题论:#
本文意在概述我一向思考和设计以后产生的关于 Secret 的沉思,包括工具链和思路。它们不是一般性普适性的,并且在 Secret 方面也不存在这样的东西。我只是给出一种我的设计。由于这种设计的结构本身就是一种泄露,因此在最高的要求方面,其细节我只能给出参考来源。
有必要吗?#
诚然,大部分时候,本文谈及的方法都是过度的,但是只是出于趣味,我们也不妨尝试一些手段。而且我尽力使本文是也是现实的(相比于许多此类文章并不现实的高要求和便利性的损失)。
有待补充:#
本文的话题没有终点,一切可用的工具方法思考都欢迎补充。
评估策略:#
事实上,关于 Secret 的解决方案有其缺点:有时它们很难部署、维护或使用;有时您可以在各种技术之间进行选择,但没有一种完全符合您设定的 “规范”;有时它们太新了,无法确定它们是否真的有效。
因此,人们应该首先问几个简单的问题,以便建立威胁模型,即潜在威胁的识别和优先级排序。
我们要保护什么?#
我们想保护的东西可能非常广泛以至于不切实际,或者在现状下也有可能是太无所谓以至于烂了。
“保护” 一词涵盖了不同的需求:
- 隐私 :隐藏信息以防泄露;
- 完整性 :保持信息完整,防止他人修改;
- 可访问性 :确保可以访问。
这些需求通常会发生冲突,因此有必要确定优先级并找到折衷方案。至少需要一种折衷的原则,因为不同的折中合起来可能会破坏所有部分的安全。
我们想保护自己免受谁的伤害?#
敌手的评估是关键的,敌手的能力对我们的策略影响巨大。通常的教程往往会告诉我们要做出正确的评估,但是现实中有一种跟困难的情景:我们无法预先评估。理论上我们只能按最坏的情况考虑,这也是本系列大多数时间将做的。但是请注意,我们往往不可能部署全部的策略。因此,怎么可能保持一种渐进性的安全就成为挑战。这也会使我们研究的一点,它往往只能通过一些方法策略而非技术能及。
对手的手段问题相当广泛。诚然,缺乏想象力的人们对敌手要么缺乏技术的认识,要么非技术的认为可以略去技术困难。但实际上 Secret 是一个极多维度的问题,敌手的手段可能是合法的,也可能是隐蔽的;技术资源可能很多,也可能主要依赖社工方法;经济手段也是一个问题,敌手是否真的能够且会付出足够的成本?;当然,还有政治手段。
妥协的问题:#
攻击和监视的可能性是无限的,抵御它们的设备也是如此。然而,我们想要实施的每一项额外保护都对应于学习和时间方面的努力。因此,在每种情况下,都需要 在易用性和所需保护级别之间找到合适的折衷方案。有时,这种平衡点并不存在。防范似是而非的风险的努力太痛苦了,要么冒这个风险,或者干脆不使用数字工具来存储某些数据或谈论某些事情。
怎么办?#
哪些实践和工具足以保护我免受 先前评估的风险 ?
对于某一种策略,要问:
- 面对这样的安全策略,我的对手会使用什么攻击角度?
- 我的对手应该采取什么手段?
- 这些手段在我的对手手中吗?
一些规则:#
就安全性而言,简单的解决方案始终优于复杂的解决方案。一个复杂的解决方案提供了更多的 “攻击面”。曾有人说过:
“我们不可能相信一个我们不理解的安全策略”
一个复杂的系统有着许多链接,它们每个及相互的安全必须得到审查,这是个大工程!不过,复杂的策略提供了更多选择,可用性。在组合良好的情况下,安全性不会低于最低环节。您必须考虑能够并且会维护的策略的复杂度,一旦它不匹配,系统将瓦解。
没有人是绝对可靠的:#
Die meisten Computerprobleme sitzen zwischen Tastatur und Stuhl
人总是问题,并且在这里几乎就是大部分问题。
一个良好的策略不能总把安全寄希望于使用者的专注,系统必须提供坚实的要求,严格的固定风险的来源。
没有什么是永远的:#
计算机安全领域变化非常快,今天被认为相当安全的解决方案明年很可能很容易受到攻击。使用的工具链必须时常保持更新,并且最好有取代其中各节点的备选方案。至少保证不至于一旦断开就无法挽回。所有这一切都需要一点时间,从一开始就应该予以计划。
……To be continued……