Securitatea prin întuneric

Principiul securității prin obscuritate (în engleză: „  securitate prin / prin obscuritate  ”) se bazează pe nedivulgarea informațiilor referitoare la structura, funcționarea și implementarea obiectului sau procesului luat în considerare, pentru a asigura siguranța. Acest lucru se aplică zonelor sensibile din IT, criptologie , armament  etc.

Criptologie

În criptologie, securitatea prin obscuritate contravine principiului lui Kerckhoffs conform căruia securitatea oricărui criptosistem se bazează doar pe secretul cheii.

Un mesaj criptat, de exemplu cu ROT13 , poate rămâne secret doar dacă metoda utilizată pentru a cripta rămâne necunoscută adversarului. Dacă atacatorul „cunoaște sistemul” atunci va putea descifra mesajul. Criptologii pledează pentru transparență în procesul și proiectarea primitivelor criptografice . O astfel de practică face posibilă o mai bună evaluare a securității algoritmilor.

Protecție inginerie inversă

Pentru a împiedica oricine să poată găsi codul sursă al unui program din versiunea compilată (binară), unele companii folosesc programe pentru a face analiza mai dificilă. Există diferite metode. Putem cita:

• ofuscarea codului (vezi mai jos );
• criptarea programului;
• executarea codului de la distanță: o parte a programului este descărcată la fiecare lansare;
• etc.

Ofuscarea codului mașinii  :

• adăugarea de instrucțiuni valide și / sau argumente inutile funcțiilor (pentru a face citirea codului mai complexă);
• adăugarea de instrucțiuni nevalide și un salt deasupra acestor instrucțiuni pentru dezasamblarea dezasamblatorilor care nu acceptă acest tip de „protecție”;
• protecție anti- depanare adăugată  ;
• etc.

O companie poate distribui codul sursă al programelor sale, ascunzându-le în prealabil:

• identificatori redenumiți cu nume tăcute semantic;
• ștergerea indentării sau chiar a tuturor spațiilor nesemnificative;
• ștergerea comentariilor;
• adăugarea de instrucțiuni inutile;
• adăugarea de argumente inutile funcțiilor;
• etc.

Exemplu mainframe IBM

Compania IBM și-a dezvoltat mainframe- ul software principal într-un limbaj numit PL / 360, care a generat ansamblorul . Acest cod de asamblare a fost furnizat clienților săi care revendică versiunile sursă ale produselor și nu codul PL / 360. Nici compilatorul PL / 360 și nici specificațiile de limbă nu au fost furnizate publicului, deși instrucțiunile PL / 360 apar ca comentarii pe lista de asamblare furnizată.

Limite

În trecut, mai mulți algoritmi sau module software care conțin detalii interne păstrate secrete au fost dezvăluite publicului. În plus, vulnerabilitățile au fost descoperite și exploatate, deși detaliile interne au fost ținute sub acoperire. Următoarele exemple, prezentate de la un capăt la altul, arată dificultatea, dacă nu chiar ineficiența, de a păstra secret detaliile sistemelor și ale altor algoritmi.

Un proces de securitate-prin-obscuritate constă în fiabilitatea reală a securității sale, în cel mai rău caz, sau cel puțin afișează punctele sale forte în cel mai bun caz. Este atunci o simplă relație de încredere stabilită între furnizorii obiectului, structurii sau procesului astfel protejat și utilizatorii acestora, la care se face referire în viziunea securității menționate. Că un defect grav pune sub semnul întrebării sistemul devine o sursă de dificultate pentru furnizor, deoarece pe lângă consecințele directe datorate slăbiciunii exploatate, utilizatorul se poate simți înșelat de falsul sentiment de invulnerabilitate în care este menținut.

Exemple diverse

• Criptarea A5 / 1 pentru telefoanele mobile a devenit publică în parte datorită ingineriei inversate. Idem pentru RC4  : vezi Arcfour .
• Detaliile algoritmului software criptografic RSADSI au fost dezvăluite de o presupusă sursă pe Usenet .
• Vulnerabilitățile în versiunile succesive de Microsoft Windows , browserul său web implicit Internet Explorer și principalele sale aplicații de mesagerie Microsoft Outlook și Microsoft Outlook Express au fost sursa de probleme din întreaga lume atunci când virușii , troienii (troienii) sau viermii computerului le- au exploatat .
• Detaliile aparatului de vot electronic (compania Diebold Election Systems ) au fost postate pe un site oficial, aparent intenționat. )
• Porțiuni de cod sursă pentru sistemul de operare Microsoft Windows 2000 au fost dezvăluite după pătrunderea unei rețele corporative.
• Sistemul de operare pentru routerele Cisco a fost expus accidental pe o rețea corporativă.
• Carduri Compania Mifare Classic NXP bazată pe algoritmul proprietar CRYPTO1 .

Deschidere și securitate

Calitatea recunoscută a multor software-uri gratuite din punct de vedere al securității ( Apache , Mozilla Firefox , GnuPG ) este o ilustrare bună a faptului că deschiderea nu dăunează securității.

Citat din deputatul francez Bernard Carayon în raportul său Equal Arms , transmis primului ministru înOctombrie 2006 : "În sfârșit și deoarece codul sursă este public și, prin urmare , poate fi auditat , securitatea software-ului gratuit poate fi mai bine asigurată" .

Note și referințe

1. Limbaj de programare PL / 360 proiectat de Niklaus Wirth pentru IBM 360 și 370 , consultați (en) PL / 360 .
2. În 2004, 13 milioane de linii de cod sursă Windows 2000 în sălbăticie!
3. Raportul adjunctului Carayon către prim-ministru [PDF] .

Vezi și tu

Articole similare

• Cutie neagră (computer)
• Inginerie inversă
• Fuzzing (inserarea datelor aleatorii într-un program de computer)
• Securitatea informațiilor
• Trebuie să știu
• Cod impenetrabil