加密软件的黑洞系列一:密钥
过去20年信息技术的不断发展,让社会取得了巨大进步。变幻莫测的数据安全威胁,给企业IT维护带来前所未有的挑战。无处不在的泄密风险,迫使企业用户不得不将数据泄密防护上升成常态,越来越多的企业选择用加密软件进行文件加密。众所周知,文件加密就是对文件进行加密保护。加密建立在对信息进行数学编码和解码的基础上。我们使用的加密通常都是通过密钥来完成的。先来看看什么是密钥。
密钥分为两种:对称密钥与非对称密钥。对称密钥加密,即信息的发送方和接收方用同一个密钥去加密和解密数据。它的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。非称密钥加密系统,又称公钥密钥加密。它需要使用不同的密钥,来分别完成加密和解密操作,一个公开发布,即公开密钥,另一个由用户自己秘密保存,即私用密钥。信息发送者用公开密钥去加密,而信息接收者则用私用密钥去解密,公钥机制灵活。这种系统加密和解密速度比对称密钥加密慢一些,但在保护通信安全和方面,非对称加密算法却具有对称密码难以企及的优势。
对称算法与非对称算法综合起来使用如下图:
目前市场上的加密软件产品大多采用单独的对称加密系统,即公司所有的文件用一个密钥,最多细分到一个部门的所有文件用一个密钥,那么一旦密钥被破解,那这个公司的数据一定是可以被随意解密的了。这对企业的安全来说,也是非常不稳定的。如果安全软件都不能保障安全,那么它的价值就无法体现,企业就没有选择它的必要。
先来看看企业调查加密软件结果显示:
区别 |
山丽防水墙 |
明朝万达 |
亿赛通 |
加密算法 |
非对称加密和对称加密结合,任何文件的密钥均不一样(即使不更改内容的另存为文件) |
单独对称加密,文件密钥一样 |
非对称密钥加密;文件密钥一样 |
安全性 |
高 |
弱 |
弱:网上有破解工具 |
我们还可以来看一个案例。
最近去朋友小王家小聚,正好聊到如何他们公司曾出过的一个事件,小王在某知名开采类企业工作,这家企业规模较大,公司研发和技术部门人员多,所以每天的图纸文档产出物很多,很不方便管理。由于图纸内容涉及公司机密和宝贵信息,所以这家企业需要一款加密软件来进行使用权限控制和防止图纸泄密。当时,这家公司选择了一款由北京以Y开头的某知名安全软件生产商的加密软件。所有的图纸文件全部使用统一的密钥管理,刚开始的时间里,工作起来很顺手,因为操作简单,便于管理。不料,不久后爆出了一件泄密事故,该企业公司内部一高管在竞争同行利益驱使下带走了一些重要的机密文档,后来被同行破解了密钥,由于所有文件的密钥都是一样的,同行很容易就进入了该公司的内网并获得了重要的机密。这次事件让小王的公司受到巨大的损失,该企业的高层领导也开始相当重视内网安全和防信息外泄的重要性。虽然泄密者得到了应有的惩罚,但是给公司带来的损失是短时间内无法挽回的。
相信通过以上案例,不少的企业领导开始担心,因为这家企业都已经采取措施使用了加密软件,结果还是泄密了,这让不少人开始怀疑加密软件的实用性。这种担心也不是多余的,小王的企业使用的加密软件采取是所有文件用一个密钥的系统而导致企业信息泄露,造成企业损失。那么,如果可以把对称加密和非对称加密结合起来,那么这些机密文件的安全性就得到了很大的提高,会让企业的领导放心许多。可是,目前到底有没有加密软件能做到这一点呢?小王说后来他们企业通过各种渠道发现了一个叫山丽防水墙的软件,这个软件是国内知名真正可以做到对称加密和非对称加密结合的软件,非常适合他们公司。他还给我看了他与山丽公司的部分聊天记录。
Inta 8:44:58
还有个问题哦
如果要是利用防水墙的漏洞呢?
比如我们以前发现的把文件拖到虚拟机里面文件就莫名自动解密的这种情况呢?
山丽网安........ 8:45:18
这个也可以处理
没可信也是不会解密的
Inta 8:46:11
我的意思是如果没数据库有指纹的情况下,利用上面说的漏洞能解得了密么?
山丽网安........ 8:46:26
那是一定不会的
Inta 8:47:10
那我们就不怕了
山丽网安........ 8:47:46
我们是一文一密钥,
Inta 8:49:07
服务器上和文件上是一对,对吧?
Inta 8:51:34
服务器上的密钥和文件的密钥是一对,对吧?
文件的密钥存在数据库里面,所以没数据库是没有用的?
Inta 8:55:00
文件的密钥存在文件里面,与之对应的密钥在数据库里面,所以没数据库是没有用的?
山丽网安........ 8:57:30
不是;
我们是一文一密钥,
目前除了pdf、windows的efs是一文一密钥之外,市场上的产品是一个公司一个密钥,最多到一个部门一个密钥,而密钥是最后在内存里面以明文形式被加密程序调用的,一旦密钥被截获(技术上不能),而加密算法又是国家规定的算法(就是公开的意思),那这个公司的数据一定是可以被随意解密的了。
因为我们的密钥是动态变化的,每个文件的密钥都是不一样的,所以被破解的可能性是0(即使是被破解了一个,那其他的也是需要再去破解,那可有得烦了),如何证明我们是一文一密钥呢,你在加密环境里面,将一个文件另存或者复制为N份,在非加密环境里面,你打开这些密文,你会发现乱码是完全不一样的。所以,我们是对称加密+非对称加密结合的。
山丽网安........ 8:59:21
通过这个表格你们可以了解一下我们与同行在加密算法上的区别
区别 |
山丽防水墙 |
明朝万达 |
亿赛通 |
加密算法 |
非对称加密和对称加密结合,任何文件的密钥均不一样(即使不更改内容的另存为文件) |
单独对称加密,文件密钥一样 |
非对称密钥加密;文件密钥一样 |
安全性 |
高 |
弱 |
弱:网上有破解工具 |
通过聊天记录不难看出,山丽公司在技术研发上与其他同类行业相比优势明显,且功能更加齐全和完善。小王说,山丽防水墙对他们的工作提供了安全保障,信息外泄的事件也没再发生。所以,在密钥加密方面,山丽网安是个不错的选择,优势很明显。在文件加密方面可以大大提高文件的安全性。