آيا دادههاي شما رمزنگاري شده است؟ (قسمت اول)
تحقيقات نشان ميدهد كه پذيرش عمومي و فراگير شدن فناوريهاي پيشرفته رمزنگاري با كندي صورت ميپذيرد. مطمئناً هزينه و تصميمات مديران در اين زمينه تأثيرگذار هستند. اما چرا اقدامات امنيتي ما فقط در همان سطحي است كه قانوناً ملزم به پيادهسازي آن هستيم؟ آيا دادههاي ما ارزش حفاظت بيشتر را ندارد؟
هنگام بررسي وضعيت استفاده از فناوريهاي رمزنگاري اگر فقط وضعيت شركتهاي مطرح را بررسي كنيم، اين احساس ايجاد ميشود كه در نگهداري دادهها تا حد ممكن اصول امنيتي رعايت ميشود. 86 درصد از كارمندان حرفهاي در 466 شركت كه در زمينه فناوريهاي كسبوكار مشغول هستند، در پاسخ به بررسي تحليلي ماهنامه اینفورمیشن ویک گفتند، آنها به صورتهاي مختلف از فناوريهاي رمزنگاري استفاده ميكنند. اما اين تحقيقات داستان واقعي را آشكار نميكند. تنها چهارده درصد از پاسخدهندگان گفتند كه از فناوريهاي رمزنگاري به صورت جامع و فراگير در همه فعاليتهاي سازماني استفاده ميشود. رمزنگاري پايگاهداده در سطح جدولها فقط توسط 26 درصد از كاربران استفاده ميشود و فقط 38 درصد شركتها دادههاي نگهداري شده روي تجهيزات قابلحمل را رمزنگاري کردهاند. 31 درصد آنها نيز فكر ميكنند همين مقدار استفاده از فناوريهاي رمزنگاري كافي است تا انتظارات قانوني را درباره اصول امنيتي رعايت كردهباشند. اين وضعيت ناخوشايند موارد مختلفي را شامل ميشود، از هزينهها و مشكلات مربوط به يكپارچهسازي اينگونه برنامهها با برنامههاي موجود گرفته تا جبههگيري و مقاومت سازمانها كه بر اثر نبود مديريت صحيح در اين زمينه، حالت حادتري به خود ميگيرد. تمركز سازمانها برای رعايت حداقل اصول امنيتي نيز بسيار آزاردهنده است. رمزنگاري زيرمجموعهاي از داده ميتواند راهگشا باشد، زيرا بهعنوان مثال، در صورت نفوذ و دسترسي ناخواسته به داده شركتها مجبور نيستند مشتريان خود را از اين موضوع مطلع كنند، اما رعايت حداقلها به منظور سازگاري به معناي برقراري كامل امنيت نيست. مسلماً حتي اگر افراد حرفهاي و فعال در زمينه IT بخواهند از ابزارهاي رمزنگاري بيشتر از آنچه كه مرسوم است استفاده كنند، با مقاومت و مخالفت سايرين روبه رو ميشوند. يكي از پاسخدهندگان ميگويد: «كارمندان واحد IT ما در حال بررسي براي بيشتركردن مواردي هستند كه در آنها از رمزنگاري استفاده ميشود. اما واقعيت آن است كه كاربران بيشتر علاقهمند هستند سريع و آسان به دادههاي خود دسترسی پیدا کنند و به امنيت دادهها کمتر فكر ميكنند. اين ايده كه دادههاي روي حافظههاي فلش يا لپتاپها حتماً به صورت رمزنگاريشده باشد، هيچگاه به ذهن بسياري از كارمندان ما خطور نميكند و از رؤسا گرفته تا كارمندان ساده با اين مسئله به دشواری كنار خواهند آمد.»
ما اين مسئله را جبههگيري هميشگي ميناميم، زيرا مشكل تازهاي به شمار نميآيد و تحقيقي كه در سال 2007 انجام شد، نشان داده كه فقط شانزده درصد از شركتهاي امريكايي به مسئله رمزنگاري، نگاه جامع و فراگير دارند. در آن زمان ماهنامه نتورک کامپيوتينگ موضوع رمزنگاري سازمانيافته را موردبررسي قرار داد و متوجه شد كه فرآيند پذيرش اين مسئله به صورت كند و تدريجي عملي ميشود و بهطور معمول در اولين مرحله، نوارهاي تهيه نسخه پشتيبان رمزنگاري شده و اين مسئله از آنجا به ساير دادههاي سازمان تسري پيدا ميكند. در حال حاضر، رويكرد حركت تدريجي به سمت استفاده از رمزنگاري معمولترين حالت است و ما هنوز در ابتداي راه هستيم. اين كندي در حركت در حالي مشاهده ميشود كه سازمانهاي وضعكننده قوانين امنيتي نظير PCI در حال تعيين ضربالعجل براي پيادهسازي اصول جديدي هستند كه لازمه عملي شدن آنها پيادهسازي رمزنگاري دادههاي كارتهاي اعتباري هنگام انتقال آنها بر بستر ارتباطي است.
ضريب قابليت تعامل و ارتباط بين سيستمها
يكي از مشكلات عمده اين است كه تلاشها براي ايجاد استانداردها در زمينههايي كه داشتن استاندارد ضرورت زيادي دارد، به کمترين نتايج مورد نياز هم نرسيدهاند. يعني در زمينه تعامل بين سيستمها كه مديريت رمزنگاري را آسانتر و كمهزينهتر ميكند، پيشرفت كمي شاهد بوديم. ما انتظار نداريم كه اين شرايط به اين زوديها تغيير كند.
هنگامی كه از متخصصان IT پرسيديم، چه فاكتورهايي ميتواند استفاده از رمزنگاري را افزايش دهد، جوابهاي مختلفي را دریافت کردیم. از جمله اين موارد ميتوان به افزودن امكاناتي در سطح سيستمعامل براي ايجاد فايلها و پوشههاي رمزنگاريشده (كاري كه مايكروسافت بر آن متمركز شده و بيشتر درباره آن صحبت خواهيم كرد) و استفاده آسانتر و راحتتر و كارايي بيشتر، هزينه كمتر و مديريت قويتر اشاره كرد. تعداد كمي نيز اميدوارند تا قوانين محكمتر در اين زمينه وضع شود يا نفوذ و افشاي اطلاعات بتواند شرايطي ايجاد كند كه بتوانند از آن به عنوان اهرمي براي اخطار به مشتريان و تشويق آنها به سرمايهگذاري و تصميمگيري در سطح مديران استفاده كنند.
مدير بخش شبكه يك مؤسسه آموزشي ميگويد: «من فكر ميكنم تمايل و علاقهمندي مهمترين عاملي است كه ميتواند در اين زمينه تأثيرگذار باشد. آنچه ما نياز داريم، افشای اطلاعات و در معرض خطر قرار گرفتن دادههاي محرمانه است تا مردم به خوبي از خطري كه دادههاي آنها را تهديد ميكند، آگاه شوند.»
جوابي كه ما دوست داريم بشنويم اين است: «تمايل دارم تا از روشهاي مقابله با سرقت اطلاعات آگاه شوم تا بتوانم از آنها استفاده كنم.»
رفتار غالب و روش اكثريت شركتها در اين زمينه مطابق بر قوانين اجباري سازماني نظير PCI خواهد بود و تصميمات اين سازمانها براي مدتهاي طولاني مبناي اصلي براي ميزان استفاده از رمزنگاري خواهد بود. در حال حاضر،در ايالات متحده 44 ايالت قوانيني را براي مقابله با دسترسي ناخواسته به دادهها وضع كردهاند و بسياري از آنها اساساً ميخواهند شرايطي را فراهم كنند كه اگر يك نوار Backup از شما سرقت شد، حتماً دادههاي روي آن نوار به صورت رمزنگاريشده باشد تا مجبور نشويد كه مشتريان خود را از به سرقت رفتن اطلاعات آنها آگاه كنيد. شركتهايي كه مكانيزمهاي رمزنگاري را پيادهسازي كنند، ميتوانند هنگام به سرقت رفتن دادهها در هزینههاي اطلاعرساني ميليونها دلار صرفهجويي كنند و اين مسئله بدون در نظرگرفتن هزينههاي غيرقابلمحاسبهاي است كه به واسطه از دست رفتن مشتريان و كاهش اعتماد آنها و حسناعتماد آنها به سازمان شما تحميل خواهد شد.
اين همان چيزي است كه از آن به عنوان ROI (سرنام Return On Investment) يا نرخبازگشت سرمايهگذاري ياد ميشود. البته، نميخواهيم بگوييم كه رعايت حداقل خواستههاي قانوني بيفايده است و ميدانيم كه رعايت همين حداقلها براي بعضي از مديران IT، امكان مقابله با ريسكهاي مرتبط با پروژههاي پيشرو را فراهم كردهاست. اما تجربه ما نشان ميدهد، پذيرفتن و شروع يك فرآيند فراگير و پيچيده نظير پيادهسازي مكانيزمهاي رمزنگاري در سطح سازمان براي رعايت قوانين اجباري، بهطور معمول به فرآيندي منجر ميشود كه درنهايت با برنامهريزي ضعيف و هزينههايي زياد همراه شده و كاهش خطرات و ريسكهاي ناشي از پيادهسازي آن نيز ناچيز خواهد بود.
بهعنوان جنبههاي مثبت آمارها ميگويند كه فقط 28 درصد از مصاحبهشوندگان تمايل دارند از مكانيزمهاي رمزنگاري بيش از حداقل مقداري كه قانوناً ملزم به رعايت آنها هستند، استفاده كنند. البته، اين مقدار نيز خوب است، زيرا بههرحال رمزنگاري در همه شرايط راهحل نهايي نيست. در برخي موارد، بعضي از قسمتهاي برنامه رمزنگاري شده بايد به دادههاي رمزنگاري نشده دست يابند و اگر برنامهها به اين شكل به دادهها دسترسي داشتهباشند، بنابراين نفوذگران هم ميتوانند به اين دادهها دسترسي داشتهباشند.
زمان استفاده از Token فرا رسيده است
از سال 2007 تاكنون، بزرگترين تغييري كه در عرصه رمزنگاري رخ داده، رواج استفاده از Token است. اين تكنيك توانسته بعضي از خطرات مرتبط با رمزنگاري را برطرف كند. در يك توضيح ساده، استفاده از توكن يعني استفاده از سرويسي كه به واسطه آن، سيستم دادههاي حساس خود را نظير شمارههاي كارتاعتباري در دستگاهي قرار ميدهد و يك نماد يكبار مصرف نظير يك شماره 64 رقمي دريافت ميكند. سپس اين عدد هر زمان كه از شماره كارتهاي اعتباري خود استفاده كنيد، در برنامهها و همچنين پايگاهداده، استفاده خواهند شد. كاملاً مشخص است كه اين تنظيمات چگونه از خطرات موجود ميكاهد، اگر دادهها در معرض افشا قرار گيرد، نفوذگر براي تبديل شماره 64 رقمي به شماره كارت اعتباري هيچ ابزاري در اختيار ندارد.
شركـتهـا ميتوانـنــد نــرمافــزارها و سختافزارهاي مرتبط با توليد توكن را خريداري كرده يا از خدمات شركتهاي ديگر استفاده كنند. حتي ما با گروههاي نرمافزاري مواجه بوديم كه خودشان تكنيكهاي استفاده از توكن را پيادهسازي كردهاند، اما اين كار را به كسي پيشنهاد نميكنيم. مسئله اين است كه زيرساخت مورد استفاده براي پيادهسازي توكن چه در سازمان راهاندازي شود و چه از خارج سازمان تأمين شود، از بسياري جهات امنيت بالايي ايجاد ميكند. زيرا در عمل شما ريسك افشا شدن داده را از پايگاهداده و برنامههاي خود دور كرده و آنرا به سرورهايي وابسته ميكنيد كه فرآيند نگاشت داده به توكن در آن سرورها انجام ميشود. اگر سيستم پيادهسازي توكن از تمام زيرساختار شما امنتر باشد در اين صورت، شما خطر افشاي داده را كاهش داده، اما از طرفي اصل معروف «قرار ندادن همه تخممرغها در يك سبد» را نقض كردهايد. هر چه بيشتر از توكن استفاده كنيد، دادههاي حساس شما بيشتر در يك نقطه متمركز خواهند شد.
رئيس واحد اجرايي يك مؤسسه غيرانتفاعي ميگويد: «بعضي از سيستمهاي مورد استفاده ما براي آن طراحي شده که كليدها را بدون هرگونه احتمال بازيابي منهدم كند. براي اين سيستمها كه معمولاً اطلاعات هويتي و شناسايي افراد را در بردارند، امكان بازيابي كليد خيلي اهميت ندارد و در بعضي موارد مهمترين مسئله اين است كه هيچ كس به دادهها دسترسي نداشتهباشد.»
اين مسئله گاهي به كابوس مديران ارشد اجرايي تبديل ميشود. براي درك سير تكاملي كه در زمينه مديريت كليدها رخدادهاست، درحقيقت، اين يك مشكل اساسي است که براي آغاز بررسي و يافتن راهحل براي آن خيلي دير نشده است. بيش از نيمي از پرسششوندگان از ابزارهاي مديريت كليد در سيستمهاي رمزنگاري استفاده ميكنند و فقط 39 درصد از آنها كليدهاي رمزنگاري را خودشان نگهداري و مديريت ميكنند.
بيشتر آنها از قابليتهاي مديريت كليد مختص به هر محصول رمزنگاري استفاده ميكنند. اما بيشتر شركتها بسيار تمايل دارند براي مديريت كليدها، فقط از يك سيستم استاندارد و تخصصي استفاده كنند. البته، اين روشي است كه بايد در پيش گرفتهشود و بسياري از محققان با آن موافق هستند. تجربههاي ما نيز نياز به وجود چنين ابزاري را تأييد ميكند. اين مدل با نام «پلتفرم رمزنگاري» شناختهميشود كه در آن يك برنامه منفرد و مركزي بايد انواع مختلفي از كليدهاي رمزنگاري را (براي ديسكها، ابزارهاي نگهداري نسخههاي پشتيبان و پايگاهداده) نگهداري كند.
مهمترين مشوق براي رسيدن به اين پلتفرم مشترك، كاهش هزينههاي عملياتي و افزايش كارايي است و اين دو مورد مهمترين موانع پذيرش و استفاده از روشهاي رمزنگاري هستند. شركتهاي مطرح در اين زمينه از جمله PGP و sophos ميگويند: «محصولات آنها به سرعت به فروش ميرود.» شايد اين مسئله درست باشد، اما به علت آنكه هزينه اين پلتفرمها زياد است. درنتيجه، در متقاعدكردن مديران فناوري اطلاعات هميشه اين مسئله گوشزد ميشود كه استفاده از محصولات يك شركت و در نتيجه استفاده از يك ابزار مديريتي براي تمام تكنيكهاي رمزنگاري آنها هزينهها را كاهش ميدهد.
درحالحاضر، بايد به دنبال اصلاح اين مدل باشيم به اين معني كه بايد عبارت «پلتفرم» را با عبارت سادهتري جايگزين كنيم. وقتي كه شما از يك ارائهدهنده سرويس رمزنگاري ايميل استفاده ميكنيد و اين شركت امكاني را براي رمزنگاري نسخههاي پشتيبان نيز ارائه ميدهد، در اين صورت ميتوانيد آن گزينه را با كمي هزينه بيشتر در اختيار داشتهباشيد. وقتي كه فايلهاي پشتيبان را نيز رمزنگاري كنيد از بعد تكنيكي شما براي رمزنگاري ايميلها و فايلهاي پشتيبان از يك تكنيك استفاده كردهايد. البته، در روش فكري ما اين مسئله بيشتر شبيه استفاه از روش يك ارائهدهنده خاص است و نميتوان به جاي عبارت روش از عبارت پلتفرم استفاده كرد. براي آنكه بتوان از نام پلتفرم استفاده كرد، بايد مكانيزم خاصي وجود داشتهباشد كه توسط چندين ارائهدهنده اين گونه خدمات پشتيباني شود، نظير آنچه كه توسط Thales ارائه ميشود. اين تفاوت بيشتر جنبه تعريفي و دانشگاهي دارد، زيرا هيچ يك از پلتفرمهاي مديريت كليد نتوانستهاند بازار را به طور كامل در اختيار گيرند و اين مسئله بيش از هر چيز به علت هزينههاي مرتبط است. قيمت اين سيستمها از چهل هزار دلار براي مدير كليد آغاز ميشود و شما همچنان نياز داريد همه محصولات مرتبط و مجوزهاي آنها را به صورت جداگانه خريداري کنيد. ما با پروژههاي سازماني مواجه شديم كه به سرعت رشدكرده و هزينه آنها به صدها هزار دلار رسيدهاست. با توجه به اين مسئله نميتوان گروههاي IT را براي دنبالنكردن يك راهكار مشترك سرزنش كرد. استفاده از قابليتهاي انحصاري در برنامه مديريت كليد مربوط به هر يك از برنامههاي رمزنگاري، تنها راهحلي بود كه در سال 2007 قابل تصور بود و در طول چند سال گذشته، يكپارچهسازي صنعت رمزنگاري و رشد مداوم آن محيطي را ايجاد كردهاست كه در آن بيشتر ارائهدهندگان ابزارهاي رمزنگاري، چندين ابزار را در قالب يك بسته ارائه ميدهند. سرمايهگذاري در اين زمينه با حساسيت زيادي همراه است، در نتيجه هميشه اولين رويكرد و ابزار بومي مورد استفاده براي مديريت رمزنگاري به تدريج به روش اصلي سازمانها و پلتفرم يكپارچه مورد استفاده آنها تبديل ميشود. اما به اعتقاد ما كه يك پلتفرم مورد پشتيباني چندين شركت به زودي روانه بازار خواهد شد. براي آنكه اين روش در زمان مناسب به يك رويكرد واقعگرايانه و عملي تبديل شود، شركتهاي ارائهدهنده اين ابزارها بايد از رقابت با يكديگر خودداري كرده و به فكر پيادهسازي عملي يك استاندارد فراگير باشند. براي اين كار ميتوان از ميان گزينههاي موجود يكي را انتخاب كرد. بهعنوان مثال، Oasis پروتكل مشتركي را براي مديريت كليد با نام KIMP پيشنهاده كردهاست. IEEE نيز استاندارد P1619 را به اين موضوع اختصاص داده كه خود نقطه عطفي در اين زمينه به شمار ميرود، اگرچه اين مورد فقط ابزارها و رسانههاي ذخيرهسازي را شامل ميشود. يكي از اين استانداردها با شماره P1619.3 شامل جزئيات مربوط به مديريت كليد است، اما اين استاندارد بيشتر شبيه يك دورنما و كليگويي است. P1619.3 و KMIP اساساً كار يكساني انجام ميدهند.
مشكل ديگر آن است كه تعداد كمي از شركتهاي ارائهدهنده ابزارهاي رمزنگاري تجربه مديريت كليدهاي ارائه شده توسط توليدكنندگان مختلف را دارند، اما افراد زيادي وجود دارند كه به پيادهسازي اين استانداردها تمايل دارند. ما پيشرفتهاي آتي در اين زمينه را تحت نظر خواهيم داشت.
همه راهها به ردموند ختم ميشود
همه از هزينههاي رمزنگاري شكايت دارند و شركتها نيز به ايجاد تعامل بين استانداردهاي خود و فراهم كردن استاندارد مشترك تمايلي ندارند. بنابراين، چقدر احتمال دارد كه متخصصان رمزنگاري در حال همفكري روي جزئيات لازم براي پيادهسازي محصولات كمهزينه و قابل استفاده نيز باشند؟ چه چيزي ميتواند مانع عملي شدن اين ايده شود؟ براي پاسخ به اين سؤالها دوباره به سال 2007 بازميگرديم. مشكلات تكنيكي براي عمليكردن اين ايده برطرف شده، اما موانع مربوط به تصميمگيريها و سياستگذاريها هنوز پابرجا است. بهعنوان مثال، بسياري از محصولات مديريت و شناسايي هويت امكان ميدهند كه تأييدنامهها و رمزها نيز در كنار اطلاعات هويتي ذخيره شود. بنابراين، به جاي مطرح کردن اين سؤال که «رمزهاي لپتاپها را كجا نگهداري كنيم؟» بايد از خود بپرسيم: «چگونه فرآيند انقضا و ايجاد رمز جديد را براي لپتاپها مديريت كنيم؟» مسئلهاي كه تغيير نكرده اين است كه هنوز يك مركز نگهداري كليد وجود دارد كه به راحتي ميتوان آنرا مديريت و بهروزرساني كرد و در صورت لزوم از آن گزارش تهيه كرد و اين همان چيزي است كه به مايكروسافت فرصت ميدهد تا به شركت اصلي ارائهدهنده سرويسهاي رمزنگاري تبديل شود. اين شركت از طريق ارائه Active Directory موقعيت خاصي را در مديريت متمركز سيستمها به دست آورده است و مايكروسافت در هر نسخه از سيستمعامل گزينههاي جديدي را به آن اضافه ميكند كه ميتوان آنها را از طريق قسمت Group Policy Objects در Active Directory مديريتكرد.
اگرچه بعضيها فكر ميكنند AD بهترين سرويسي نيست كه براي كسبوكارهاي مختلف ارائه شدهاست، اما اين سرويس بيشترين كاربرد را دارد و بسياري از متخصصان IT ميدانند كه چگونه ميتوان از Group Policy استفاده كرد. همه سرويسهاي رمزنگاري در سمت كلاينت كه توسط مايكروسافت ارائه ميشود نظير BitLocker، BitLockerToGo و DirectAccess امكاناتي را براي مديريت متمركز از طريق Active Directory ارائه ميدهند. آخرين بستههاي بهروزرساني براي ويندوز 2008 و ويندوز7، تنظيمات اضافي براي مديران فراهم ميآورد تا بتوانند تنظيمات جديدي را از طريق Group Policy اعمال كنند.
اما معايب استفاده از فناوريهاي رمزنگاري مايكروسافت چيست؟ تجربه داخلي درباره طول كليد، اندازه حافظه Cache و گزينههاي مرتبط با بازيابي داده و تجربه در ساير موارد از جمله نيازهاي مايكروسافت است. اگر شما مسئول پشتيباني از سيستمعامل لينوكس يا مك باشيد، نميتوانيد اين فناوريها را به طور گسترده در سطح سازمان پيادهسازي كنيد. اما كاربران ويندوز ميتوانند رمزنگاري ديسكهاي قابلحمل، رمزنگاري دادههاي تجهيزات قابلحمل، رمزنگاري ايميلها، رمزنگاري فايلها و پوشهها و رمزنگاري پايگاهداده را در اختيار داشتهباشند. شما نميتوانيد قيمتي رقابتيتر از اين براي جايگزيني محصولات مايكروسافت داشتهباشيد. برنامه TrueCrypt يك ابزار رايگان براي رمزنگاري كامل ديسك و سيستمفايلي است که از بيشتر برنامههاي تجاري، سريعتر عمل ميكند. در حالي كه جامعه اپنسورس در حال توسعه اين برنامه و ساير برنامهها براي مديريت كليدها است (يك ويژگي مهم كه در TrueCrypt وجود ندارد، اما به طور جداگانه توسط مايكروسافت عرضه ميشود)، ما انتظار داريم كه بسياري از فناوريهاي رمزنگاري به مرحله عملياتي برسند و ايجاد يك استاندارد مشترك براي رمزنگاري باعث قدرت و اهميت بيشتر جامعه اپنسورس خواهد شد.
توجه داشتهباشيد كه اين مسئله به معناي شکست شرکتهاي تجاري نيست. درنهايت، برنده ميدان كسي است كه بهترين رابط كاربري و مديريتي را ارائه كند و فناوريهاي اپنسورس در مقايسه با رقباي تجاري خود معمولاً در زمينه ارائه ابزارهاي مديريتي ساده، عملكرد ضعيفتري دارند. هنوز هم هيچ چيز مثل رقابت نميتواند باعث پيشرفت سريع فناوريها شود.
برنامههاي آتي و تصميمها
بعد از تحليل نتايج تحقيقات خود و گفتوگو با تعدادي از مديران ارشد امنيت اطلاعات به اين نتيجه رسيديم كه استفاده از رمزنگاري فقط به اندازهاي كه استانداردهاي اجباري رعايت شوند، به آن معنا است كه هنوز از اين فناوري به درستي يا با در نظرگرفتن همه ظرفيتهاي آن استفاده نميشود. بهعنوان مثال، برنامههاي اصلي كه سازمانها در آنها از رمزنگاري استفاده ميكنند يا برنامهاي براي استفاده از رمزنگاري در آنها دارند، شامل VPNها، سيستمهاي فايلي و سيستمهاي مديريت ايميل است. مشكل اينجا است كه اين موارد تاحد بسيار کمي از خطرات ميكاهد. رمزنگاري فايلهاي روي سيستم مانع از ارسال داده رمزنشده از طريق ايميل يا كپي داده رمزنشده روي ابزارهاي USB نميشود. همچنين رمزنگاري ايميلها، تنها زماني كار ميكند كه كاربر در سمت ديگر نيز از سيستم رمزنگاري مشابه استفاده كند كه در بيشتر موارد اين موضوع صدق نميکند.
در حالي كه همه ما منتظر ارائه يك استاندارد در اين زمينه هستيم، سازمانها بايد به دنبال رويكردي براي مديريت خطا و پيادهسازي ابزارهاي رمزنگاري براساس نوع داده مديريتشده باشند، نه رسانه ذخيرهسازي يا پايگاهداده مورد استفاده كه اين كار در بسياري از سازمانها انجام نميشود. همچنين شركتهاي ارائه دهنده ابزارهايرمزنگاري نيز بايد تحت فشار قرار گيرند تا امكان سازگاري بين سيستمهاي رمزنگاري و مديريت كليد آنها فراهم شود. متأسفانه اگرچه استانداردها ارائه شدهاند، اما حركت زيادي براي سازگاري با آنها مشاهده نميشود. فقط چهارده درصد از جامعه آماري نام Oasis KMIP را شنيده بودند. اين پروژه در سال 2006 آغاز و امسال به پايان رسيد. شركتهاي Brcade، EMC، HP، IBM، LSI، Seagate و Thales تفاهمنامه پيادهسازي Oasis KMIP را امضا كرده و قولدادهاند كه تا آخر امسال نتايجي را در اين زمينه ارائه دهند.
مشكل اصلي اين است كه از عبارت «نتايج» چه تعبيري ميتوان داشت. واضح است كه شركتهاي ارائهدهنده شركتهاي مطرح بيش از شركتهاي ارائهدهنده ابزارهاي رمزنگاري، علاقهمند به توليد استاندارد با همكاري شركتهاي ارائه رسانههاي ذخيرهسازي هستند. بيشتر افراد حرفهاي در زمينه IT و امنيت اطلاعات اين مسئله را درك كرده و با رويكرد تلاشهاي انجام شده براي سازگاري سيستمها مخالف هستند. شايد فكر كنيد ما بيش از حد شكاك هستيم، اما فكر ميكنيم كه KMIP به اين زوديها تأثير واقعي بر بازار نخواهد داشت. در حال حاضر، اين به ما بستگي دارد كه بخواهيم و اراده كنيم تا چيزي فراتر از قوانين اجباري رمزنگاري را پيادهسازي كنيم.
منبع:http://www.shabakeh-mag.com
ارسال توسط کاربر محترم سایت : hasantaleb
ادامه دارد...
هنگام بررسي وضعيت استفاده از فناوريهاي رمزنگاري اگر فقط وضعيت شركتهاي مطرح را بررسي كنيم، اين احساس ايجاد ميشود كه در نگهداري دادهها تا حد ممكن اصول امنيتي رعايت ميشود. 86 درصد از كارمندان حرفهاي در 466 شركت كه در زمينه فناوريهاي كسبوكار مشغول هستند، در پاسخ به بررسي تحليلي ماهنامه اینفورمیشن ویک گفتند، آنها به صورتهاي مختلف از فناوريهاي رمزنگاري استفاده ميكنند. اما اين تحقيقات داستان واقعي را آشكار نميكند. تنها چهارده درصد از پاسخدهندگان گفتند كه از فناوريهاي رمزنگاري به صورت جامع و فراگير در همه فعاليتهاي سازماني استفاده ميشود. رمزنگاري پايگاهداده در سطح جدولها فقط توسط 26 درصد از كاربران استفاده ميشود و فقط 38 درصد شركتها دادههاي نگهداري شده روي تجهيزات قابلحمل را رمزنگاري کردهاند. 31 درصد آنها نيز فكر ميكنند همين مقدار استفاده از فناوريهاي رمزنگاري كافي است تا انتظارات قانوني را درباره اصول امنيتي رعايت كردهباشند. اين وضعيت ناخوشايند موارد مختلفي را شامل ميشود، از هزينهها و مشكلات مربوط به يكپارچهسازي اينگونه برنامهها با برنامههاي موجود گرفته تا جبههگيري و مقاومت سازمانها كه بر اثر نبود مديريت صحيح در اين زمينه، حالت حادتري به خود ميگيرد. تمركز سازمانها برای رعايت حداقل اصول امنيتي نيز بسيار آزاردهنده است. رمزنگاري زيرمجموعهاي از داده ميتواند راهگشا باشد، زيرا بهعنوان مثال، در صورت نفوذ و دسترسي ناخواسته به داده شركتها مجبور نيستند مشتريان خود را از اين موضوع مطلع كنند، اما رعايت حداقلها به منظور سازگاري به معناي برقراري كامل امنيت نيست. مسلماً حتي اگر افراد حرفهاي و فعال در زمينه IT بخواهند از ابزارهاي رمزنگاري بيشتر از آنچه كه مرسوم است استفاده كنند، با مقاومت و مخالفت سايرين روبه رو ميشوند. يكي از پاسخدهندگان ميگويد: «كارمندان واحد IT ما در حال بررسي براي بيشتركردن مواردي هستند كه در آنها از رمزنگاري استفاده ميشود. اما واقعيت آن است كه كاربران بيشتر علاقهمند هستند سريع و آسان به دادههاي خود دسترسی پیدا کنند و به امنيت دادهها کمتر فكر ميكنند. اين ايده كه دادههاي روي حافظههاي فلش يا لپتاپها حتماً به صورت رمزنگاريشده باشد، هيچگاه به ذهن بسياري از كارمندان ما خطور نميكند و از رؤسا گرفته تا كارمندان ساده با اين مسئله به دشواری كنار خواهند آمد.»
ما اين مسئله را جبههگيري هميشگي ميناميم، زيرا مشكل تازهاي به شمار نميآيد و تحقيقي كه در سال 2007 انجام شد، نشان داده كه فقط شانزده درصد از شركتهاي امريكايي به مسئله رمزنگاري، نگاه جامع و فراگير دارند. در آن زمان ماهنامه نتورک کامپيوتينگ موضوع رمزنگاري سازمانيافته را موردبررسي قرار داد و متوجه شد كه فرآيند پذيرش اين مسئله به صورت كند و تدريجي عملي ميشود و بهطور معمول در اولين مرحله، نوارهاي تهيه نسخه پشتيبان رمزنگاري شده و اين مسئله از آنجا به ساير دادههاي سازمان تسري پيدا ميكند. در حال حاضر، رويكرد حركت تدريجي به سمت استفاده از رمزنگاري معمولترين حالت است و ما هنوز در ابتداي راه هستيم. اين كندي در حركت در حالي مشاهده ميشود كه سازمانهاي وضعكننده قوانين امنيتي نظير PCI در حال تعيين ضربالعجل براي پيادهسازي اصول جديدي هستند كه لازمه عملي شدن آنها پيادهسازي رمزنگاري دادههاي كارتهاي اعتباري هنگام انتقال آنها بر بستر ارتباطي است.
ضريب قابليت تعامل و ارتباط بين سيستمها
يكي از مشكلات عمده اين است كه تلاشها براي ايجاد استانداردها در زمينههايي كه داشتن استاندارد ضرورت زيادي دارد، به کمترين نتايج مورد نياز هم نرسيدهاند. يعني در زمينه تعامل بين سيستمها كه مديريت رمزنگاري را آسانتر و كمهزينهتر ميكند، پيشرفت كمي شاهد بوديم. ما انتظار نداريم كه اين شرايط به اين زوديها تغيير كند.
هنگامی كه از متخصصان IT پرسيديم، چه فاكتورهايي ميتواند استفاده از رمزنگاري را افزايش دهد، جوابهاي مختلفي را دریافت کردیم. از جمله اين موارد ميتوان به افزودن امكاناتي در سطح سيستمعامل براي ايجاد فايلها و پوشههاي رمزنگاريشده (كاري كه مايكروسافت بر آن متمركز شده و بيشتر درباره آن صحبت خواهيم كرد) و استفاده آسانتر و راحتتر و كارايي بيشتر، هزينه كمتر و مديريت قويتر اشاره كرد. تعداد كمي نيز اميدوارند تا قوانين محكمتر در اين زمينه وضع شود يا نفوذ و افشاي اطلاعات بتواند شرايطي ايجاد كند كه بتوانند از آن به عنوان اهرمي براي اخطار به مشتريان و تشويق آنها به سرمايهگذاري و تصميمگيري در سطح مديران استفاده كنند.
مدير بخش شبكه يك مؤسسه آموزشي ميگويد: «من فكر ميكنم تمايل و علاقهمندي مهمترين عاملي است كه ميتواند در اين زمينه تأثيرگذار باشد. آنچه ما نياز داريم، افشای اطلاعات و در معرض خطر قرار گرفتن دادههاي محرمانه است تا مردم به خوبي از خطري كه دادههاي آنها را تهديد ميكند، آگاه شوند.»
جوابي كه ما دوست داريم بشنويم اين است: «تمايل دارم تا از روشهاي مقابله با سرقت اطلاعات آگاه شوم تا بتوانم از آنها استفاده كنم.»
رفتار غالب و روش اكثريت شركتها در اين زمينه مطابق بر قوانين اجباري سازماني نظير PCI خواهد بود و تصميمات اين سازمانها براي مدتهاي طولاني مبناي اصلي براي ميزان استفاده از رمزنگاري خواهد بود. در حال حاضر،در ايالات متحده 44 ايالت قوانيني را براي مقابله با دسترسي ناخواسته به دادهها وضع كردهاند و بسياري از آنها اساساً ميخواهند شرايطي را فراهم كنند كه اگر يك نوار Backup از شما سرقت شد، حتماً دادههاي روي آن نوار به صورت رمزنگاريشده باشد تا مجبور نشويد كه مشتريان خود را از به سرقت رفتن اطلاعات آنها آگاه كنيد. شركتهايي كه مكانيزمهاي رمزنگاري را پيادهسازي كنند، ميتوانند هنگام به سرقت رفتن دادهها در هزینههاي اطلاعرساني ميليونها دلار صرفهجويي كنند و اين مسئله بدون در نظرگرفتن هزينههاي غيرقابلمحاسبهاي است كه به واسطه از دست رفتن مشتريان و كاهش اعتماد آنها و حسناعتماد آنها به سازمان شما تحميل خواهد شد.
اين همان چيزي است كه از آن به عنوان ROI (سرنام Return On Investment) يا نرخبازگشت سرمايهگذاري ياد ميشود. البته، نميخواهيم بگوييم كه رعايت حداقل خواستههاي قانوني بيفايده است و ميدانيم كه رعايت همين حداقلها براي بعضي از مديران IT، امكان مقابله با ريسكهاي مرتبط با پروژههاي پيشرو را فراهم كردهاست. اما تجربه ما نشان ميدهد، پذيرفتن و شروع يك فرآيند فراگير و پيچيده نظير پيادهسازي مكانيزمهاي رمزنگاري در سطح سازمان براي رعايت قوانين اجباري، بهطور معمول به فرآيندي منجر ميشود كه درنهايت با برنامهريزي ضعيف و هزينههايي زياد همراه شده و كاهش خطرات و ريسكهاي ناشي از پيادهسازي آن نيز ناچيز خواهد بود.
بهعنوان جنبههاي مثبت آمارها ميگويند كه فقط 28 درصد از مصاحبهشوندگان تمايل دارند از مكانيزمهاي رمزنگاري بيش از حداقل مقداري كه قانوناً ملزم به رعايت آنها هستند، استفاده كنند. البته، اين مقدار نيز خوب است، زيرا بههرحال رمزنگاري در همه شرايط راهحل نهايي نيست. در برخي موارد، بعضي از قسمتهاي برنامه رمزنگاري شده بايد به دادههاي رمزنگاري نشده دست يابند و اگر برنامهها به اين شكل به دادهها دسترسي داشتهباشند، بنابراين نفوذگران هم ميتوانند به اين دادهها دسترسي داشتهباشند.
زمان استفاده از Token فرا رسيده است
از سال 2007 تاكنون، بزرگترين تغييري كه در عرصه رمزنگاري رخ داده، رواج استفاده از Token است. اين تكنيك توانسته بعضي از خطرات مرتبط با رمزنگاري را برطرف كند. در يك توضيح ساده، استفاده از توكن يعني استفاده از سرويسي كه به واسطه آن، سيستم دادههاي حساس خود را نظير شمارههاي كارتاعتباري در دستگاهي قرار ميدهد و يك نماد يكبار مصرف نظير يك شماره 64 رقمي دريافت ميكند. سپس اين عدد هر زمان كه از شماره كارتهاي اعتباري خود استفاده كنيد، در برنامهها و همچنين پايگاهداده، استفاده خواهند شد. كاملاً مشخص است كه اين تنظيمات چگونه از خطرات موجود ميكاهد، اگر دادهها در معرض افشا قرار گيرد، نفوذگر براي تبديل شماره 64 رقمي به شماره كارت اعتباري هيچ ابزاري در اختيار ندارد.
شركـتهـا ميتوانـنــد نــرمافــزارها و سختافزارهاي مرتبط با توليد توكن را خريداري كرده يا از خدمات شركتهاي ديگر استفاده كنند. حتي ما با گروههاي نرمافزاري مواجه بوديم كه خودشان تكنيكهاي استفاده از توكن را پيادهسازي كردهاند، اما اين كار را به كسي پيشنهاد نميكنيم. مسئله اين است كه زيرساخت مورد استفاده براي پيادهسازي توكن چه در سازمان راهاندازي شود و چه از خارج سازمان تأمين شود، از بسياري جهات امنيت بالايي ايجاد ميكند. زيرا در عمل شما ريسك افشا شدن داده را از پايگاهداده و برنامههاي خود دور كرده و آنرا به سرورهايي وابسته ميكنيد كه فرآيند نگاشت داده به توكن در آن سرورها انجام ميشود. اگر سيستم پيادهسازي توكن از تمام زيرساختار شما امنتر باشد در اين صورت، شما خطر افشاي داده را كاهش داده، اما از طرفي اصل معروف «قرار ندادن همه تخممرغها در يك سبد» را نقض كردهايد. هر چه بيشتر از توكن استفاده كنيد، دادههاي حساس شما بيشتر در يك نقطه متمركز خواهند شد.
رئيس واحد اجرايي يك مؤسسه غيرانتفاعي ميگويد: «بعضي از سيستمهاي مورد استفاده ما براي آن طراحي شده که كليدها را بدون هرگونه احتمال بازيابي منهدم كند. براي اين سيستمها كه معمولاً اطلاعات هويتي و شناسايي افراد را در بردارند، امكان بازيابي كليد خيلي اهميت ندارد و در بعضي موارد مهمترين مسئله اين است كه هيچ كس به دادهها دسترسي نداشتهباشد.»
اين مسئله گاهي به كابوس مديران ارشد اجرايي تبديل ميشود. براي درك سير تكاملي كه در زمينه مديريت كليدها رخدادهاست، درحقيقت، اين يك مشكل اساسي است که براي آغاز بررسي و يافتن راهحل براي آن خيلي دير نشده است. بيش از نيمي از پرسششوندگان از ابزارهاي مديريت كليد در سيستمهاي رمزنگاري استفاده ميكنند و فقط 39 درصد از آنها كليدهاي رمزنگاري را خودشان نگهداري و مديريت ميكنند.
بيشتر آنها از قابليتهاي مديريت كليد مختص به هر محصول رمزنگاري استفاده ميكنند. اما بيشتر شركتها بسيار تمايل دارند براي مديريت كليدها، فقط از يك سيستم استاندارد و تخصصي استفاده كنند. البته، اين روشي است كه بايد در پيش گرفتهشود و بسياري از محققان با آن موافق هستند. تجربههاي ما نيز نياز به وجود چنين ابزاري را تأييد ميكند. اين مدل با نام «پلتفرم رمزنگاري» شناختهميشود كه در آن يك برنامه منفرد و مركزي بايد انواع مختلفي از كليدهاي رمزنگاري را (براي ديسكها، ابزارهاي نگهداري نسخههاي پشتيبان و پايگاهداده) نگهداري كند.
مهمترين مشوق براي رسيدن به اين پلتفرم مشترك، كاهش هزينههاي عملياتي و افزايش كارايي است و اين دو مورد مهمترين موانع پذيرش و استفاده از روشهاي رمزنگاري هستند. شركتهاي مطرح در اين زمينه از جمله PGP و sophos ميگويند: «محصولات آنها به سرعت به فروش ميرود.» شايد اين مسئله درست باشد، اما به علت آنكه هزينه اين پلتفرمها زياد است. درنتيجه، در متقاعدكردن مديران فناوري اطلاعات هميشه اين مسئله گوشزد ميشود كه استفاده از محصولات يك شركت و در نتيجه استفاده از يك ابزار مديريتي براي تمام تكنيكهاي رمزنگاري آنها هزينهها را كاهش ميدهد.
درحالحاضر، بايد به دنبال اصلاح اين مدل باشيم به اين معني كه بايد عبارت «پلتفرم» را با عبارت سادهتري جايگزين كنيم. وقتي كه شما از يك ارائهدهنده سرويس رمزنگاري ايميل استفاده ميكنيد و اين شركت امكاني را براي رمزنگاري نسخههاي پشتيبان نيز ارائه ميدهد، در اين صورت ميتوانيد آن گزينه را با كمي هزينه بيشتر در اختيار داشتهباشيد. وقتي كه فايلهاي پشتيبان را نيز رمزنگاري كنيد از بعد تكنيكي شما براي رمزنگاري ايميلها و فايلهاي پشتيبان از يك تكنيك استفاده كردهايد. البته، در روش فكري ما اين مسئله بيشتر شبيه استفاه از روش يك ارائهدهنده خاص است و نميتوان به جاي عبارت روش از عبارت پلتفرم استفاده كرد. براي آنكه بتوان از نام پلتفرم استفاده كرد، بايد مكانيزم خاصي وجود داشتهباشد كه توسط چندين ارائهدهنده اين گونه خدمات پشتيباني شود، نظير آنچه كه توسط Thales ارائه ميشود. اين تفاوت بيشتر جنبه تعريفي و دانشگاهي دارد، زيرا هيچ يك از پلتفرمهاي مديريت كليد نتوانستهاند بازار را به طور كامل در اختيار گيرند و اين مسئله بيش از هر چيز به علت هزينههاي مرتبط است. قيمت اين سيستمها از چهل هزار دلار براي مدير كليد آغاز ميشود و شما همچنان نياز داريد همه محصولات مرتبط و مجوزهاي آنها را به صورت جداگانه خريداري کنيد. ما با پروژههاي سازماني مواجه شديم كه به سرعت رشدكرده و هزينه آنها به صدها هزار دلار رسيدهاست. با توجه به اين مسئله نميتوان گروههاي IT را براي دنبالنكردن يك راهكار مشترك سرزنش كرد. استفاده از قابليتهاي انحصاري در برنامه مديريت كليد مربوط به هر يك از برنامههاي رمزنگاري، تنها راهحلي بود كه در سال 2007 قابل تصور بود و در طول چند سال گذشته، يكپارچهسازي صنعت رمزنگاري و رشد مداوم آن محيطي را ايجاد كردهاست كه در آن بيشتر ارائهدهندگان ابزارهاي رمزنگاري، چندين ابزار را در قالب يك بسته ارائه ميدهند. سرمايهگذاري در اين زمينه با حساسيت زيادي همراه است، در نتيجه هميشه اولين رويكرد و ابزار بومي مورد استفاده براي مديريت رمزنگاري به تدريج به روش اصلي سازمانها و پلتفرم يكپارچه مورد استفاده آنها تبديل ميشود. اما به اعتقاد ما كه يك پلتفرم مورد پشتيباني چندين شركت به زودي روانه بازار خواهد شد. براي آنكه اين روش در زمان مناسب به يك رويكرد واقعگرايانه و عملي تبديل شود، شركتهاي ارائهدهنده اين ابزارها بايد از رقابت با يكديگر خودداري كرده و به فكر پيادهسازي عملي يك استاندارد فراگير باشند. براي اين كار ميتوان از ميان گزينههاي موجود يكي را انتخاب كرد. بهعنوان مثال، Oasis پروتكل مشتركي را براي مديريت كليد با نام KIMP پيشنهاده كردهاست. IEEE نيز استاندارد P1619 را به اين موضوع اختصاص داده كه خود نقطه عطفي در اين زمينه به شمار ميرود، اگرچه اين مورد فقط ابزارها و رسانههاي ذخيرهسازي را شامل ميشود. يكي از اين استانداردها با شماره P1619.3 شامل جزئيات مربوط به مديريت كليد است، اما اين استاندارد بيشتر شبيه يك دورنما و كليگويي است. P1619.3 و KMIP اساساً كار يكساني انجام ميدهند.
مشكل ديگر آن است كه تعداد كمي از شركتهاي ارائهدهنده ابزارهاي رمزنگاري تجربه مديريت كليدهاي ارائه شده توسط توليدكنندگان مختلف را دارند، اما افراد زيادي وجود دارند كه به پيادهسازي اين استانداردها تمايل دارند. ما پيشرفتهاي آتي در اين زمينه را تحت نظر خواهيم داشت.
همه راهها به ردموند ختم ميشود
همه از هزينههاي رمزنگاري شكايت دارند و شركتها نيز به ايجاد تعامل بين استانداردهاي خود و فراهم كردن استاندارد مشترك تمايلي ندارند. بنابراين، چقدر احتمال دارد كه متخصصان رمزنگاري در حال همفكري روي جزئيات لازم براي پيادهسازي محصولات كمهزينه و قابل استفاده نيز باشند؟ چه چيزي ميتواند مانع عملي شدن اين ايده شود؟ براي پاسخ به اين سؤالها دوباره به سال 2007 بازميگرديم. مشكلات تكنيكي براي عمليكردن اين ايده برطرف شده، اما موانع مربوط به تصميمگيريها و سياستگذاريها هنوز پابرجا است. بهعنوان مثال، بسياري از محصولات مديريت و شناسايي هويت امكان ميدهند كه تأييدنامهها و رمزها نيز در كنار اطلاعات هويتي ذخيره شود. بنابراين، به جاي مطرح کردن اين سؤال که «رمزهاي لپتاپها را كجا نگهداري كنيم؟» بايد از خود بپرسيم: «چگونه فرآيند انقضا و ايجاد رمز جديد را براي لپتاپها مديريت كنيم؟» مسئلهاي كه تغيير نكرده اين است كه هنوز يك مركز نگهداري كليد وجود دارد كه به راحتي ميتوان آنرا مديريت و بهروزرساني كرد و در صورت لزوم از آن گزارش تهيه كرد و اين همان چيزي است كه به مايكروسافت فرصت ميدهد تا به شركت اصلي ارائهدهنده سرويسهاي رمزنگاري تبديل شود. اين شركت از طريق ارائه Active Directory موقعيت خاصي را در مديريت متمركز سيستمها به دست آورده است و مايكروسافت در هر نسخه از سيستمعامل گزينههاي جديدي را به آن اضافه ميكند كه ميتوان آنها را از طريق قسمت Group Policy Objects در Active Directory مديريتكرد.
اگرچه بعضيها فكر ميكنند AD بهترين سرويسي نيست كه براي كسبوكارهاي مختلف ارائه شدهاست، اما اين سرويس بيشترين كاربرد را دارد و بسياري از متخصصان IT ميدانند كه چگونه ميتوان از Group Policy استفاده كرد. همه سرويسهاي رمزنگاري در سمت كلاينت كه توسط مايكروسافت ارائه ميشود نظير BitLocker، BitLockerToGo و DirectAccess امكاناتي را براي مديريت متمركز از طريق Active Directory ارائه ميدهند. آخرين بستههاي بهروزرساني براي ويندوز 2008 و ويندوز7، تنظيمات اضافي براي مديران فراهم ميآورد تا بتوانند تنظيمات جديدي را از طريق Group Policy اعمال كنند.
اما معايب استفاده از فناوريهاي رمزنگاري مايكروسافت چيست؟ تجربه داخلي درباره طول كليد، اندازه حافظه Cache و گزينههاي مرتبط با بازيابي داده و تجربه در ساير موارد از جمله نيازهاي مايكروسافت است. اگر شما مسئول پشتيباني از سيستمعامل لينوكس يا مك باشيد، نميتوانيد اين فناوريها را به طور گسترده در سطح سازمان پيادهسازي كنيد. اما كاربران ويندوز ميتوانند رمزنگاري ديسكهاي قابلحمل، رمزنگاري دادههاي تجهيزات قابلحمل، رمزنگاري ايميلها، رمزنگاري فايلها و پوشهها و رمزنگاري پايگاهداده را در اختيار داشتهباشند. شما نميتوانيد قيمتي رقابتيتر از اين براي جايگزيني محصولات مايكروسافت داشتهباشيد. برنامه TrueCrypt يك ابزار رايگان براي رمزنگاري كامل ديسك و سيستمفايلي است که از بيشتر برنامههاي تجاري، سريعتر عمل ميكند. در حالي كه جامعه اپنسورس در حال توسعه اين برنامه و ساير برنامهها براي مديريت كليدها است (يك ويژگي مهم كه در TrueCrypt وجود ندارد، اما به طور جداگانه توسط مايكروسافت عرضه ميشود)، ما انتظار داريم كه بسياري از فناوريهاي رمزنگاري به مرحله عملياتي برسند و ايجاد يك استاندارد مشترك براي رمزنگاري باعث قدرت و اهميت بيشتر جامعه اپنسورس خواهد شد.
توجه داشتهباشيد كه اين مسئله به معناي شکست شرکتهاي تجاري نيست. درنهايت، برنده ميدان كسي است كه بهترين رابط كاربري و مديريتي را ارائه كند و فناوريهاي اپنسورس در مقايسه با رقباي تجاري خود معمولاً در زمينه ارائه ابزارهاي مديريتي ساده، عملكرد ضعيفتري دارند. هنوز هم هيچ چيز مثل رقابت نميتواند باعث پيشرفت سريع فناوريها شود.
برنامههاي آتي و تصميمها
بعد از تحليل نتايج تحقيقات خود و گفتوگو با تعدادي از مديران ارشد امنيت اطلاعات به اين نتيجه رسيديم كه استفاده از رمزنگاري فقط به اندازهاي كه استانداردهاي اجباري رعايت شوند، به آن معنا است كه هنوز از اين فناوري به درستي يا با در نظرگرفتن همه ظرفيتهاي آن استفاده نميشود. بهعنوان مثال، برنامههاي اصلي كه سازمانها در آنها از رمزنگاري استفاده ميكنند يا برنامهاي براي استفاده از رمزنگاري در آنها دارند، شامل VPNها، سيستمهاي فايلي و سيستمهاي مديريت ايميل است. مشكل اينجا است كه اين موارد تاحد بسيار کمي از خطرات ميكاهد. رمزنگاري فايلهاي روي سيستم مانع از ارسال داده رمزنشده از طريق ايميل يا كپي داده رمزنشده روي ابزارهاي USB نميشود. همچنين رمزنگاري ايميلها، تنها زماني كار ميكند كه كاربر در سمت ديگر نيز از سيستم رمزنگاري مشابه استفاده كند كه در بيشتر موارد اين موضوع صدق نميکند.
در حالي كه همه ما منتظر ارائه يك استاندارد در اين زمينه هستيم، سازمانها بايد به دنبال رويكردي براي مديريت خطا و پيادهسازي ابزارهاي رمزنگاري براساس نوع داده مديريتشده باشند، نه رسانه ذخيرهسازي يا پايگاهداده مورد استفاده كه اين كار در بسياري از سازمانها انجام نميشود. همچنين شركتهاي ارائه دهنده ابزارهايرمزنگاري نيز بايد تحت فشار قرار گيرند تا امكان سازگاري بين سيستمهاي رمزنگاري و مديريت كليد آنها فراهم شود. متأسفانه اگرچه استانداردها ارائه شدهاند، اما حركت زيادي براي سازگاري با آنها مشاهده نميشود. فقط چهارده درصد از جامعه آماري نام Oasis KMIP را شنيده بودند. اين پروژه در سال 2006 آغاز و امسال به پايان رسيد. شركتهاي Brcade، EMC، HP، IBM، LSI، Seagate و Thales تفاهمنامه پيادهسازي Oasis KMIP را امضا كرده و قولدادهاند كه تا آخر امسال نتايجي را در اين زمينه ارائه دهند.
مشكل اصلي اين است كه از عبارت «نتايج» چه تعبيري ميتوان داشت. واضح است كه شركتهاي ارائهدهنده شركتهاي مطرح بيش از شركتهاي ارائهدهنده ابزارهاي رمزنگاري، علاقهمند به توليد استاندارد با همكاري شركتهاي ارائه رسانههاي ذخيرهسازي هستند. بيشتر افراد حرفهاي در زمينه IT و امنيت اطلاعات اين مسئله را درك كرده و با رويكرد تلاشهاي انجام شده براي سازگاري سيستمها مخالف هستند. شايد فكر كنيد ما بيش از حد شكاك هستيم، اما فكر ميكنيم كه KMIP به اين زوديها تأثير واقعي بر بازار نخواهد داشت. در حال حاضر، اين به ما بستگي دارد كه بخواهيم و اراده كنيم تا چيزي فراتر از قوانين اجباري رمزنگاري را پيادهسازي كنيم.
منبع:http://www.shabakeh-mag.com
ارسال توسط کاربر محترم سایت : hasantaleb
ادامه دارد...
/ج
