一直以來(lái)，密碼技術(shù)都被認(rèn)為是一種有效保護(hù)數(shù)據(jù)，避免未經(jīng)授權(quán)訪問的有效技術(shù)。但隨著密碼分析技術(shù)不斷改進(jìn)以及計(jì)算能力不斷增強(qiáng)，很多曾經(jīng)有效的加密方案變得不再可靠，加密算法的有效性和可靠性因此受到多方面的挑戰(zhàn)。

實(shí)現(xiàn)強(qiáng)加密防護(hù)的要素

實(shí)現(xiàn)強(qiáng)加密安全防護(hù)需要包括強(qiáng)加密密鑰、強(qiáng)大的數(shù)學(xué)算法和復(fù)雜的加密過程等諸多關(guān)鍵要素，其中：

?強(qiáng)加密密鑰是用于加密的密碼。密碼越長(zhǎng)或越復(fù)雜，就越難被攻擊者破解。然而，現(xiàn)代計(jì)算機(jī)系統(tǒng)所采用的二進(jìn)制計(jì)數(shù)方式，導(dǎo)致加密密鑰很難具備充分的復(fù)雜性，因此只能在長(zhǎng)度上進(jìn)行彌補(bǔ)。大多數(shù)強(qiáng)加密密鑰需要至少128位（128個(gè)0和1的組合）。

?強(qiáng)大的數(shù)學(xué)算法是指使用密鑰為簡(jiǎn)單數(shù)學(xué)方法組成的算法饋入信息。當(dāng)前的加密算法普遍使用了橢圓上的點(diǎn)、大素?cái)?shù)乘法或?qū)Σ糠謹(jǐn)?shù)據(jù)實(shí)現(xiàn)異或（XOR）邏輯操作作為算法的基礎(chǔ)。

?復(fù)雜的加密過程是指通過多輪加密來(lái)對(duì)需要保護(hù)的數(shù)據(jù)集綜合使用多種復(fù)雜的加密密鑰和數(shù)學(xué)算法。比如說，Blowfish算法使用簡(jiǎn)單的XOR函數(shù)，并在16輪加密中每一輪執(zhí)行這四個(gè)操作：

   1. 對(duì)數(shù)據(jù)的左半部分與18項(xiàng)p數(shù)組執(zhí)行XOR操作。

   2. 使用XOR數(shù)據(jù)作為f函數(shù)的輸入（用于轉(zhuǎn)換數(shù)據(jù)）。

   3. 對(duì)f函數(shù)的輸出與數(shù)據(jù)的右半部分執(zhí)行XOR操作。

   4. 交換結(jié)果的左右兩半部分，作為下一輪加密的輸入。

以上所述的每個(gè)要素都能夠單獨(dú)提供部分保護(hù)能力。而將密鑰、算法和加密過程共同整合，就可以最大程度確保加密過程的完整性和強(qiáng)壯性。需要強(qiáng)調(diào)的是，強(qiáng)加密防護(hù)的最大特點(diǎn)是會(huì)對(duì)被保護(hù)數(shù)據(jù)進(jìn)行轉(zhuǎn)換以防止被竊取，而不僅是屏蔽數(shù)據(jù)，或只在數(shù)據(jù)輸出時(shí)進(jìn)行防篡改檢查。

每種加密技術(shù)在開始應(yīng)用時(shí)都被認(rèn)為是難以破解的，比如說早期的加密算法DES使用64位數(shù)據(jù)塊加密，采用16輪加密，密鑰只有56位。隨著算力增強(qiáng)，它就很容易被蠻力猜測(cè)破解。1997年，AES加密算法逐步取代了DES，將數(shù)據(jù)塊大小增加到128位，使用10到14輪加密，并將密鑰大小增加到至少128位。但美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）已經(jīng)發(fā)出提醒，量子計(jì)算可能會(huì)在未來(lái)20年讓AES岌岌可危。

實(shí)現(xiàn)強(qiáng)加密防護(hù)的建議

與網(wǎng)絡(luò)安全其他領(lǐng)域的安全工具一樣，密碼技術(shù)部署不當(dāng)會(huì)大大削弱其應(yīng)有的能力。為了獲得可靠的加密防護(hù)效果，企業(yè)的安全團(tuán)隊(duì)?wèi)?yīng)該根據(jù)業(yè)務(wù)發(fā)展的實(shí)際需求，選用適當(dāng)?shù)募用芗夹g(shù)，并在應(yīng)用實(shí)踐中參考一下建議：

1全面了解企業(yè)的加密環(huán)境

要實(shí)現(xiàn)強(qiáng)加密保護(hù)，安全團(tuán)隊(duì)首先需要全面評(píng)估和了解整個(gè)組織的加密措施應(yīng)用情況，以取代過時(shí)的保護(hù)措施，并確保其他加密最佳實(shí)踐的普遍應(yīng)用。就像資產(chǎn)發(fā)現(xiàn)或數(shù)據(jù)分析等其他任何安全實(shí)踐一樣，對(duì)不可見的資產(chǎn)是無(wú)法進(jìn)行監(jiān)控和保護(hù)。

同樣，將當(dāng)前加密數(shù)據(jù)的使用情況與整個(gè)組織的數(shù)據(jù)使用情況進(jìn)行比較。幾乎所有組織都對(duì)服務(wù)器采用全磁盤加密，以保護(hù)重要的靜態(tài)數(shù)據(jù)，但敏感數(shù)據(jù)需要持續(xù)保護(hù)，數(shù)據(jù)使用可能需要額外的文件、電子郵件或數(shù)據(jù)庫(kù)加密。

2使用可以支持的最長(zhǎng)加密密鑰

要實(shí)現(xiàn)強(qiáng)加密保護(hù)格外強(qiáng)調(diào)密碼長(zhǎng)度的重要性，但關(guān)鍵問題是如何設(shè)定密碼長(zhǎng)度的最大值和最小值的合理范圍。過去，密碼長(zhǎng)度受到限制是為了適應(yīng)存儲(chǔ)需求。但現(xiàn)在，隨著散列值的存儲(chǔ)，大小限制變得非常寬松，允許使用強(qiáng)而復(fù)雜的密碼。

此外，企業(yè)還可以采用密碼管理器或集中式加密管理，以彌補(bǔ)密碼遺忘的問題，并增加算力，以抵消操作方面的限制。通常情況下，鑰匙越長(zhǎng)，安全性越高。

然而，加長(zhǎng)的加密密鑰也一定程度增加了密碼應(yīng)用的成本，一些組織無(wú)力為所有數(shù)據(jù)使用最強(qiáng)的加密選項(xiàng)。最好的方法通常是將要保護(hù)的數(shù)據(jù)存放在特定的系統(tǒng)，然后針對(duì)不同用途采用不同的密鑰長(zhǎng)度。比如說，較短的密鑰保護(hù)筆記本電腦上不太敏感的數(shù)據(jù)，較長(zhǎng)的密鑰保護(hù)存儲(chǔ)在服務(wù)器上的敏感數(shù)據(jù)。

3采取分層加密的模式

使用多種類型和多層加密可以顯著提高加密技術(shù)抵御攻擊的能力。強(qiáng)加密防護(hù)同樣需要縱深防御的模式，多層加密限制了任何單一加密解決方案失效可能造成的危害，尤其是針對(duì)那些最關(guān)鍵的數(shù)據(jù)。

分層加密的每一層都能都加固密碼應(yīng)用的外部環(huán)境，并進(jìn)一步阻止未經(jīng)授權(quán)的解密活動(dòng)。比如說，微軟建議使用磁盤加密對(duì)靜態(tài)數(shù)據(jù)進(jìn)行加密、使用單獨(dú)的數(shù)據(jù)庫(kù)加密，并使用加密的VPN網(wǎng)關(guān)以傳輸數(shù)據(jù)。

4對(duì)密鑰進(jìn)行集中統(tǒng)一管理

為了提升加密應(yīng)用的安全水平，企業(yè)應(yīng)該將密鑰管理提高到與加密技術(shù)相同的重要級(jí)別。因?yàn)榧词蛊髽I(yè)部署了良好的加密策略和加密程序，糟糕的密鑰管理仍然會(huì)成為“阿喀琉斯之踵”。對(duì)于訓(xùn)練有素的安全團(tuán)隊(duì)，應(yīng)該盡快實(shí)施集中式統(tǒng)一密鑰管理，規(guī)范地生成、輪換、更新和注銷加密密鑰。集中管理有助于提高加密方案的安全級(jí)別并改進(jìn)安全流程，比如定期訪問或?qū)徲?jì)日志審查，對(duì)長(zhǎng)期備份數(shù)據(jù)中的密鑰進(jìn)行跟蹤，以及對(duì)加密資源進(jìn)行安全訪問管理。

5對(duì)應(yīng)用程序中的加密組件加強(qiáng)管理

OWASP 每年都會(huì)列出最嚴(yán)重、最常見的Web應(yīng)用程序安全漏洞，而由于加密組件管理不善、使用弱加密算法或加密算法部署不當(dāng)，使得加密故障類漏洞長(zhǎng)期存在在于這份清單中。加密部署不當(dāng)往往源于編程錯(cuò)誤或?qū)θ绾螆?zhí)行復(fù)雜的加密算法過程有誤解，比如無(wú)法更改變量、不正確地生成用于創(chuàng)建密鑰的隨機(jī)數(shù)，或者使用容易受到惡意或意外的算法輸入攻擊的代碼。

由于應(yīng)用軟件的開發(fā)人員往往不具備識(shí)別弱加密的專業(yè)知識(shí)，因此安全團(tuán)隊(duì)?wèi)?yīng)向開發(fā)團(tuán)隊(duì)列出可以使用或需禁止的加密算法類型/庫(kù)，以降低弱加密的風(fēng)險(xiǎn)。當(dāng)然，借助一些先進(jìn)的應(yīng)用程序漏洞掃描器也可以幫助開發(fā)人員檢測(cè)加密使用不當(dāng)?shù)那樾巍?/p>

此外，加密組件管理不善也會(huì)導(dǎo)致密鑰泄露或證書管理不當(dāng)，從而違背安全集中式密鑰管理原則。比如說，維護(hù)和保護(hù)web服務(wù)器SSL數(shù)字證書以方便加密連接，防止攻擊者竊取和使用企業(yè)證書實(shí)施冒充攻擊。企業(yè)可以借助專業(yè)工具和加密技術(shù)，加強(qiáng)對(duì)應(yīng)用程序中所應(yīng)用的加密組件進(jìn)行保護(hù)。

參考鏈接：https://www.esecurityplanet.com/networks/strong-encryption/