Происхождение “безопасности с помощью сокрытия”
Популярное англоязычное понятие “security through obscurity” можно выражать на русском разными способами, например “безопасность через неизвестность”, или “безопасность с помощью незаметности”, или ещё как-то, главное, сохранить смысл концепции, в которой для обеспечения безопасности используется сокрытие некоторой информации о мерах защиты.
Сейчас традиционно пишут, что упомянутый принцип не работает. И это более или менее логично звучит для “математических” криптосистем, а в других случаях принято спорить. Но сейчас не об этом. Интересно, что все споры обсуловлены происхождением этой концепции. Вот есть такая вполне научная дисциплина: техническая (инженерно-техническая) защита информации. К этой области относятся и методы чисто физической защиты разных помещений, в которых находятся носители информации. Тут незаметность средств и методов защиты как раз повышает безопасность. Банальный пример: если реальный график обхода помещений сотрудниками охраны вывешен на видном месте, а рядом указана схема расположения датчиков различных сигнализаций – то задача по скрытному проникновению в защищаемое помещение сильно облегчается; значит, уровень обеспечения безопасности падает. Вот отсюда и растут корни концепции. Потому что физическая защита информации старше, чем “компьютерная”.
Адрес записки: https://dxdt.ru/2011/06/16/3807/
Похожие записки:
- Kyber768 и TLS-серверы Google
- DNS как транспорт для сигналов и данных
- Пятый постулат Евклида в древнем исполнении
- Австралийские постквантовые криптографические рекомендации
- Chrome и УЦ Entrust
- Централизация обновлений и CrowdStrike
- Офтопик: цвет собак в "Илиаде"
- "Сжатие языковых структур" и кусочки "Илиады"
- Обновление описания TLS
- TLS в виртуальных машинах и извлечение ключей хостингом
- Централизованные мессенджеры и многообразие мест хранения сообщений
Комментарии читателей блога: 7
1 <t> // 16th June 2011, 21:33 // Читатель зашел в гости написал:
“незаметность средств и методов защиты как раз повышает безопасность”
думаю, не столько незаметность, сколько неопределенность. Т.е. должно быть четко видно, что помещение хорошо охраняется, иначе иллюзия доступности будет лишь привлекать преступников.
2 <t> // 17th June 2011, 02:35 // Читатель sashket написал:
А есть и обратный подход. Например, муляжи видеокамер наблюдения.
3 <t> // 17th June 2011, 15:32 // Читатель Denter написал:
Корень отличия физической безопасности от информационной в том, что в физической практически невозможен взлом с помощью перебора. Потому там эта концепция работает.
4 <t> // 17th June 2011, 18:32 // Читатель jno написал:
Отсутствие графика на видном месте и схемы размещения камер повышает стоимость проникновения (ну, некоторых вариантов проникновения). Так что тут – всё правильно. И к “безопасности через неясность” это отношения не имеет. Классика “секурити сру обскурити” – это хранение денег в белье и книгах (типа, много однотипных “хранилищ” – сразу не найдут). Тогда как домушник просто методично и быстро перерывает все “хранилища” зная, что врядли ему придётся перерыть даже половину (эвристическую оптимизацию поиска никто не отменял)!
Из муляжей известна эффективностью “моргающая лампочка”, установленная ВМЕСТО автосигнализации.
5 <t> // 19th June 2011, 08:38 // Читатель Сергей написал:
Есть и более “хитрый” вариант – когда демонстративно вывешенный график обходов охраны и муляж видеокамеры используются в качестве маскировки реальных систем безопасности.
6 <t> // 23rd June 2011, 14:37 // Читатель Шурик написал:
должен заметить, что стеганография родом из той же корзинки: можете мне поверить на слово, но сокрытие самого факта наблюдения за объектом считается сильным плюсом в сторону сложившейся сб.
7 <t> // 23rd June 2011, 17:50 // Читатель jno написал:
Уж, поди, любое сокрытие информации о защищаемом объекте – плюс с т.з. безопасности.
Как известно, “абсолютно защищённая программа пользователя в себя не пускает”.