Борьба «щита и меча» в области доступа к данным идет непрерывно и впитывает в себя все новейшие технологии. Даже те, которых, можно сказать, пока еще нет, например — специалисты по безопасности готовятся отразить попытки злоумышленников взломать шифры при помощи квантовых компьютеров, которые пока еще не стали сколько-то полноценным рабочим инструментом.
Мировые расходы на информационную безопасность в 2020 г., $млн
Источник: Gartner, 2020
Но несмотря на то, что в обеспечение защиты данных вкладываются миллиарды, то и дело появляется информация об утечке данных крупнейших (а, стало быть, немало тратящих на защиту данных) компаний. Цифровая трансформация предприятий резко увеличивает количество объектов, через которые злоумышленники могут добраться до корпоративных информационных систем. А последние достижения в области ИТ, такие как искусственный интеллект, помогают им вскрывать даже хорошо налаженную оборону.
Впрочем, есть и хорошие новости. Как полагает Питер Уэйнер (Peter Wayner), автор книг и ИТ-консультант, стандартные алгоритмы, такие как Secure Hash Algorithm (SHA) и Advanced Encryption Standard (AES) пока еще устойчивы к атакам. Некоторые их реализации, такие как SHA1, стали слишком ненадежными, но в целом картина пока далека от катастрофической.
Однако, говорит Питер Уэйнер, это не повод расслабляться. Впереди новые вызовы, которые обеспечат криптографов работой на многие годы вперед. В статье для журнала CSO он выделил 4 самых «горячих» направления деятельности в сфере шифрования.
Так, Американский Национальный институт стандартов и технологий (National Institute of Standards and Technology) с 2016 г. ведет отбор «квантово-устойчивых» (или «постквантовых») алгоритмов. Третий тур конкурса стартовал прошлым летом, из 69 первоначальных участников осталось 15, из которых 7 названы «финалистами», а 8 названы «альтернативами» (они предназначены для нишевых применений или пока еще дорабатываются). В NIST заявили, что пандемия коронавируса спутала их планы, но в институте надеются анонсировать новые алгоритмы уже в 2022 г.
Сложность выявления «наилучшего» алгоритма состоит в том, что исследователи пытаются смоделировать атаки, которые могут исходить от пока несуществующих машин. Успехи квантовых компьютеров во всех сферах пока невелики, а их стоимость — запредельна.
Поэтому многие полагают, что средствам шифрования в обозримом будущем стоит опасаться легкодоступных облачных кластеров, а не квантовых суперкомпьютеров.
В России также ведутся работы в области квантовой криптографии. В апреле 2020 г. Центр компетенций НТИ «Квантовые коммуникации» разработал способ повысить уровень защищенности квантовой криптографии. «Ростелеком» в сентябре 2020 г. организовал оптическую линию связи с квантовым распределением ключей шифрования. А всего на развитие квантовых коммуникаций (невозможных без соответствующих средств шифрования) страна потратит до 2024 г. 11,2 ₽млрд.
Гомоморфное шифрование — форма шифрования, позволяющая производить некоторые математические действия с зашифрованными данными и получать зашифрованный результат, который соответствует результату операций, выполненных с известными данными. Внедрение средств гомоморфного шифрования позволило бы лказывать различные услуги на основе данных, не открывая сами данные.
Долгое время гомоморфное шифрование представляло чисто академический интерес, поскольку работа с ним требовала очень больших вычислительных ресурсов. Однако в последнее десятилетие ему стали уделять гораздо большее внимание благодаря созданию новых алгоритмов.
Появляются и практические реализации средств гомоморфного шифрования. Недавно IBM представил набор инструментов Fully Homomorphic Encryption для всех популярных платформ, кроме Windows (MacOS, iOS, Android и Linux). Он позволяет, например, осуществлять поиск в банковских записях с сохранением конфиденциальности данных. Свою библиотеку выпустила и Microsoft, ее решение оптимально для проведения операций сложения и умножения, зато оно не поддерживает поиск по зашифрованным данным.
В России гомоморфное шифрование опробовали в ходе тестирования системы дистанционного электронного голосования, в котором приняли участие 30 тыс. человек. Новый протокол безопасности на базе гомоморфного шифрования представило в июне НПО «Криптонит». В упоминавшейся программе развития квантовых коммуникаций также есть раздел, посвященный шифрованию, в том числе — гомоморфному.
Соответствующие средства с открытым исходным кодом для желающих поэкспериментировать выпустили недавно Microsoft и Google. Инструменты первой компании «заточены» на работу с SQL-данными и данными, хранящимися и анализируемыми в Azure. Библиотеки Google более «общие». Их самая функциональная версия реализована на C ++, но компания переносит функции на Java и Go.
На практике такие средства уже используются, например Бюро переписи населения США начало применять их на практике в 2008 г. Ему необходимо было найти баланс между защитой частной информации граждан и желанием компаний использовать данные о гражданах в своем бизнесе. Предполагается, что данные по переписи 2020 г. будут предоставляться с помощью средств дифференцированной конфиденциальности.
Одним из наиболее активных направлений развития криптографии в этой области является усиление конфиденциальности путем добавления «доказательств с нулевым разглашением».
Доказательство с нулевым разглашением (Zero-knowledge proof) — интерактивный криптографический протокол, позволяющий одной из взаимодействующих сторон, «проверяющему», убедиться в достоверности какого-либо утверждения, не имея при этом никакой другой информации от второй стороны, «доказывающего». Вся сложность состоит в том, чтобы доказать, что у одной из сторон есть информация, не раскрывая ее содержание.
Самые ранние протоколы использовали базовые цифровые подписи для аутентификации транзакций. В последнее время были разработаны гораздо более эффективные версии доказательств с нулевым разглашением, которые позволяют подтверждать транзакцию, не раскрывая никакой дополнительной информации.
В России до 2024 г. собираются потратить на «технологии распределенного реестра» (самой известной из которых является блокчейн) ₽36 млрд. Среди прочего, планируется потратить деньги и на системы, использующие алгоритм доказательства с нулевым разглашением — и в 2030 г. у нас будут 4 таких системы.
CNews
Борьба за «новую нефть»
Данные — это новая нефть с тем отличием, что в мире ИТ твою «нефть» может выкачать злоумышленник. Поэтому траты на обеспечение безопасности информации быстро растут. Даже в текущем году, когда весь ИТ-рынок существенно просядет, аналитики Gartner считают, что продажи средств защиты увеличатся на 2,4%, до $123,8 млрд. По сравнению с ростом на 8–10%, которого рынок ИБ достигал в прошлые годы (и который планировался еще в декабре 2019 г. на текущий год) это мало, но практически все прочие сегменты ИТ-рынка под влиянием эпидемии коронавируса и вовсе уменьшатся. Так что действующим лицам рынка инфомационной безопасности грех жаловаться.Мировые расходы на информационную безопасность в 2020 г., $млн
Затраты в 2019 г. | Затраты в 2020 г. | Рост 2020/2019 (%) | |
Безопасность приложений | 3 095 | 3 287 | 6,2% |
Облачная безопасность | 439 | 585 | 33,3% |
Безопасность данных | 2 662 | 2 852 | 7,2% |
Системы индентификации и управления доступом (IAM) | 9 837 | 10,409 | 5,8% |
Защита инфраструктуры | 16 52 | 17 483 | 5,8% |
Комплексное управление рисками (IRM) | 4 555 | 4 731 | 3,8% |
Оборудование сетевой защиты | 13 387 | 11 694 | -12,6% |
Другое ПО | 2 206 | 2 273 | 3,1% |
ИБ-сервисы | 61 979 | 64 27 | 3,7% |
Потребительское ПО | 6 254 | 6 235 | -0,3% |
Итого: | 120 934 | 123 818 | 2,4% |
Но несмотря на то, что в обеспечение защиты данных вкладываются миллиарды, то и дело появляется информация об утечке данных крупнейших (а, стало быть, немало тратящих на защиту данных) компаний. Цифровая трансформация предприятий резко увеличивает количество объектов, через которые злоумышленники могут добраться до корпоративных информационных систем. А последние достижения в области ИТ, такие как искусственный интеллект, помогают им вскрывать даже хорошо налаженную оборону.
Впрочем, есть и хорошие новости. Как полагает Питер Уэйнер (Peter Wayner), автор книг и ИТ-консультант, стандартные алгоритмы, такие как Secure Hash Algorithm (SHA) и Advanced Encryption Standard (AES) пока еще устойчивы к атакам. Некоторые их реализации, такие как SHA1, стали слишком ненадежными, но в целом картина пока далека от катастрофической.
Однако, говорит Питер Уэйнер, это не повод расслабляться. Впереди новые вызовы, которые обеспечат криптографов работой на многие годы вперед. В статье для журнала CSO он выделил 4 самых «горячих» направления деятельности в сфере шифрования.
1. «Призрачная угроза»: квантовых компьютеров еще нет, но защиту от них уже ищут
Проблему для современных средств шифрования могут создать квантовые компьютеры. Пока до этого далеко, однако безопасность — это та сфера, где сани готовят еще летом.Так, Американский Национальный институт стандартов и технологий (National Institute of Standards and Technology) с 2016 г. ведет отбор «квантово-устойчивых» (или «постквантовых») алгоритмов. Третий тур конкурса стартовал прошлым летом, из 69 первоначальных участников осталось 15, из которых 7 названы «финалистами», а 8 названы «альтернативами» (они предназначены для нишевых применений или пока еще дорабатываются). В NIST заявили, что пандемия коронавируса спутала их планы, но в институте надеются анонсировать новые алгоритмы уже в 2022 г.
Сложность выявления «наилучшего» алгоритма состоит в том, что исследователи пытаются смоделировать атаки, которые могут исходить от пока несуществующих машин. Успехи квантовых компьютеров во всех сферах пока невелики, а их стоимость — запредельна.
Поэтому многие полагают, что средствам шифрования в обозримом будущем стоит опасаться легкодоступных облачных кластеров, а не квантовых суперкомпьютеров.
В России также ведутся работы в области квантовой криптографии. В апреле 2020 г. Центр компетенций НТИ «Квантовые коммуникации» разработал способ повысить уровень защищенности квантовой криптографии. «Ростелеком» в сентябре 2020 г. организовал оптическую линию связи с квантовым распределением ключей шифрования. А всего на развитие квантовых коммуникаций (невозможных без соответствующих средств шифрования) страна потратит до 2024 г. 11,2 ₽млрд.
2. Обработка без расшифровки: гомоморфное шифрование
Еще одно перспективное направление — организация работы с зашифрованными данными напрямую, без их расшифровки. Его актуальность повышается по мере того, как все больше информации попадает в облачные системы, которые могут оказаться с точки зрения безопасности не так хорошо защищены, как локальные. Если в процессе обработки данные остаются зашифрованными, то потенциальная «ненадежность» облачных систем становится не так важна.Гомоморфное шифрование — форма шифрования, позволяющая производить некоторые математические действия с зашифрованными данными и получать зашифрованный результат, который соответствует результату операций, выполненных с известными данными. Внедрение средств гомоморфного шифрования позволило бы лказывать различные услуги на основе данных, не открывая сами данные.
Долгое время гомоморфное шифрование представляло чисто академический интерес, поскольку работа с ним требовала очень больших вычислительных ресурсов. Однако в последнее десятилетие ему стали уделять гораздо большее внимание благодаря созданию новых алгоритмов.
Появляются и практические реализации средств гомоморфного шифрования. Недавно IBM представил набор инструментов Fully Homomorphic Encryption для всех популярных платформ, кроме Windows (MacOS, iOS, Android и Linux). Он позволяет, например, осуществлять поиск в банковских записях с сохранением конфиденциальности данных. Свою библиотеку выпустила и Microsoft, ее решение оптимально для проведения операций сложения и умножения, зато оно не поддерживает поиск по зашифрованным данным.
В России гомоморфное шифрование опробовали в ходе тестирования системы дистанционного электронного голосования, в котором приняли участие 30 тыс. человек. Новый протокол безопасности на базе гомоморфного шифрования представило в июне НПО «Криптонит». В упоминавшейся программе развития квантовых коммуникаций также есть раздел, посвященный шифрованию, в том числе — гомоморфному.
3. Прячем лист в лесу: дифференциальная конфиденциальность
Еще один возможный подход к обеспечению безопасности данных — дифференциальная конфиденциальность. Его иногда смешивают с шифрованием, поскольку он также служит для защиты личной информации. Однако лежащая в его основе математика существенно отличается, поскольку данный инструмент предлагает только статистические гарантии конфиденциальности, добавляя к данным ровно столько «шума», чтобы затруднить соединение элементов данных с их владельцами. То есть, образно говоря, данные не хранятся в сейфе, а теряются в море шума — «лист прячут в лесу».Соответствующие средства с открытым исходным кодом для желающих поэкспериментировать выпустили недавно Microsoft и Google. Инструменты первой компании «заточены» на работу с SQL-данными и данными, хранящимися и анализируемыми в Azure. Библиотеки Google более «общие». Их самая функциональная версия реализована на C ++, но компания переносит функции на Java и Go.
На практике такие средства уже используются, например Бюро переписи населения США начало применять их на практике в 2008 г. Ему необходимо было найти баланс между защитой частной информации граждан и желанием компаний использовать данные о гражданах в своем бизнесе. Предполагается, что данные по переписи 2020 г. будут предоставляться с помощью средств дифференцированной конфиденциальности.
4. И снова блокчейн
Криптографические исследования в области криптовалют по-прежнему являются «горячей» темой, поскольку на них основываются и сами виртуальные валюты, и соответствующие блокчейн-решения.Одним из наиболее активных направлений развития криптографии в этой области является усиление конфиденциальности путем добавления «доказательств с нулевым разглашением».
Доказательство с нулевым разглашением (Zero-knowledge proof) — интерактивный криптографический протокол, позволяющий одной из взаимодействующих сторон, «проверяющему», убедиться в достоверности какого-либо утверждения, не имея при этом никакой другой информации от второй стороны, «доказывающего». Вся сложность состоит в том, чтобы доказать, что у одной из сторон есть информация, не раскрывая ее содержание.
Самые ранние протоколы использовали базовые цифровые подписи для аутентификации транзакций. В последнее время были разработаны гораздо более эффективные версии доказательств с нулевым разглашением, которые позволяют подтверждать транзакцию, не раскрывая никакой дополнительной информации.
В России до 2024 г. собираются потратить на «технологии распределенного реестра» (самой известной из которых является блокчейн) ₽36 млрд. Среди прочего, планируется потратить деньги и на системы, использующие алгоритм доказательства с нулевым разглашением — и в 2030 г. у нас будут 4 таких системы.
CNews