بایگانی ماهیانه: فروردین ۱۳۸۶

امنیت از طریق ابهام یا security through obscurity

مفهوم “امنیت از طریق پنهانی” یا “امنیت از طریق ابهام” آن است که امنیت سیستم را از طریق مبهم نگاه داشتن ویژگیهای سیستم تأمین کند. منظور ما در اینجا ویژگیهاییست که ذاتاً نیاز به محرمانه بودن ندارند (مثلاً password ها و گاهی Source Code در این بحث قرار نمی­گیرند).  این ابهام می­تواند در معماری، نحوه کارکرد اجزا، مکانیزمها و الگوریتمهای استفاده شده و … باشد. مثلاً در بحث طراحی الگوریتم رمز تنها میتوانیم فرض کنیم که کلید رمز محرمانه است و نفوذگر تمام اطلاعات و نحوه کار الگوریتم را میداند. نمیتوان نقش این اصل را در امنیت بسیاری از سیستمهای امروزی کتمان کرد، اما به طور کلی در مهندسی امنیت سیستم باید فرض کنیم که نفوذگر به تمام خصوصیات سیستم و حتی Source Code ها اشراف دارد و نمی­توانیم مبهم ماندن ویژگیهای سیستم را همواره تضمین کنیم. لذا باید طوری طراحی را انجام دهیم که با افشای اینگونه ویژگیها امنیت سیستم به مخاطره نیافتد.

اشتراک گذاری

شکستن WEP در کمتر از ۱ دقیقه

ابزارهایی مثل WEPcrack یا AirSnort برای شکستن کلیدهای رمز پروتکل WEP استفاده میشن. برای این کار لازمه که مقدار کافی از بسته های WEP رو شنود کنیم. اما اخیراْ مقاله ای در یکی از دانشگاههای آلمان منتشر شده که نشون میده چطور در زمانی حدود یک دقیقه میشه یک کلید ۱۰۴ بیتی الگوریتم RC4 رو به دست آورد.

این مسأله سرو صدای زیادی به پا کرده و به نظر میرسه که عمر WEP رو به پایانه.

اشتراک گذاری