آيا داده‌هاي شما رمزنگاري شده است؟ (قسمت اول)


 





 
تحقيقات نشان مي‌دهد كه پذيرش عمومي و فراگير شدن فناوري‌هاي پيشرفته رمزنگاري با كندي صورت مي‌پذيرد. مطمئناً هزينه و تصميمات مديران در اين زمينه تأثيرگذار هستند. اما چرا اقدامات امنيتي ما فقط در همان سطحي است كه قانوناً ملزم به پياده‌سازي آن هستيم؟ آيا داده‌هاي ما ارزش حفاظت بيشتر را ندارد؟
هنگام بررسي وضعيت استفاده از فناوري‌هاي رمزنگاري اگر فقط وضعيت شركت‌هاي مطرح را بررسي كنيم، اين احساس ايجاد مي‌شود كه در نگهداري داده‌ها تا حد ممكن اصول امنيتي رعايت مي‌شود. 86 درصد از كارمندان حرفه‌اي در 466 شركت كه در زمينه فناوري‌هاي كسب‌وكار مشغول هستند، در پاسخ به بررسي تحليلي ماهنامه اینفورمیشن ویک گفتند، آن‌ها به صورت‌هاي مختلف از فناوري‌هاي رمزنگاري استفاده مي‌كنند. اما اين تحقيقات داستان واقعي را آشكار نمي‌كند. تنها چهارده درصد از پاسخ‌دهندگان گفتند كه از فناوري‌هاي رمزنگاري به صورت جامع و فراگير در همه فعاليت‌هاي سازماني استفاده مي‌شود. رمزنگاري پايگاه‌داده در سطح جدول‌ها فقط توسط 26 درصد از كاربران استفاده مي‌شود و فقط 38 درصد شركت‌ها داده‌هاي نگهداري شده روي تجهيزات قابل‌حمل را رمزنگاري کرده‌اند. 31 درصد آن‌ها نيز فكر مي‌كنند همين مقدار استفاده از فناوري‌هاي رمزنگاري كافي است تا انتظارات قانوني را درباره اصول امنيتي رعايت كرده‌باشند. اين وضعيت ناخوشايند موارد مختلفي را شامل مي‌شود، از هزينه‌ها و مشكلات مربوط به يكپارچه‌سازي اين‌گونه برنامه‌ها با برنامه‌هاي موجود گرفته تا جبهه‌گيري و مقاومت سازمان‌ها كه بر اثر نبود مديريت صحيح در اين زمينه، حالت حادتري به خود مي‌گيرد. تمركز سازمان‌ها برای رعايت حداقل اصول امنيتي نيز بسيار آزاردهنده است. رمزنگاري زيرمجموعه‌اي از داده مي‌تواند راه‌گشا باشد، زيرا به‌عنوان مثال، در صورت نفوذ و دسترسي ناخواسته به داده شركت‌ها مجبور نيستند مشتريان خود را از اين موضوع مطلع كنند، اما رعايت حداقل‌ها به منظور سازگاري به معناي برقراري كامل امنيت نيست. مسلماً حتي اگر افراد حرفه‌اي و فعال در زمينه IT بخواهند از ابزارهاي رمزنگاري بيشتر از آنچه كه مرسوم است استفاده كنند، با مقاومت و مخالفت سايرين روبه رو مي‌شوند. يكي از پاسخ‌دهندگان مي‌گويد: «كارمندان واحد IT ما در حال بررسي براي بيشتركردن مواردي هستند كه در آن‌ها از رمزنگاري استفاده مي‌شود. اما واقعيت آن است كه كاربران بيشتر علاقه‌مند هستند سريع و آسان به داده‌هاي خود دسترسی پیدا کنند و به امنيت داده‌ها کمتر فكر ‌مي‌كنند. اين ايده كه داده‌هاي روي حافظه‌هاي فلش يا لپ‌تاپ‌ها حتماً به صورت رمزنگاري‌شده باشد، هيچ‌گاه به ذهن بسياري از كارمندان ما خطور نمي‌كند و از رؤسا گرفته تا كارمندان ساده با اين مسئله به دشواری كنار خواهند آمد.»
ما اين مسئله را جبهه‌گيري هميشگي مي‌ناميم، زيرا مشكل تازه‌اي به شمار نمي‌آيد و تحقيقي كه در سال 2007 انجام شد، نشان داده كه فقط شانزده درصد از شركت‌هاي امريكايي به مسئله رمزنگاري، نگاه جامع و فراگير دارند. در آن زمان ماهنامه نت‌ورک کامپيوتينگ موضوع رمزنگاري سازمان‌يافته را موردبررسي قرار داد و متوجه شد كه فرآيند پذيرش اين مسئله به صورت كند و تدريجي عملي مي‌شود و به‌طور معمول در اولين مرحله، نوار‌هاي تهيه نسخه پشتيبان رمزنگاري شده و اين مسئله از آنجا به ساير داده‌هاي سازمان تسري پيدا مي‌كند. در حال حاضر، رويكرد حركت تدريجي به سمت استفاده از رمزنگاري معمول‌ترين حالت است و ما هنوز در ابتداي راه هستيم. اين كندي در حركت در حالي مشاهده مي‌شود كه سازمان‌هاي وضع‌كننده قوانين امنيتي نظير PCI در حال تعيين ضرب‌العجل براي پياده‌سازي اصول جديدي هستند كه لازمه عملي شدن آن‌ها پياده‌سازي رمزنگاري داده‌هاي كارت‌هاي اعتباري هنگام انتقال آن‌ها بر بستر ارتباطي است.
يكي از مشكلات عمده اين است كه تلاش‌ها براي ايجاد استانداردها در زمينه‌هايي كه داشتن استاندارد ضرورت زيادي دارد، به کمترين نتايج مورد نياز هم نرسيده‌اند. يعني در زمينه تعامل بين سيستم‌ها كه مديريت رمزنگاري را آسان‌تر و كم‌هزينه‌تر مي‌كند، پيشرفت كمي شاهد بوديم. ما انتظار نداريم كه اين شرايط به اين زودي‌ها تغيير كند.
هنگامی كه از متخصصان IT پرسيديم، چه فاكتورهايي مي‌تواند استفاده از رمزنگاري را افزايش دهد، جواب‌هاي مختلفي را دریافت کردیم. از جمله اين موارد مي‌توان به افزودن امكاناتي در سطح سيستم‌عامل براي ايجاد فايل‌ها و پوشه‌هاي رمزنگاري‌شده (كاري كه مايكروسافت بر آن متمركز شده و بيشتر درباره آن صحبت خواهيم كرد) و استفاده آسان‌تر و راحت‌تر و كارايي بيشتر، هزينه كمتر و مديريت‌ قوي‌تر اشاره كرد. تعداد كمي نيز اميدوارند تا قوانين محكم‌تر در اين زمينه وضع شود يا نفوذ و افشاي اطلاعات بتواند شرايطي ايجاد كند كه بتوانند از آن به عنوان اهرمي براي اخطار به مشتريان و تشويق آن‌ها به سرمايه‌گذاري و تصميم‌گيري در سطح مديران استفاده كنند.
مدير بخش شبكه يك مؤسسه آموزشي مي‌گويد: «من فكر مي‌كنم تمايل و علاقه‌مندي مهم‌ترين عاملي است كه مي‌تواند در اين زمينه تأثيرگذار باشد. آنچه ما نياز داريم، افشای اطلاعات و در معرض خطر قرار گرفتن داده‌هاي محرمانه است تا مردم به خوبي از خطري كه داده‌هاي آن‌ها را تهديد مي‌كند، آگاه شوند.»
جوابي كه ما دوست داريم بشنويم اين است: «تمايل دارم تا از روش‌هاي مقابله با سرقت اطلاعات آگاه شوم تا بتوانم از آن‌ها استفاده كنم.»
رفتار غالب و روش اكثريت شركت‌ها در اين زمينه مطابق بر قوانين اجباري سازماني نظير PCI خواهد بود و تصميمات اين سازمان‌ها براي مدت‌هاي طولاني مبناي اصلي براي ميزان استفاده از رمزنگاري خواهد بود. در حال حاضر،در ايالات متحده 44 ايالت قوانيني را براي مقابله با دسترسي ناخواسته به داده‌ها وضع كرده‌اند و بسياري از آن‌ها اساساً مي‌خواهند شرايطي را فراهم كنند كه اگر يك نوار Backup از شما سرقت شد، حتماً داده‌هاي روي آن نوار به صورت رمزنگاري‌شده باشد تا مجبور نشويد كه مشتريان خود را از به سرقت رفتن اطلاعات آن‌ها آگاه كنيد. شركت‌هايي كه مكانيزم‌هاي رمزنگاري را پياده‌سازي كنند، مي‌توانند هنگام به سرقت رفتن داده‌ها در هزینه‌هاي اطلاع‌رساني ميليون‌ها دلار صرفه‌جويي كنند و اين مسئله بدون در نظرگرفتن هزينه‌هاي غيرقابل‌محاسبه‌اي است كه به واسطه از دست رفتن مشتريان و كاهش اعتماد آن‌ها و حسن‌اعتماد آن‌ها به سازمان شما تحميل خواهد شد.
اين همان ‌چيزي است كه از آن به عنوان ROI (سرنام Return On Investment) يا نرخ‌بازگشت سرمايه‌گذاري ياد مي‌شود. البته، نمي‌خواهيم بگوييم كه رعايت حداقل خواسته‌هاي قانوني بي‌فايده است و مي‌دانيم كه رعايت همين حداقل‌ها براي بعضي از مديران ‌IT، امكان مقابله با ريسك‌هاي مرتبط با پروژه‌هاي پيش‌رو را فراهم كرده‌است. اما تجربه ما نشان مي‌دهد، پذيرفتن و شروع يك فرآيند فراگير و پيچيده نظير پياده‌سازي مكانيزم‌هاي رمزنگاري در سطح سازمان براي رعايت قوانين اجباري، به‌طور معمول به فرآيندي منجر مي‌شود كه درنهايت با برنامه‌ريزي ضعيف و هزينه‌هايي زياد همراه شده و كاهش خطرات و ريسك‌هاي ناشي از پياده‌سازي آن نيز ناچيز خواهد بود.
به‌عنوان جنبه‌هاي مثبت آمارها مي‌گويند كه فقط 28 درصد از مصاحبه‌شوندگان تمايل دارند از مكانيزم‌هاي رمزنگاري بيش از حداقل مقداري كه قانوناً ملزم به رعايت آن‌ها هستند،‌ استفاده كنند. البته، اين مقدار نيز خوب است، زيرا به‌هرحال رمزنگاري در همه شرايط راه‌حل نهايي نيست. در برخي موارد، بعضي از قسمت‌هاي برنامه رمزنگاري شده بايد به داده‌هاي رمزنگاري نشده دست يابند و اگر برنامه‌ها به اين شكل به داده‌ها دسترسي داشته‌باشند، بنابراين نفوذگران هم مي‌توانند به اين داده‌ها دسترسي داشته‌باشند.
از سال 2007 تاكنون، بزرگ‌ترين تغييري كه در عرصه رمزنگاري رخ داده، رواج استفاده از Token است. اين تكنيك توانسته بعضي از خطرات مرتبط با رمزنگاري را برطرف كند. در يك توضيح ساده، استفاده از توكن يعني استفاده از سرويسي كه به واسطه آن، سيستم داده‌هاي حساس خود را نظير شماره‌هاي كارت‌‌اعتباري در دستگاهي قرار مي‌دهد و يك نماد يك‌بار مصرف نظير يك شماره 64 رقمي دريافت مي‌كند. سپس اين عدد هر زمان كه از شماره كارت‌هاي اعتباري خود استفاده كنيد، در برنامه‌ها و همچنين پايگاه‌داده، استفاده خواهند شد. كاملاً مشخص است كه اين تنظيمات چگونه از خطرات موجود مي‌كاهد، اگر داده‌ها در معرض افشا قرار گيرد، نفوذگر براي تبديل شماره 64 رقمي به شماره كارت اعتباري هيچ ابزاري در اختيار ندارد.
شركـت‌هـا مي‌توانـنــد نــرم‌افــزارها و سخت‌افزارهاي مرتبط با توليد توكن را خريداري كرده يا از خدمات شركت‌هاي ديگر استفاده كنند. حتي ما با گروه‌هاي نرم‌افزاري مواجه بوديم كه خودشان تكنيك‌هاي استفاده از توكن را پياده‌سازي كرده‌اند، اما اين كار را به كسي پيشنهاد نمي‌كنيم. مسئله اين است كه زيرساخت مورد استفاده براي پياده‌سازي توكن چه در سازمان راه‌اندازي شود و چه از خارج سازمان تأمين شود، از بسياري جهات امنيت بالايي ايجاد مي‌كند. زيرا در عمل شما ريسك افشا شدن داده را از پايگاه‌داده و برنامه‌هاي خود دور كرده و آن‌را به سرورهايي وابسته مي‌كنيد كه فرآيند نگاشت داده به توكن در آن سرورها انجام مي‌شود. اگر سيستم پياده‌سازي توكن از تمام زيرساختار شما امن‌تر باشد در اين صورت، شما خطر افشاي داده را كاهش داده، اما از طرفي اصل معروف «قرار ندادن همه تخم‌مرغ‌ها در يك سبد» را نقض كرده‌ايد. هر چه بيشتر از توكن استفاده كنيد، داده‌هاي حساس شما بيشتر در يك نقطه متمركز خواهند شد.

متمركز‌سازي درباره كليدهاي رمزنگاري نيز وجود دارد و يك مشكل به شمار مي‌آيد. در بررسي‌هايي كه روي مديريت كليد متمركز شده‌بود، سؤال‌هايي درباره نحوه نگهداري و رازداري پاسخ‌دهندگان در نگهداري كليد‌ها مطرح شد. بيشتر آن‌ها يعني 88 درصد از پاسخ‌دهندگان اعتقاد داشتند كه آن‌ها درباره نحوه نگهداري و مديريت درست كليدها اطمينان دارند. اما تعدادي از پاسخ‌دهندگان درباره مجوزها و همچنين نتايج فاجعه‌آميز ناشي از گم‌شدن كليدها نگران بودند.
رئيس واحد اجرايي يك مؤسسه غيرانتفاعي مي‌گويد: «بعضي از سيستم‌هاي مورد استفاده ما براي آن طراحي شده‌ که كليدها را بدون هرگونه احتمال بازيابي منهدم كند. براي اين سيستم‌ها كه معمولاً اطلاعات هويتي و شناسايي افراد را در بردارند، امكان بازيابي كليد خيلي اهميت ندارد و در بعضي موارد مهم‌ترين مسئله اين است كه هيچ كس به داده‌ها دسترسي نداشته‌باشد.»
اين مسئله گاهي به كابوس مديران ارشد اجرايي تبديل مي‌شود. براي درك سير تكاملي كه در زمينه مديريت كليدها رخ‌داده‌است، درحقيقت، اين يك مشكل اساسي است که براي آغاز بررسي و يافتن راه‌حل براي آن خيلي دير نشده است. بيش از نيمي از پرسش‌شوندگان از ابزارهاي مديريت كليد در سيستم‌هاي رمزنگاري استفاده مي‌كنند و فقط 39 درصد از آن‌ها كليدهاي رمزنگاري را خودشان نگهداري و مديريت مي‌كنند.
بيشتر آن‌ها از قابليت‌هاي مديريت كليد مختص به هر محصول رمزنگاري استفاده مي‌كنند. اما بيشتر شركت‌ها بسيار تمايل دارند براي مديريت كليدها، فقط از يك سيستم استاندارد و تخصصي استفاده كنند. البته، اين روشي است كه بايد در پيش گرفته‌شود و بسياري از محققان با آن موافق هستند. تجربه‌هاي ما نيز نياز به وجود چنين ابزاري را تأييد مي‌كند. اين مدل با نام «پلتفرم رمزنگاري» شناخته‌مي‌شود كه در آن يك برنامه منفرد و مركزي بايد انواع مختلفي از كليدهاي رمزنگاري را (براي ديسك‌ها، ابزارهاي نگهداري نسخه‌هاي پشتيبان و پايگاه‌داده) نگهداري كند.
مهم‌ترين مشوق براي رسيدن به اين پلتفرم مشترك، كاهش هزينه‌هاي عملياتي و افزايش كارايي است و اين دو مورد مهم‌ترين موانع پذيرش و استفاده از روش‌هاي رمزنگاري هستند. شركت‌هاي مطرح در اين زمينه از جمله PGP و sophos مي‌گويند: «محصولات آن‌ها به سرعت به فروش مي‌رود.» شايد اين مسئله درست باشد، اما به علت آن‌كه هزينه اين پلتفرم‌ها زياد است. درنتيجه، در متقاعدكردن مديران فناوري اطلاعات هميشه اين مسئله گوشزد مي‌شود كه استفاده از محصولات يك شركت و در نتيجه استفاده از يك ابزار مديريتي براي تمام تكنيك‌هاي رمزنگاري آن‌ها هزينه‌ها را كاهش مي‌دهد.
درحال‌حاضر، بايد به دنبال اصلاح اين مدل باشيم به اين معني كه بايد عبارت «پلتفرم» را با عبارت ساده‌تري جايگزين كنيم. وقتي كه شما از يك ارائه‌دهنده سرويس رمزنگاري ايميل استفاده مي‌كنيد و اين شركت امكاني را براي رمزنگاري نسخه‌هاي پشتيبان نيز ارائه مي‌دهد، در اين صورت مي‌توانيد آن گزينه را با كمي هزينه بيشتر در اختيار داشته‌باشيد. وقتي كه فايل‌هاي پشتيبان را نيز رمزنگاري كنيد از بعد تكنيكي شما براي رمزنگاري ايميل‌ها و فايل‌هاي پشتيبان از يك تكنيك استفاده كرده‌ايد. البته، در روش فكري ما اين مسئله بيشتر شبيه استفاه از روش يك ارائه‌دهنده خاص است و نمي‌توان به جاي عبارت روش از عبارت پلتفرم استفاده كرد. براي آن‌كه بتوان از نام پلتفرم استفاده كرد، بايد مكانيزم خاصي وجود داشته‌باشد كه توسط چندين ارائه‌دهنده اين گونه خدمات پشتيباني شود، نظير آنچه كه توسط Thales ارائه مي‌شود. اين تفاوت بيشتر جنبه تعريفي و دانشگاهي دارد، زيرا هيچ يك از پلتفرم‌هاي مديريت كليد نتوانسته‌اند بازار را به طور كامل در اختيار گيرند و اين مسئله بيش از هر چيز به علت هزينه‌هاي مرتبط است. قيمت اين سيستم‌ها از چهل هزار دلار براي مدير كليد آغاز مي‌شود و شما همچنان نياز داريد همه محصولات مرتبط و مجوزهاي آن‌ها را به صورت جداگانه خريداري کنيد. ما با پروژه‌هاي سازماني مواجه شديم كه به سرعت رشدكرده و هزينه آن‌ها به صدها هزار دلار رسيده‌است. با توجه به اين مسئله نمي‌توان گروه‌هاي IT را براي دنبال‌نكردن يك راهكار مشترك سرزنش كرد. استفاده از قابليت‌هاي انحصاري در برنامه مديريت كليد مربوط به هر يك از برنامه‌هاي رمزنگاري، تنها راه‌حلي بود كه در سال 2007 قابل تصور بود و در طول چند سال گذشته، يكپارچه‌سازي صنعت رمزنگاري و رشد مداوم آن محيطي را ايجاد كرده‌است كه در آن بيشتر ارائه‌دهندگان ابزارهاي رمز‌نگاري، چندين ابزار را در قالب يك بسته ارائه مي‌دهند. سرمايه‌گذاري در اين زمينه با حساسيت زيادي همراه است، در نتيجه هميشه اولين رويكرد و ابزار بومي مورد استفاده براي مديريت رمزنگاري به تدريج به روش اصلي سازمان‌ها و پلتفرم يكپارچه مورد استفاده آن‌ها تبديل مي‌شود. اما به اعتقاد ما كه يك پلتفرم مورد پشتيباني چندين شركت به زودي روانه بازار خواهد شد. براي آن‌كه اين روش در زمان مناسب به يك رويكرد واقع‌گرايانه و عملي تبديل شود، شركت‌هاي ارائه‌دهنده اين ابزارها بايد از رقابت با يكديگر خودداري كرده و به فكر پياده‌سازي عملي يك استاندارد فراگير باشند. براي اين كار مي‌توان از ميان گزينه‌هاي موجود يكي را انتخاب كرد. به‌عنوان مثال، Oasis پروتكل مشتركي را براي مديريت كليد با نام KIMP پيشنهاده كرده‌است. IEEE نيز استاندارد P1619 را به اين موضوع اختصاص داده كه خود نقطه عطفي در اين زمينه به شمار مي‌رود، اگرچه اين مورد فقط ابزارها و رسانه‌هاي ذخيره‌سازي را شامل مي‌شود. يكي از اين استانداردها با شماره P1619.3 شامل جزئيات مربوط به مديريت كليد است، اما اين استاندارد بيشتر شبيه يك دورنما و كلي‌گويي است. P1619.3 و KMIP اساساً كار يكساني انجام مي‌دهند.
مشكل ديگر آن است كه تعداد كمي از شركت‌هاي ارائه‌دهنده ابزارهاي رمزنگاري تجربه مديريت كليدهاي ارائه شده توسط توليدكنندگان مختلف را دارند، اما افراد زيادي وجود دارند كه به پياده‌سازي اين استانداردها تمايل دارند. ما پيشرفت‌هاي آتي در اين زمينه را تحت نظر خواهيم داشت.
همه از هزينه‌هاي رمزنگاري شكايت دارند و شركت‌ها نيز به ايجاد تعامل بين استانداردهاي خود و فراهم كردن استاندارد مشترك تمايلي ندارند. بنابراين، چقدر احتمال دارد كه متخصصان رمزنگاري در حال همفكري روي جزئيات لازم براي پياده‌سازي محصولات كم‌هزينه و قابل استفاده نيز باشند؟ چه چيزي مي‌تواند مانع عملي شدن اين ايده شود؟ براي پاسخ به اين سؤال‌ها دوباره به سال 2007 بازمي‌گرديم. مشكلات تكنيكي براي عملي‌كردن اين ايده برطرف شده‌، اما موانع مربوط به تصميم‌گيري‌ها و سياست‌گذاري‌ها هنوز پابرجا است. به‌عنوان مثال، بسياري از محصولات مديريت و شناسايي هويت امكان مي‌دهند كه تأييدنامه‌ها و رمزها نيز در كنار اطلاعات هويتي ذخيره شود. بنابراين، به جاي مطرح کردن اين سؤال که «رمزهاي لپ‌تاپ‌ها را كجا نگهداري كنيم؟» بايد از خود بپرسيم: «چگونه فرآيند انقضا و ايجاد رمز جديد را براي لپ‌تاپ‌ها مديريت كنيم؟» مسئله‌اي كه تغيير نكرده اين است كه هنوز يك مركز نگهداري كليد وجود دارد كه به راحتي مي‌توان آن‌را مديريت و به‌روزرساني كرد و در صورت لزوم از آن گزارش تهيه كرد و اين همان چيزي است كه به مايكروسافت فرصت مي‌دهد تا به شركت‌ اصلي ارائه‌دهنده سرويس‌هاي رمزنگاري تبديل شود. اين شركت از طريق ارائه Active Directory موقعيت خاصي را در مديريت متمركز سيستم‌ها به دست آورده است و مايكروسافت در هر نسخه از سيستم‌عامل گزينه‌هاي جديدي را به آن اضافه مي‌كند كه مي‌توان آن‌ها را از طريق قسمت Group Policy Objects در Active Directory مديريت‌كرد.
اگرچه بعضي‌ها فكر مي‌كنند AD بهترين سرويسي نيست كه براي كسب‌وكارهاي مختلف ارائه شده‌است، اما اين سرويس بيشترين كاربرد را دارد و بسياري از متخصصان IT مي‌دانند كه چگونه مي‌توان از Group Policy استفاده كرد. همه سرويس‌هاي رمزنگاري در سمت كلاينت كه توسط مايكروسافت ارائه مي‌شود نظير BitLocker، BitLockerToGo و DirectAccess امكاناتي را براي مديريت متمركز از طريق Active Directory ارائه مي‌دهند. آخرين بسته‌هاي به‌روزرساني براي ويندوز 2008 و ويندوز7، تنظيمات اضافي براي مديران فراهم مي‌آورد تا بتوانند تنظيمات جديدي را از طريق Group Policy اعمال كنند.
اما معايب استفاده از فناوري‌هاي رمزنگاري مايكروسافت چيست؟ تجربه داخلي درباره طول كليد، اندازه حافظه Cache و گزينه‌هاي مرتبط با بازيابي داده و تجربه در ساير موارد از جمله نيازهاي مايكروسافت است. اگر شما مسئول پشتيباني از سيستم‌عامل لينوكس يا مك باشيد، نمي‌توانيد اين فناوري‌ها را به طور گسترده در سطح سازمان پياده‌سازي كنيد. اما كاربران ويندوز مي‌‌توانند رمزنگاري ديسك‌هاي قابل‌حمل، رمزنگاري داده‌هاي تجهيزات قابل‌حمل، رمزنگاري ايميل‌ها، رمزنگاري فايل‌ها و پوشه‌ها و رمزنگاري پايگاه‌داده را در اختيار داشته‌باشند. شما نمي‌توانيد قيمتي رقابتي‌تر از اين براي جايگزيني محصولات مايكروسافت داشته‌باشيد. برنامه TrueCrypt يك ابزار رايگان براي رمزنگاري كامل ديسك و سيستم‌فايلي است که از بيشتر برنامه‌هاي تجاري، سريع‌تر عمل مي‌كند. در حالي كه جامعه اپن‌سورس در حال توسعه اين برنامه و ساير برنامه‌ها براي مديريت كليدها است (يك ويژگي مهم كه در TrueCrypt وجود ندارد، اما به طور جداگانه توسط مايكروسافت عرضه مي‌شود)، ما انتظار داريم كه بسياري از فناوري‌هاي رمزنگاري به مرحله عملياتي برسند و ايجاد يك استاندارد مشترك براي رمزنگاري باعث قدرت و اهميت بيشتر جامعه اپن‌سورس خواهد شد.
توجه داشته‌باشيد كه اين مسئله به معناي شکست شرکت‌هاي تجاري نيست. درنهايت، برنده ميدان كسي است كه بهترين رابط كاربري و مديريتي را ارائه كند و فناوري‌هاي اپن‌سورس در مقايسه با رقباي تجاري خود معمولاً در زمينه ارائه ابزارهاي مديريتي ساده، عملكرد ضعيف‌تري دارند. هنوز هم هيچ چيز مثل رقابت نمي‌تواند باعث پيشرفت سريع فناوري‌ها شود.
بعد از تحليل نتايج تحقيقات خود و گفت‌وگو با تعدادي از مديران ارشد امنيت اطلاعات به اين نتيجه رسيديم كه استفاده از رمزنگاري فقط به اندازه‌اي كه استانداردهاي اجباري رعايت شوند، به آن معنا است كه هنوز از اين فناوري به درستي يا با در نظرگرفتن همه ظرفيت‌هاي آن استفاده نمي‌شود. به‌عنوان مثال، برنامه‌هاي اصلي كه سازمان‌ها در آن‌ها از رمزنگاري استفاده مي‌كنند يا برنامه‌اي براي استفاده از رمزنگاري در آن‌ها دارند، شامل VPNها، سيستم‌هاي فايلي و سيستم‌هاي مديريت ايميل است. مشكل اينجا است كه اين موارد تاحد بسيار کمي از خطرات مي‌كاهد. رمزنگاري فايل‌هاي روي سيستم مانع از ارسال داده رمزنشده از طريق ايميل يا كپي داده رمزنشده روي ابزارهاي USB نمي‌شود. همچنين رمزنگاري ايميل‌ها، تنها زماني كار مي‌كند كه كاربر در سمت ديگر نيز از سيستم رمزنگاري مشابه استفاده كند كه در بيشتر موارد اين موضوع صدق نمي‌کند.
در حالي كه همه ما منتظر ارائه يك استاندارد در اين زمينه هستيم، سازمان‌ها بايد به دنبال رويكردي براي مديريت خطا و پياده‌سازي ابزارهاي رمزنگاري براساس نوع داده مديريت‌شده‌ باشند، نه رسانه ذخيره‌سازي يا پايگاه‌داده مورد استفاده كه اين كار در بسياري از سازمان‌ها انجام نمي‌شود. همچنين شركت‌هاي ارائه دهنده ابزارهاي‌رمزنگاري نيز بايد تحت فشار قرار گيرند تا امكان سازگاري بين سيستم‌هاي رمزنگاري و مديريت كليد آن‌ها فراهم شود. متأسفانه اگرچه استانداردها ارائه شده‌اند، اما حركت زيادي براي سازگاري با آن‌ها مشاهده نمي‌شود. فقط چهارده درصد از جامعه آماري نام Oasis KMIP را شنيده بودند. اين پروژه در سال 2006 آغاز و امسال به پايان رسيد. شركت‌هاي Brcade، EMC، HP، IBM، LSI، Seagate و Thales تفاهم‌نامه پياده‌سازي Oasis KMIP را امضا كرده و قول‌داده‌اند كه تا آخر امسال نتايجي را در اين زمينه ارائه دهند.
مشكل اصلي اين است كه از عبارت «نتايج» چه تعبيري مي‌توان داشت. واضح است كه شركت‌هاي ارائه‌دهنده شركت‌هاي مطرح بيش از شركت‌هاي ارائه‌دهنده ابزارهاي رمزنگاري، علاقه‌مند به توليد استاندارد با همكاري شركت‌هاي ارائه رسانه‌هاي ذخيره‌سازي هستند. بيشتر افراد حرفه‌اي در زمينه IT و امنيت اطلاعات اين مسئله را درك كرده و با رويكرد تلاش‌هاي انجام شده براي سازگاري سيستم‌ها مخالف هستند. شايد فكر كنيد ما بيش از حد شكاك هستيم، اما فكر مي‌كنيم كه KMIP به اين زودي‌ها تأثير واقعي بر بازار نخواهد داشت. در حال حاضر، اين به ما بستگي دارد كه بخواهيم و اراده كنيم تا چيزي فراتر از قوانين اجباري رمزنگاري را پياده‌سازي كنيم.
منبع:http://www.shabakeh-mag.com
ارسال توسط کاربر محترم سایت : hasantaleb