加密是加强网络安全的一个核心原则,网络攻击者通常无法窃取已经加密的数据。很多黑客无法获取采用良好加密措施的数据,更不用说采用“多层加密”措施的数据。但是加密也面临着很多挑战。
在安全厂商Cyber Security Competency 公司在去年秋天开展的一项调查中,66%的受访者表示,加密密钥的管理对他们的公司而言是一个大挑战。而在多个云平台管理密钥是一个更大的挑战。
波洛蒙研究所和Encryption咨询公司在去年进行的类似调查中,60%的受访者表示,密钥管理“非常痛苦”。
那么造成这种痛苦的最主要原因是什么?组织需要知道谁负责所有密钥。其他痛点包括缺乏熟练的人员以及孤立或零散的密钥管理系统。
与此同时,加密技术在不断发展,要在所有加密算法上保持领先地位是一个挑战。加密涉及一些繁重复杂的数学运算,因此很容易犯错误。
受访者预计,企业将在未来十年内采用新方法,例如多方计算、同态加密和量子算法。
竞争激烈
与任何安全技术一样,加密是一种猫和老鼠之间的无穷无尽的游戏。网络攻击者试图找到算法中的漏洞。为了跟上技术发展的步伐,防御者将会改进算法,增强算法的实现方式或增加加密密钥的长度。这意味着任何长期的加密策略都必须允许升级算法或密钥。
Insight公司云计算和网络安全高级经理Mike Sprunger表示,组织需要采用例如管理互联网通信的服务器。要对消息进行加密,发送方和接收方都必须就使用的加密方法和密钥长度达成一致。
他说:“在部署这些服务器时,会列出一系列从最理想到最不理想的算法,它们将协商以找到最高级别的匹配项。不幸的是,这些算法可能会过时。在通常情况下,在部署服务器时,工作人员再也不会接触它们。”
很多密钥在创建和使用之后并立即丢弃。然而,当涉及到长期储存的数据时,这些密钥必须使用多年的时间。一些组织有业务或法规要求将数据保留十年或更长时间。
如果加密技术变得过时,或者密钥本身被泄露,数据中心必须解密原有的所有数据,然后使用更好的加密方法再次对其进行重新加密。
Sprunger说:“一个良好的做法是定期更换密钥。”
如果数据中心操作人员独自一人做这件事情,很容易成为管理上的噩梦。他说:“良好的供应商有一种机制来遍历、回收和替换密钥。如果出现任何问题并且密钥丢失,那么数据也将丢失。”
加密在生成用于对系统、用户和应用程序进行数字签名和身份验证的证书时也起着重要作用。如果这些证书过期、丢失或泄露,组织可能会失去对其应用程序的访问权限,或者网络攻击者可能获得访问权限。
Sprunger说:“大多数组织在管理这方面做得并不好。而且,如果他们不能正确地管理证书,则可能会面临关闭其组织的风险。我建议,如果他们不擅长管理证书,则应该寻求第三方提供商的帮助。”
硬件加密面临的障碍
如果加密是由硬件处理的,那么对于选择购买和维护自己设备的数据中心来说,升级可能是一个特殊的挑战。硬件加速可以提高速度和安全性,但是硬编码算法也可能变得陈旧过时。
Sprunger说:“现在必须回去更换设备,以获得不同的算法或更大的密钥大小。”
另一方面,如果某个特定的系统具有嵌入式的基于硬件的加密(例如加密硬盘),那么当更换设备时,新设备将自动在其中进行更新和更好的加密。
IEEE研究员、Coughlin协会总裁Tom Coughlin说:“这将是很轻松的升级过程。由于基于软件的加密包含多个系统,升级可能是一个更大的挑战。这可能会有一些问题,这取决于问题的数量以及它们之间的相互依赖程度。”
评估加密
Insight公司云计算和网络安全高级经理Sprunger表示,在选择加密供应商时,数据中心应该寻找那些符合FIPS 140-2标准的供应商。
获得这种认证既困难又昂贵,涉及第三方安全性审查,但这需要政府的授权。
他说:“作为一家制造加密设备厂商的技术工程总监来说,这是一个艰难的过程。任何供应商都应该能够立即对有关合规性的问题作出回应。”
等待标准出现
有许多供应商和组织致力于开发新的加密技术并创建所需的标准,以确保都朝着同一方向发展。数据中心管理者希望购买能够为未来奠定基础的设备,他们必须等待技术和标准的出现。当使用相同的密钥来锁定和解锁数据时,就对称加密而言,目前的情况更为清晰。
英特尔公司高级首席工程师Simon Johnson表示,要保证数据安全一两年的时间,目前采用的128位加密措施就足够了。
他说,“如果组织的数据希望保留15到20年,那么至少使用256位加密。即使量子计算机到来,也能保证数据安全。幸运的是,当今的芯片可以支持这种级别的加密。使用AES(高级加密标准)操作就可以做到这一点。这只是更改软件以适应密钥长度的问题。”
非对称加密(其中一个密钥用于加密消息,而另一个密钥用于解密消息)则更具挑战性。这是用于通信的加密类型,也称为公钥基础设施。
他表示,这种加密技术的下一阶段发展仍在进行中。他说:“我们仍在等待美国国家标准技术研究所(NIST)和学术界真正致力于提供在后量子计算时代中进行非对称加密的机制。我们在等待相关标准。不仅仅是英特尔公司,全世界都在等待标准。因为在量子计算技术出现之后,数据中心领域将需要新的标准。”
但是创建新的加密算法,进行测试、创建标准,并获得业界的认可,然后部署,这一过程需要长达数年的时间。而新的加密算法需要适用于当前使用的协议。
他说:“但是谁知道这些新算法会是什么样子呢?”
他建议,着眼未来的数据中心管理人员应首先转向256位加密以保护存储。对于通信中使用的非对称加密,更长的密钥可以为未来的应用提供足够的安全性。
他说,“没人知道量子计算机何时会出现,这个时间可能是5到8年之后。”
