در مصاحبه با پل کوشر مدیر مرکز تحقیقات رمزنگاری؛
حملات هدفمند، مهمترین چالش امنیتی IT در 10 سال آینده
۱۴:۳۶
۱۳۸۴/۰۶/۱۹
به گزارش آفتاب نیوز، 
روزنامه WashingtonPost گفت و گویی را با وی در خصوص حملات امنیتی و نحوه بهره گیری از رمزنگاری برای مقابله با آنها، انجام داده است که در ادامه آن را می خوانید.
امنیت در طول 10 سال گذشته، با سرعت زیادی رشد یافته است. با این وجود، چرا ایمن سازی کامل یک سیستم، کار بسیار عظیمی به نظر می رسد؟
هر سال گرایشات متعددی بروز می کنند؛ از این لحاظ، ساختارهای مستحکم گوناگونی برای ایجاد سیستم های امنیتی وجود دارد. اما هنگامی که فراتر از لایه الگوریتم یا پروتکل بروید، در مرحله اجرا، هیچ کس در خصوص کارهای انجام شده اطلاعاتی ندارد. ما هیچ راهی برای رهایی از اشکالات نرم افزاری و نیز برای اطمینان از اینکه شبکه ها حقیقتا ایمن هستند، نداریم؛ جز آنکه اشتباهات خود را مشاهده کرده و آنها را رفع کنیم. ما اطلاعات کمی در خصوص نحوه ساخت سیستم هایی با خطر پذیری اندک داریم. بخش های زیادی وجود دارند، اما این بخش ها نسبت به اشکالات، بسیار حساس هستند. اغلب افراد به عنوان اولین خواسته، سیستم هایی می خواهند که قابل اعتماد بوده و با اشکال رو به رو نشوند. بسیاری از تحقیقات ما حول این موضوع بود که چگونه سیستم هایی ایجاد کنیم که به ندرت دچار اشکال شده و به راحتی بازیابی شوند.
آیا فروشندگان، باید خود بر مشکلاتشان فائق آیند و یا راه حل های دیگری نیز وجود دارد؟ در حال حاضر چه کسی باید در این عرصه پیشرو باشد؟
اغلب شرکت های بزرک به مهندسان خود را وادار می کنند تا تحصولاتشان را بررسی کرده و دریابند چه الگوریتم هایی در کدها به کار رفته است. این فرآیند چندان آسان نیست، زیرا اگر محصولی را 15 سال قبل به بازار عرضه کرده باشید، هیچ یک از مهندسان شرکت به ان توجهی نخواهند داشت. قطعا به هنگام ایجاد موارد جدید، افراد باید به این مقوله بیندیشند. چالشی که در خصوص توابعhash با آن رو به رو هستیم، این است که هیچ الگوریتم مجزایی وجود ندارد که بتوان گفت به خوبی مورد مطالعه قرار گرفته و در برابر حملات ایمن است. تعدادی از الگوریتم های هنوز نسبتا جدید بوده و به طور گسترده مورد استفاده قرار نگرفته و مشخص نیست که آیا می تواند حمله ای به آنان صورت گیرد یا خیر.
به تحقیقات شما، عبارت « امنیت قابل تجدید» اطلاق می شود. آیا می توانید این عبارت را توضیح داده و کاربرد آن را بیان کنید؟
در طول 20 سال گذشته، اغلب اقداماتی که در زمینه امنیت کامپیوترها صورت گرفت؛ بر ایجاد سیستم هایی قدرتمند در برابر حملات تمرکز داشت. این پرسش که پس از بروز اشکال در سیستم چه خواهید کرد، منجر به ایجاد سیستم های موفقی شده است، اما در اغلب موارد تحقیقات اندکی صورت گرفته و ساختار زیر بنایی ناچیزی به آنها اختصاص یافته است.
به عنوان مثال، اگر نرم افزار ویروس یاب را بررسی کنید، در خواهید یافت که از یک روش واکنشی در آن استفاده شده است. هنگامی که به مقوله محافظت در برابر سرقت فیلم، موسیقی و یا بازی ها بر می خوریم. این عقیده وجود دارد که باید جعبه ای قدرتمند ایجاد کرده و ابراز لازم را در آن قرار دهید و امیدوار باشید که این جعبه هیچ گاه دچار مشکل نمی شود. اما این مدل غیر واقعی است؛ چرا که شما نمی توانید سیستم های پیچیده ارزان قیمتی ایجاد کنید که توسط مهندسان نا آگاه از مسائل امنیتی توسعه یافته باشند.
یکی از زمینه هایی که به طور جدی بر روی آن کار کردیم، طراحی سیستمی برای کنترل این قبیل سرقت ها بود. در اینجا با خطرات غیر قابل پیش بینی و پیچیده ای رو به رو می شوید که انجام دفاع کارآمد را بسیار دشوار می کند به هر حال مادامی که فیلم جدید در حال فروش، به سرعت مورد سرقت واقع نشود، پیروزی بزرگی به دست آمده است.
این روزها مسئله ذخیره سازی بسیار اهمیت دارد، رمزنگاری چگونه به ایمن ماندن مطالب در مدت زمانی طولانی کمک می کند؟
امنیت در ذخیره داده ها، مشکل جذابی است؛ زیرا در این مقوله به امنیت بلند مدت و دائم نیاز دارید. ما تلاش بسیاری می کنیم تا سیستم هایی طراحی شوند که حتی به طور موقت ایمن باشند. در یک پروتکل معمولیی مثل آنچه که در تلفن یا پست الکترونیکی استفاده می شود، امنیت لحظه ای در تبادل داده ها مورد نظر است، اما برای داده را ذخیره کرده و بعدها می خواهید از آنها استفاده کنید.
در این زمینه با چالش هایی از قبیل ایجاد امنیت در شرکت به گونه ای که فناوری به کار رفته، قابلیت انعطاف پذیری مورد نیاز در آینده داشته باشد، مواجه هستید.
امروزه، افراد از معماری های متعددی برای ذخیره داده ها استفاده می کنند و اتفاق نظری در خصوص بهترین روش ندارند فرضا برخی شرکت ها، امینت را در لایه برنامه های کاربردی و برخی دیگر در شبکه قرار می دهند.
از این رو اداره ایمن داده ها بسیار دشوار است؛ به ویژه اگر لازم باشد این داده ها در طول زمان محافظت شوند.
به نظر شما، مهم ترین گرایش ها در زمینه رمزنگاری و امنیت IT در 10 سال آینده چه خواهند بود؟
حملات هدفمند، یکی از تهدیدات بالقوه است؛ مانند آنکه شخص قصد داشته باشد تا نامه های الکترونیکی تجاری شما را بخواند تا از آن سوء استفاده کند.
اغلب محصولات به گونه ای طراحی می شوند که در تمامی اوقات از تمامی کاربران محافظت کنند. فرضا آنها به منظور محافظت از موقعیتی که در آن شخص خاصی مورد هدف قرار گرفته باشد یا حمله از پیش تعیین شده ای صورت گیرد، طراحی نمی شوند.
اگر بتوانید 9/99 درصد از کامپیوترهای شبکه خود را از ویروس های دور نگه دارید، کار بزرگی در زمینه رفع معضل ویروس ها انجام داده اید. اما در صورتی که آن 1/0 درصد باقی مانده، مربوط به اطلاعات حساس شما باشد، در واقع هیچ کار مهمی انجام نداده اید.
روزنامه WashingtonPost گفت و گویی را با وی در خصوص حملات امنیتی و نحوه بهره گیری از رمزنگاری برای مقابله با آنها، انجام داده است که در ادامه آن را می خوانید. امنیت در طول 10 سال گذشته، با سرعت زیادی رشد یافته است. با این وجود، چرا ایمن سازی کامل یک سیستم، کار بسیار عظیمی به نظر می رسد؟
هر سال گرایشات متعددی بروز می کنند؛ از این لحاظ، ساختارهای مستحکم گوناگونی برای ایجاد سیستم های امنیتی وجود دارد. اما هنگامی که فراتر از لایه الگوریتم یا پروتکل بروید، در مرحله اجرا، هیچ کس در خصوص کارهای انجام شده اطلاعاتی ندارد. ما هیچ راهی برای رهایی از اشکالات نرم افزاری و نیز برای اطمینان از اینکه شبکه ها حقیقتا ایمن هستند، نداریم؛ جز آنکه اشتباهات خود را مشاهده کرده و آنها را رفع کنیم. ما اطلاعات کمی در خصوص نحوه ساخت سیستم هایی با خطر پذیری اندک داریم. بخش های زیادی وجود دارند، اما این بخش ها نسبت به اشکالات، بسیار حساس هستند. اغلب افراد به عنوان اولین خواسته، سیستم هایی می خواهند که قابل اعتماد بوده و با اشکال رو به رو نشوند. بسیاری از تحقیقات ما حول این موضوع بود که چگونه سیستم هایی ایجاد کنیم که به ندرت دچار اشکال شده و به راحتی بازیابی شوند.
آیا فروشندگان، باید خود بر مشکلاتشان فائق آیند و یا راه حل های دیگری نیز وجود دارد؟ در حال حاضر چه کسی باید در این عرصه پیشرو باشد؟
اغلب شرکت های بزرک به مهندسان خود را وادار می کنند تا تحصولاتشان را بررسی کرده و دریابند چه الگوریتم هایی در کدها به کار رفته است. این فرآیند چندان آسان نیست، زیرا اگر محصولی را 15 سال قبل به بازار عرضه کرده باشید، هیچ یک از مهندسان شرکت به ان توجهی نخواهند داشت. قطعا به هنگام ایجاد موارد جدید، افراد باید به این مقوله بیندیشند. چالشی که در خصوص توابعhash با آن رو به رو هستیم، این است که هیچ الگوریتم مجزایی وجود ندارد که بتوان گفت به خوبی مورد مطالعه قرار گرفته و در برابر حملات ایمن است. تعدادی از الگوریتم های هنوز نسبتا جدید بوده و به طور گسترده مورد استفاده قرار نگرفته و مشخص نیست که آیا می تواند حمله ای به آنان صورت گیرد یا خیر.
به تحقیقات شما، عبارت « امنیت قابل تجدید» اطلاق می شود. آیا می توانید این عبارت را توضیح داده و کاربرد آن را بیان کنید؟
در طول 20 سال گذشته، اغلب اقداماتی که در زمینه امنیت کامپیوترها صورت گرفت؛ بر ایجاد سیستم هایی قدرتمند در برابر حملات تمرکز داشت. این پرسش که پس از بروز اشکال در سیستم چه خواهید کرد، منجر به ایجاد سیستم های موفقی شده است، اما در اغلب موارد تحقیقات اندکی صورت گرفته و ساختار زیر بنایی ناچیزی به آنها اختصاص یافته است.
به عنوان مثال، اگر نرم افزار ویروس یاب را بررسی کنید، در خواهید یافت که از یک روش واکنشی در آن استفاده شده است. هنگامی که به مقوله محافظت در برابر سرقت فیلم، موسیقی و یا بازی ها بر می خوریم. این عقیده وجود دارد که باید جعبه ای قدرتمند ایجاد کرده و ابراز لازم را در آن قرار دهید و امیدوار باشید که این جعبه هیچ گاه دچار مشکل نمی شود. اما این مدل غیر واقعی است؛ چرا که شما نمی توانید سیستم های پیچیده ارزان قیمتی ایجاد کنید که توسط مهندسان نا آگاه از مسائل امنیتی توسعه یافته باشند.
یکی از زمینه هایی که به طور جدی بر روی آن کار کردیم، طراحی سیستمی برای کنترل این قبیل سرقت ها بود. در اینجا با خطرات غیر قابل پیش بینی و پیچیده ای رو به رو می شوید که انجام دفاع کارآمد را بسیار دشوار می کند به هر حال مادامی که فیلم جدید در حال فروش، به سرعت مورد سرقت واقع نشود، پیروزی بزرگی به دست آمده است.
این روزها مسئله ذخیره سازی بسیار اهمیت دارد، رمزنگاری چگونه به ایمن ماندن مطالب در مدت زمانی طولانی کمک می کند؟
امنیت در ذخیره داده ها، مشکل جذابی است؛ زیرا در این مقوله به امنیت بلند مدت و دائم نیاز دارید. ما تلاش بسیاری می کنیم تا سیستم هایی طراحی شوند که حتی به طور موقت ایمن باشند. در یک پروتکل معمولیی مثل آنچه که در تلفن یا پست الکترونیکی استفاده می شود، امنیت لحظه ای در تبادل داده ها مورد نظر است، اما برای داده را ذخیره کرده و بعدها می خواهید از آنها استفاده کنید.
در این زمینه با چالش هایی از قبیل ایجاد امنیت در شرکت به گونه ای که فناوری به کار رفته، قابلیت انعطاف پذیری مورد نیاز در آینده داشته باشد، مواجه هستید.
امروزه، افراد از معماری های متعددی برای ذخیره داده ها استفاده می کنند و اتفاق نظری در خصوص بهترین روش ندارند فرضا برخی شرکت ها، امینت را در لایه برنامه های کاربردی و برخی دیگر در شبکه قرار می دهند.
از این رو اداره ایمن داده ها بسیار دشوار است؛ به ویژه اگر لازم باشد این داده ها در طول زمان محافظت شوند.
به نظر شما، مهم ترین گرایش ها در زمینه رمزنگاری و امنیت IT در 10 سال آینده چه خواهند بود؟
حملات هدفمند، یکی از تهدیدات بالقوه است؛ مانند آنکه شخص قصد داشته باشد تا نامه های الکترونیکی تجاری شما را بخواند تا از آن سوء استفاده کند.
اغلب محصولات به گونه ای طراحی می شوند که در تمامی اوقات از تمامی کاربران محافظت کنند. فرضا آنها به منظور محافظت از موقعیتی که در آن شخص خاصی مورد هدف قرار گرفته باشد یا حمله از پیش تعیین شده ای صورت گیرد، طراحی نمی شوند.
اگر بتوانید 9/99 درصد از کامپیوترهای شبکه خود را از ویروس های دور نگه دارید، کار بزرگی در زمینه رفع معضل ویروس ها انجام داده اید. اما در صورتی که آن 1/0 درصد باقی مانده، مربوط به اطلاعات حساس شما باشد، در واقع هیچ کار مهمی انجام نداده اید.
ارسال پیام
لینک های مفید