题論:#
本文意在概述我一向思考和設計以後產生的關於 Secret 的沉思,包括工具鏈和思路。它們不是一般性普遍性的,並且在 Secret 方面也不存在這樣的東西。我只是給出一種我的設計。由於這種設計的結構本身就是一種洩漏,因此在最高的要求方面,其細節我只能給出參考來源。
有必要嗎?#
誠然,大部分時候,本文談及的方法都是過度的,但是只是出於趣味,我們也不妨嘗試一些手段。而且我盡力使本文是也是現實的(相比於許多此類文章並不現實的高要求和便利性的損失)。
有待補充:#
本文的話題沒有終點,一切可用的工具方法思考都歡迎補充。
評估策略:#
事實上,關於 Secret 的解決方案有其缺點:有時它們很難部署、維護或使用;有時您可以在各種技術之間進行選擇,但沒有一種完全符合您設定的 “規範”;有時它們太新了,無法確定它們是否真的有效。
因此,人們應該首先問幾個簡單的問題,以便建立威脅模型,即潛在威脅的識別和優先級排序。
我們要保護什麼?#
我們想保護的東西可能非常廣泛以至於不切實際,或者在現狀下也有可能是太無所謂以至於爛了。
“保護” 一詞涵蓋了不同的需求:
- 隱私 :隱藏信息以防洩漏;
- 完整性 :保持信息完整,防止他人修改;
- 可訪問性 :確保可以訪問。
這些需求通常會發生衝突,因此有必要確定優先級並找到折衷方案。至少需要一種折衷的原則,因為不同的折中合起來可能會破壞所有部分的安全。
我們想保護自己免受誰的傷害?#
敵手的評估是關鍵的,敵手的能力對我們的策略影響巨大。通常的教程往往會告訴我們要做出正確的評估,但是現實中有一種跟困難的情景:我們無法預先評估。理論上我們只能按最壞的情況考慮,這也是本系列大多數時間將做的。但是請注意,我們往往不可能部署全部的策略。因此,怎麼可能保持一種漸進性的安全就成為挑戰。這也會使我們研究的一點,它往往只能通過一些方法策略而非技術能及。
對手的手段問題相當廣泛。誠然,缺乏想象力的人們對敵手要麼缺乏技術的認識,要麼非技術的認為可以略去技術困難。但實際上 Secret 是一個極多維度的問題,敵手的手段可能是合法的,也可能是隱蔽的;技術資源可能很多,也可能主要依賴社工方法;經濟手段也是一個問題,敵手是否真的能夠且會付出足夠的成本?;當然,還有政治手段。
妥協的問題:#
攻擊和監視的可能性是無限的,抵禦它們的設備也是如此。然而,我們想要實施的每一項額外保護都對應於學習和時間方面的努力。因此,在每種情況下,都需要 在易用性和所需保護級別之間找到合適的折衷方案。有時,這種平衡點並不存在。防範似是而非的風險的努力太痛苦了,要麼冒這個風險,或者乾脆不使用數字工具來存儲某些數據或談論某些事情。
怎麼辦?#
哪些實踐和工具足以保護我免受 先前評估的風險 ?
對於某一種策略,要問:
- 面對這樣的安全策略,我的對手會使用什麼攻擊角度?
- 我的對手應該採取什麼手段?
- 這些手段在我的對手手中嗎?
一些規則:#
就安全性而言,簡單的解決方案始終優於複雜的解決方案。一個複雜的解決方案提供了更多的 “攻擊面”。曾有人說過:
“我們不可能相信一個我們不理解的安全策略”
一個複雜的系統有著許多鏈接,它們每個及相互的安全必須得到審查,這是個大工程!不過,複雜的策略提供了更多選擇,可用性。在組合良好的情況下,安全性不會低於最低環節。您必須考慮能夠並且會維護的策略的複雜度,一旦它不匹配,系統將瓦解。
沒有人是絕對可靠的:#
Die meisten Computerprobleme sitzen zwischen Tastatur und Stuhl
人總是問題,並且在這裡幾乎就是大部分問題。
一個良好的策略不能總把安全寄希望於使用者的專注,系統必須提供堅實的要求,嚴格的固定風險的來源。
沒有什麼是永遠的:#
計算機安全領域變化非常快,今天被認為相當安全的解決方案明年很可能很容易受到攻擊。使用的工具鏈必須時常保持更新,並且最好有取代其中各節點的備選方案。至少保證不至於一旦斷開就無法挽回。所有這一切都需要一點時間,從一開始就應該予以計劃。
…… 待續……