追溯至網(wǎng)絡(luò)通信安全起始之初，數(shù)據(jù)安全人員就不得不面對(duì)證書使用這一挑戰(zhàn)。網(wǎng)頁(yè)證書是傳輸層安全通信的基礎(chǔ)，增加了網(wǎng)絡(luò)站點(diǎn)連接的安全性，通常顯示為“https”中的“s”。作為用戶、服務(wù)器、機(jī)器、物聯(lián)網(wǎng)設(shè)備和訪問點(diǎn)的驗(yàn)證核心部分，是用戶在各個(gè)場(chǎng)合下安全防護(hù)的第一步。

現(xiàn)在，當(dāng)談及加密風(fēng)險(xiǎn)，人們似乎也越來越難以繞過證書、加密秘鑰和保護(hù)數(shù)據(jù)的算法等話題。

[[325324]]

什么是加密風(fēng)險(xiǎn)?

加密風(fēng)險(xiǎn)是一種度量標(biāo)準(zhǔn)，用于表示加密手段下用戶數(shù)據(jù)的安全程度。在上下文中，專家使用“數(shù)據(jù)風(fēng)險(xiǎn)”來代表未受保護(hù)的敏感數(shù)據(jù)，使用“平臺(tái)風(fēng)險(xiǎn)”或者“基礎(chǔ)架構(gòu)風(fēng)險(xiǎn)”來表示計(jì)算機(jī)系統(tǒng)中尚未修復(fù)的漏洞所處的實(shí)際位置或者是系統(tǒng)內(nèi)部的安全性。

為了評(píng)定這些風(fēng)險(xiǎn)標(biāo)準(zhǔn)，企業(yè)采取了一系列工具進(jìn)行檢測(cè)，從未被保護(hù)的用戶敏感數(shù)據(jù)，比如社會(huì)保險(xiǎn)號(hào)、信用卡等信息，再到運(yùn)營(yíng)體系和應(yīng)用的未被修補(bǔ)的漏洞。然而，很多企業(yè)組織卻沒有一套有效的風(fēng)險(xiǎn)測(cè)量工具，檢測(cè)加密保護(hù)手段下的數(shù)據(jù)安全程度。換句話說，當(dāng)前衡量加密風(fēng)險(xiǎn)標(biāo)準(zhǔn)還沒有一種合適的方法。

創(chuàng)建加密風(fēng)險(xiǎn)標(biāo)準(zhǔn)有助于進(jìn)一步推進(jìn)數(shù)據(jù)安全的發(fā)展。該標(biāo)準(zhǔn)應(yīng)考慮到所有導(dǎo)致加密數(shù)據(jù)不安全的因素，這或許涉及以下一些問題的回答：

• 使用哪種算法可以保證密碼的完整性?(比如MD-5，SHA-1，SHA-236，SHA-3等)
• 保護(hù)用戶數(shù)據(jù)和企業(yè)業(yè)務(wù)相一致的的加密秘鑰長(zhǎng)度有哪些?(例如AES-128，AES-256等)
• 使用哪種算法使得加密具有完整性(例如，MD-5，SHA-1，SHA-236，SHA-3等)?
• 您的證書什么時(shí)候到期(例如12月31日午夜)?
• 誰(shuí)簽發(fā)了您的證書、如何對(duì)其進(jìn)行驗(yàn)證以及可以(或已經(jīng))將其吊銷?
• 企業(yè)當(dāng)前的系統(tǒng)和應(yīng)用程序上安裝了哪些加密庫(kù)或軟件?它們足以保護(hù)數(shù)據(jù)嗎?

就像惡意軟件和事件管理一樣，這類問題不勝枚舉。然而，知道這個(gè)問題答案的企業(yè)則懂得如何長(zhǎng)期使用和管理他們的加密資產(chǎn)，能夠持續(xù)地評(píng)估真正保護(hù)企業(yè)數(shù)據(jù)的有效資產(chǎn)有哪些。

“量子計(jì)算機(jī)來了!”

或許在加密風(fēng)險(xiǎn)評(píng)估方面，量子的發(fā)展已然落后了，但是故事并沒有就此戛然而止。在剛觸及算力的門檻，安全團(tuán)隊(duì)就面臨了加密方面的巨大挑戰(zhàn)。量子時(shí)代，再進(jìn)一步來說是計(jì)算時(shí)代，有望解決傳統(tǒng)二進(jìn)制計(jì)算機(jī)目前無法解決的實(shí)際問題。

量子計(jì)算機(jī)備受期待的一個(gè)原因在于，他們可以有效實(shí)現(xiàn) Shor算法和Grover算法。

這兩種算法在追蹤加密秘鑰方面比傳統(tǒng)計(jì)算方法省時(shí)得多。當(dāng)量子計(jì)算機(jī)能夠?qū)崿F(xiàn)這兩種算法時(shí)，并且以合理價(jià)格在消費(fèi)者之間推廣開來，這時(shí)我們將看到攻擊者會(huì)削弱現(xiàn)有對(duì)稱算法(如AES)的加密強(qiáng)度并能夠有效消除現(xiàn)有非對(duì)稱算法(如今常用的如RSA或者ECC)。

目前，我們尚未發(fā)展到那個(gè)程度，事實(shí)上，連一臺(tái)量子計(jì)算機(jī)也沒有，更別說消除RSA秘鑰強(qiáng)度了。盡管有些專家認(rèn)為再過20年就能實(shí)現(xiàn)，但是也只是預(yù)測(cè)。美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(NIST)已著手引入新的抗量子加密算法。這些后量子密碼術(shù)(PQC)算法有望抵抗量子計(jì)算機(jī)的強(qiáng)大功能。

目前，IBM和NIST開展CRYSTALS項(xiàng)目合作，正在評(píng)估兩種算法，希望能在未來幾年內(nèi)能夠使用新算法并且標(biāo)準(zhǔn)化。使用能承受下一代計(jì)算機(jī)強(qiáng)大功能的加密算法，有助于為專業(yè)人員保護(hù)關(guān)鍵數(shù)據(jù)甚至是存檔數(shù)據(jù)提供新的方法。

當(dāng)今的加密風(fēng)險(xiǎn)

即使沒有量子計(jì)算機(jī)問世帶來的風(fēng)險(xiǎn)，其他加密風(fēng)險(xiǎn)也迫在眉睫，比如包含一些簡(jiǎn)單卻長(zhǎng)期存在的問題，比如使用過時(shí)的加密算法、簡(jiǎn)短的密鑰和來源不明或者即將過期的證書等。如果這些問題檢測(cè)不到或者不加管理，那么對(duì)于數(shù)據(jù)保護(hù)和企業(yè)的業(yè)務(wù)持久性來說就是一個(gè)緊迫的、現(xiàn)存的威脅。

微軟和Let’s Encrypt近期強(qiáng)調(diào)了證書管理不當(dāng)會(huì)對(duì)企業(yè)業(yè)務(wù)連續(xù)性產(chǎn)生不利影響。因此，隨著業(yè)務(wù)深入，問題會(huì)越來越復(fù)雜，采取合適的方法來處理這個(gè)問題十分重要。比如，蘋果的做法是主動(dòng)屏蔽任何超過一年的信任證書。否則黑客可以充分利用企業(yè)不系統(tǒng)的證書管理，偽造證書安全警示感染企業(yè)計(jì)算機(jī)。

因此，加密資產(chǎn)(比如證書、密鑰、算法和庫(kù))的管理不當(dāng)或者是沒有管理是一個(gè)很嚴(yán)重的問題，這不僅會(huì)影響業(yè)務(wù)的連續(xù)性，還會(huì)給黑客機(jī)會(huì)找到企業(yè)數(shù)據(jù)安全的漏洞。加密風(fēng)險(xiǎn)是一個(gè)很普遍的問題，需要人們加以重視，予以解決。

加強(qiáng)數(shù)據(jù)安全鏈

數(shù)據(jù)安全這扇大門，我們上鎖了、加鏈條了，但是現(xiàn)在，鎖舊了、鏈條銹了，保護(hù)強(qiáng)度也很薄弱。如果企業(yè)數(shù)據(jù)面臨風(fēng)險(xiǎn)，那么數(shù)據(jù)安全團(tuán)隊(duì)有責(zé)任測(cè)試每個(gè)環(huán)節(jié)的保護(hù)強(qiáng)度并采取措施進(jìn)行整個(gè)鏈條的強(qiáng)化。

提及加密，我們有很多個(gè)部分需要加強(qiáng)，比如算法、變化的密鑰大小、證書、非對(duì)稱密鑰對(duì)、對(duì)稱密鑰、輪替密鑰、密鑰分發(fā)等。為了處理加密風(fēng)險(xiǎn)，需要一種以簡(jiǎn)化的組合視圖顯示與加密相關(guān)的風(fēng)險(xiǎn)整體趨勢(shì)的方法。如果沒有一種方法來衡量這種加密風(fēng)險(xiǎn)，安全團(tuán)隊(duì)將無法對(duì)其進(jìn)行管理。