Утечка информации

Утечка информации происходит всякий раз, когда система, спроектированная так, чтобы быть закрытой для подслушивания, тем не менее раскрывает некоторую информацию неавторизованным лицам. Другими словами: утечка информации происходит, когда секретная информация коррелирует или может коррелировать с наблюдаемой информацией. Например, при проектировании зашифрованной сети обмена мгновенными сообщениями сетевой инженер, не имеющий возможности взломать коды шифрования, мог видеть, когда передаются сообщения, даже если он не мог их прочитать.

Векторы риска

Современным примером утечки информации является утечка секретной информации посредством сжатия данных с использованием изменений степени сжатия данных для выявления корреляций между известным (или намеренно введенным) открытым текстом и секретными данными, объединенными в один сжатый поток. ^[1] Другим примером является утечка ключа, которая может произойти при использовании некоторых систем с открытым ключом, когда значения криптографического nonce, используемые в операциях подписи, недостаточно случайны. ^[2] Плохая случайность не может защитить правильное функционирование криптографической системы, даже в благоприятных обстоятельствах она может легко создавать взломанные ключи, которые приводят к утечке ключей. ^[3]^{[ нужна ссылка ]}

Утечка информации иногда может быть преднамеренной: например, может поставляться алгоритмический преобразователь, который намеренно пропускает небольшие объемы информации, чтобы предоставить его создателю возможность перехватывать сообщения пользователей, в то же время позволяя пользователю поддерживать иллюзию, что система безопасна. Этот вид преднамеренной утечки иногда называют подсознательным каналом . ^[4]^[5]

Как правило, только очень продвинутые системы используют защиту от утечки информации.

Ниже приведены наиболее часто применяемые контрмеры:

Используйте стеганографию , чтобы скрыть факт передачи сообщения.
Используйте поддразнивания , чтобы было непонятно, кому передаются сообщения (но это не скрывает от других факта передачи сообщений).
Для занятых ретрансляционных прокси, таких как узел Mixmaster : случайным образом задерживайте и меняйте порядок исходящих пакетов — это поможет замаскировать путь данного сообщения, особенно если имеется несколько популярных узлов пересылки, например, которые используются с почтой Mixmaster. пересылка.
Если значение данных больше не будет использоваться, сотрите его из памяти.

См. также

Ссылки

^ Келси, Дж. (2002). «Сжатие и утечка информации открытого текста». Быстрое программное шифрование . Конспекты лекций по информатике. Том. 2365. стр. 263–276. дои : 10.1007/3-540-45661-9_21 . ISBN 978-3-540-44009-3 .
^ Рембовский, Анатолий; Ашихмин, Александр; Козьмин Владимир; Смольский, Сергей (2009), «Методы и средства защиты от утечки информации по каналам ЦВЕ» , Радиомониторинг , вып. 43, Бостон, Массачусетс: Springer US, стр. 471–496, doi : 10.1007/978-0-387-98100-0_12 , ISBN. 978-0-387-98099-7 , получено 2 октября 2021 г.
^ Шнайер, Брюс; Фредриксон, Мэтью; Коно, Тадаёси; Ристенпарт, Томас (2015). «Тайно ослабляющие криптографические системы» . Шнайер по безопасности . Архивировано из оригинала 14 апреля 2019 г. Альтернативный URL.
^ Рон Ривест (3 октября 2002 г.). «6.857 Конспекты лекций по компьютерной и сетевой безопасности 9: DSA/DSS, RSA, атака с использованием выбранного зашифрованного текста» (PDF) . Массачусетский технологический институт . Проверено 14 сентября 2012 г.
^ Ю, Сян; Тянь, Чжихун; Цю, Цзин; Цзян, Фэн (2018). «Метод предотвращения утечки данных, основанный на сокращении конфиденциальных и контекстных условий для интеллектуальных мобильных устройств» . Беспроводная связь и мобильные вычисления . 2018 : 1–11. дои : 10.1155/2018/5823439 .

[1] Келси, Дж. (2002). «Сжатие и утечка информации открытого текста». Быстрое программное шифрование . Конспекты лекций по информатике. Том. 2365. стр. 263–276. дои : 10.1007/3-540-45661-9_21 . ISBN 978-3-540-44009-3 .

[2] Рембовский, Анатолий; Ашихмин, Александр; Козьмин Владимир; Смольский, Сергей (2009), «Методы и средства защиты от утечки информации по каналам ЦВЕ» , Радиомониторинг , вып. 43, Бостон, Массачусетс: Springer US, стр. 471–496, doi : 10.1007/978-0-387-98100-0_12 , ISBN. 978-0-387-98099-7 , получено 2 октября 2021 г.

[3] Шнайер, Брюс; Фредриксон, Мэтью; Коно, Тадаёси; Ристенпарт, Томас (2015). «Тайно ослабляющие криптографические системы» . Шнайер по безопасности . Архивировано из оригинала 14 апреля 2019 г. Альтернативный URL.

[4] Рон Ривест (3 октября 2002 г.). «6.857 Конспекты лекций по компьютерной и сетевой безопасности 9: DSA/DSS, RSA, атака с использованием выбранного зашифрованного текста» (PDF) . Массачусетский технологический институт . Проверено 14 сентября 2012 г.

[5] Ю, Сян; Тянь, Чжихун; Цю, Цзин; Цзян, Фэн (2018). «Метод предотвращения утечки данных, основанный на сокращении конфиденциальных и контекстных условий для интеллектуальных мобильных устройств» . Беспроводная связь и мобильные вычисления . 2018 : 1–11. дои : 10.1155/2018/5823439 .

[1]

[2]

[3]

[4]

[5]