的可能性是0(即使是被破解了一個,那其他的也是需要再去破解,那可有得煩了),如何證明我們是一文一密鑰呢,你在加密環境裡面,將一個文件另存或者複製為N份,在非加密環境裡面,你打開這些密文,你會發現亂碼是完全不一樣的。所以,我們是對稱加密+非對稱加密結合的。
山麗網安........ 8:59:21
通過這個表格你們可以了解一下我們與同行在加密算法上的區別
區別 | 山麗防水牆 | 明朝萬達 | 億賽通 |
加密算法 | 非對稱加密和對稱加密結合,任何文件的密鑰均不一樣(即使不更改內容的另存為文件) | 單獨對稱加密,文件密鑰一樣 | 非對稱密鑰加密;文件密鑰一樣 |
安全性 | 高 | 弱 | 弱:網上有破解工具 |
通過聊天記錄不難看出,山麗公司在技術研發上與其他同類行業相比優勢明顯,且功能更加齊全和完善。小王說,山麗防水牆對他們的工作提供了安全保障,信息外洩的事件也沒再發生。所以,在密鑰加密方面,山麗網安是個不錯的選擇,優勢很明顯。在文件加密方面可以大大提高文件的安全性。
