安全是有分量的

海外高防ip_ddos清洗费用_超稳定

2022-01-12 23:30栏目:智能汇

海外高防ip_ddos清洗费用_超稳定

周二,维基解密发布了一批据称是中情局绝密文件,其中许多涉及对其密码要求的解释。通读这些文件结果令人扫兴,中情局的密码要求相当枯燥,这就是它在密码中通常的工作方式,"这些要求旨在确保用于推进中情局情报收集活动的工具达到令人满意的最低安全水平(我的重点)。"。CIA在这里的意思不是最低的加密级别的安全性,而不是潜在的更强的加密,而是CIA的意思是加密是绝对必要的,以保护他们的软件不被检测,以确保数据的秘密外泄,为了保护泄露数据的机密性,我将避免使用涉及机密性、完整性、真实性的双关语。

下面我将首先讨论CIA指定的五个加密套件,然后我将强调CIA文件中的其他一些要点。

加密套件

指定了五个加密套件,前三个用于网络通信,基本上是TLS 1.2类协议的要求:

长寿命套件,"与驻留在目标或重定向器上的工具一起使用超过一个工作日",三个套件中最强的一个规定:具有2048位Diffie-Hellman、2048位RSA或256位椭圆曲线Diffie-Hellman的密钥交换(但建议反对RSA,以确保前向保密性)带有DSA、RSA或ECDSA的数字签名,具有相同的2048位或256位参数大小相互身份验证(因此使用客户端证书)以预共享证书的形式固定基于SHA-256、SHA-384或SHA-512使用HMAC的消息完整性使用AES-CBC、-CTR或-GCM的消息机密性(这很奇怪,因为已经有HMAC和没有标记的GCM本质上是CTR)。短命套件"与驻留在目标或重定向器上的工具一起使用少于一个工作日"与长寿命套件类似,但接受基于HMAC的"身份验证",而不是只接受公钥签名。我不太清楚这里的"身份验证"指的是什么,因为CIA区分了HMAC的完整性和HMAC的身份验证。我很乐意得到读者或中情局雇员的澄清。弱套件,显然是为了支持遗留系统,允许较弱的算法:HMAC-SHA-1,1024位RSA和DSA,块密码Serpent,Twofish,Blowfish,3DES,以及流密码(或"伪一次性pad"在中情局的说法)RC4。但RC4只有在密钥流的前3072字节(CIA称之为"加密流")被丢弃时才被接受,以隐藏RC4密钥调度中最明显的偏差。

对于HMAC和AES,长寿命和短命套件强制使用256位对称密钥,但不一致地使用2048位RSA/DSA和256位椭圆曲线,这样你就有了128位的安全性。弱套件允许128位对称密钥,但允许1024位RSA/DSA。

还有两个其他加密套件:

收集加密套件,防火墙防御ddos攻击,用于保护"收集的信息"(从受感染的系统窃取)。文件或数据块应使用256位密钥AES加密,同样采用CBC、CTR或GCM模式(但不具备身份验证功能);我假设中情局提到了GCM,而不仅仅是CTR(如果图书馆只提供给GCM)。然后,应"使用发送方的预共享非对称私钥"、2048位RSA/DSA或256位椭圆曲线(尽管未明确引用ECDSA)对密文摘要进行签名。工具状态加密套件,用于保护工具及其相关文件,如何设置ddos防御,与集合加密套件具有相同的原语集。

所以这都是相当标准的加密。

最佳实践

CIA提出了一系列建议,有时熟悉,全球DDoS防御市场排名,但有时忽略加密正统:

不要推出自己的加密™: CIA批评NSA所谓的Equation Group使用自定义加密,并建议他们的工具遵守NIST标准,并强制使用平台提供的库(该文件引用了Microsoft CryptoAPI NG、OpenSSL、PolarSSL、GnuTLS等)。

加密前的消息压缩是强制性的,其理由如下:"压缩减少了需要加密的信息量,从而减少了可用于密码分析的材料量。此外,压缩的目的是消除信息中的冗余,从而使密码分析更加复杂。"我可以理解,压缩使得文件更短,因此简化了窃取信息的过滤,但一般来说,香港高防cdn,你不应该听从中情局的建议。这是因为压缩消息的大小取决于原始消息的内容,因此会泄漏消息上的信息(还记得犯罪吗?)

建议重新设置密钥(即加密一定数量的数据后更改加密密钥),以"最大限度地减少密钥暴露"。CIA暗示了某些算法的弱点,但指出"现阶段哪些算法的确切性质是高度机密的。"我可以假设它们涉及AES-GCM的限制,以及64位块的块密码。

带工作证明的解密称为随机解密算法(RDA),描述为"恶意软件不拥有自己的主要执行组件的解密密钥"。简而言之,恶意软件的执行将从蛮力步骤开始,以便找到解密恶意软件主程序所需的正确解密密钥。不过,这并不是什么新鲜事,恶意软件作者一直在使用这个简单的技巧来避免被发现,例如通过执行沙盒。

所以这里没有什么真正令人兴奋的,中情局使用的是90年代的加密技术,但似乎足以满足他们的需要。对于恶意软件来说,加密只是谜题中的一小部分,其中的首要任务是避免被发现并最小化取证足迹。因此,vps防御ddos程序,坚持使用标准加密和重用平台组件而不是带来新的复杂方案是有意义的。