Playhouse de la vie privée, la sécurité, le piratage, le cryptage, l'intelligence et des trucs d'affaires

Marché de la sécurité grandissent, plus les entreprises va au marché, mais combien d'entre eux sont à prendre au sérieux ce qu'ils font?

Vous savez, faire des technologies de sécurité signifie que vous êtes personnellement responsable de la protection des renseignements de l'utilisateur. Vous devez leur faire prendre conscience de ce dont ils ont besoin, exactement ce que vous faites et quel type de modèle de menace de votre produit protéger.

Un problème typique de caractéristiques de sécurité des produits est représentée par l'incapacité de l'utilisateur d'évaluer les demandes de sécurité du produit lui-même.

Donc, il ya quelques entreprises qui font beaucoup de marketing n'est pas si éthique de fonctions de sécurité, fondées sur les faits qu'aucun utilisateur sera en mesure de l'évaluer.

La situation a été expliqué précédemment réside dans le sujet de la sécurité du cryptage Snake Oil, une évolution dans l'environnement cryptographique scientifiques qui nous permettent d'aujourd'hui utilisent les meilleures technologies de protection de race d'information sans avoir à trop se soucier de portes dérobées ou insécurités.

Parlons un peu de cryptage Snake Oil

Cryptographie Snake Oil : En cryptographie , l'huile de serpent est un terme utilisé pour décrire des méthodes cryptographiques commerciaux et des produits qui sont considérés comme faux ou frauduleux. Distinguer la cryptographie à l'abri de la cryptographie insécurité peut être difficile du point de vue d'un utilisateur. De nombreux cryptographes, tels que Bruce Schneier et Phil Zimmermann , s'engagent à éduquer le public dans la façon dont la cryptographie sécurisé se fait, ainsi que mettre en évidence la commercialisation trompeuse de certains produits cryptographiques.

Le plus référencée crypto guru de la sécurité, Philip Zimmermann et Bruce Schneier, a été le 1er à parler de cryptage Snake Oil:

Snake Oil par Philip Zimmermann

L'huile de serpent par Bruce Schneier

Le Michigan et des télécommunications Law Review de la technologie a également fait une très bonne analyse en rapport avec les fonctions de sécurité de produits de sécurité, d'huile de serpent de la Sécurité affirme "la fausse déclaration SYSTEMATIQUE DE LA SÉCURITÉ DES PRODUITS . Ils expliquent sur ​​les trucs de marketing utilisées pour modifier méchants l'incapacité des utilisateurs pour évaluer la des fonctions de sécurité, y compris l'implication responsabilité juridique et économique.

Very famous is the sentence of Russ Nelson : Plusieurs serpents compagnies pétrolières de sécurité des produits n'explique pas et ne sont pas clair sur le modèle de menace à laquelle le produit s'applique très célèbre est la phrase d'. Russ Nelson :

"Rappelez-vous, crypto sans un modèle de menace, c'est comme les cookies sans lait. ..... Cryptographie sans un modèle de menace, c'est comme la maternité sans tarte aux pommes. Ne peut pas dire que suffisamment de fois. Plus généralement, la sécurité sans un modèle de menace est par définition voué à l'échec. "

Alors, comment repérer les produits pétroliers de sécurité de serpent?

Cochez une des lignes directrices de repérer les produits du pétrole de serpent de chiffrement: Signs serpent huile d'avertissement, un logiciel de chiffrement à éviter par Matt Curtin .

Vous pouvez voir ce très bon exemple de chiffrement de serpent de pétrole par Emility Ratliff (Architecte IBM à Linux Security), qui a essayé de faire par exemple claires sur la façon de repérer l'huile de serpent cryptographique.

Ici représenté la ligne directrice de base de Matt Curtin papier:

• Les entreprises qui prétendent nous font confiance, nous savons ce que nous faisons »
• Les entreprises qui inventent des termes de nouvelles technologies sans même expliquer l'innovation, appelée Technobabble
• Produit qui utilisent des protocoles non publiques ainsi que propriétaires et algorithmes secrets
• Société qui prétendent avoir inventé un nouveau type de cryptographie ou de quelques percées révolutionnaires
• Les entreprises qui présentent de certification inutile et censé évaluation indépendante sans aucune valeur de garantie
• Les produits qui prétendent être Unbreakabl e
• Les entreprises qui prétendent d'autres produits ne sont pas sûrs de fausses preuves et artificiel
• Les entreprises qui prétendent que leur système est de qualité militaire , alors que tout le monde sait que la cryptographie d'aujourd'hui dans le secteur civil est le moteur de l'innovation
• Les produits qui ont revendications non fondées bits (comme 16384 ou 46080 bits de cryptage bits et l'authentification des sessions)

En cochant que les points, il est possible d'évaluer la gravité d'une technologie de cryptage ou le produit est.

Mais dans l'ensemble la façon de résoudre cette approche de la sécurité contraire à l'éthique?

Il est très significative et il serait vraiment utile pour chaque type de catégorie de produits de sécurité pour faire quelques lignes directrices d'évaluation a fortement et indépendant (comme OSSTMM pour les tests de pénétration), pour faire de ce processus d'évaluation de la sécurité réellement entre les mains de l'utilisateur.

Il serait aussi très agréable d'avoir quelqu'un qui fait l'analyse et l'évaluation des sociétés de produits de sécurité, en publiant des rapports sur les signes huile de serpent.