加密基础知识
密码学的目的
加密的目的是提供数据的机密性、完整性、身份验证和不可否认性。机密性通过使除授权用户以外的所有人都无法读取数据来保护数据;完整性保护数据免受意外或故意操纵;身份验证确保个人或实体是他们声称的身份;不可否认性提供用户执行了操作的证据,并防止他们否认他们这样做了。
使用加密
静态数据的加密可用于降低ICT设备和介质的处理要求,而传输中数据的加密可用于为通过公共网络基础设施传输的敏感或机密数据提供保护。
当组织对静态数据或传输中的数据使用加密时,它们不会降低数据的敏感性或分类。但是,由于数据是加密的,因此对手访问加密数据的后果被认为较小。因此,可以降低对加密数据的处理要求。由于未加密数据的敏感度或分类不会改变,因此不能使用额外的加密层来进一步降低物理和处理要求。
其他加密要求
这些准则描述了加密的一般用法。澳大利亚信号局(ASD)可能会在《澳大利亚通信安全指令》和其他网络安全相关出版物中指定加密设备或加密软件的其他要求。这些要求是对本准则的补充,发生冲突的情况优先。
加密模块的国际标准
国际标准化组织 (ISO)/国际电工委员会(IEC)19790:2012, 信息技术–安全技术–加密模块的安全要求,以及 ISO/IEC 24759:2017,信息技术–安全技术–加密模块的测试要求,是硬件和软件加密模块设计和验证的国际标准。
联邦信息处理标准(FIPS)140-3、加密模块的安全要求和美国国家标准与技术研究院(NIST)特别出版物(SP)180-140、FIPS 140-3 派生测试要求(DTR):CMVP 验证机构对ISO/IEC 24759 的更新是基于ISO/IEC 19790:2012 和ISO/IEC24759:2017的美国标准。
高保证加密设备
高保证加密设备(HACE)可用于保护秘密和绝密数据。HACE旨在使用加密技术降低秘密和最高机密数据的处理要求。由于HACE的敏感性,在使用HACE时,必须遵守澳大利亚网络安全中心(ACSC)制定的所有通信安全和设备特定原则。
加密静态数据
当加密应用于数据时,它提供了额外的防御层。加密不会改变数据的敏感性或分类,但在使用加密时,可以降低ICT设备和可移动介质的处理要求。在这样做时,使用全磁盘加密非常重要,因为它提供了比基于文件的加密更高级别的保护。这是因为,虽然基于文件的加密可以加密单个文件,但文件的未加密副本可能会保留在操作系统使用的临时位置。
加密包含OFFICIAL:敏感或受保护数据的媒体时,将使用已完成针对保护配置文件的通用标准评估的加密软件。
HACE 在加密包含机密或最高机密数据的媒体时使用。
全磁盘加密或部分加密(其中访问控制仅允许写入加密分区)是在加密静态数据时实现的。
加密静态高度敏感数据
由于与澳大利亚仅(AUSTEO)和澳大利亚政府仅访问(AGAO)数据相关的敏感性,因此在静止时需要对其进行加密。
除了已经到位的任何加密之外,ASD批准的加密算法(AACA)还用于在系统上静态加密AUSTEO和AGAO数据。
数据恢复
为了确保对加密数据的访问不会因加密密钥的丢失,损坏或故障而丢失,重要的是,实际的加密设备和加密软件提供了数据恢复的手段。
在可行的情况下,加密设备和加密软件提供了一种数据恢复手段,以允许加密密钥由于丢失,损坏或故障而不可用的情况。
处理加密的ICT设备和媒体
当用户对存储加密数据的ICT设备或介质的加密功能进行身份验证时,加密的数据变得可访问。此时,ICT设备或介质应根据其原始灵敏度或分类进行处理。一旦用户取消加密功能的身份验证(例如,关闭设备,激活锁定屏幕),ICT设备或媒体就可以恢复到可能在较低级别进行处理。
当用户对存储加密数据的ICT设备或介质的加密功能进行身份验证时,将按照其原始敏感度或分类进行处理,直到用户取消对加密功能的身份验证为止。
加密传输中的数据
如果安全性不足,无法保护在网络清除基础设施或通过无线网络传输的数据,则需要加密以保护数据免受未经授权的访问或操纵。例如,当敏感或机密数据通过无权以明文形式通信数据的网络进行通信时,当敏感或机密数据在适当安全的区域之外进行通信时,或者当敏感或机密数据通过公共网络基础设施进行通信时。
当通过安全性不足的网络、适当安全的区域之外或通过公共网络基础设施进行通信时,已完成针对保护配置文件的通用标准评估的加密设备或加密软件将用于保护OFFICIAL:敏感或受保护的数据。
HACE 用于在通过安全程度不足的网络、适当安全的区域之外或通过公共网络基础设施进行通信时保护SECRET和TOP SECRET数据。
加密传输中的高度敏感数据
由于与AUSTEO和AGAO数据相关的敏感性,在通过网络基础设施进行通信时需要对其进行加密。
除了已经到位的任何加密之外,ASD批准的加密协议(AACP)还用于在通过网络基础设施进行通信时保护AUSTEO和AGAO数据。
![信息安全手册之加密指南]( "信息安全手册之加密指南")
高保证加密算法
本节未涵盖的高保证加密算法,如果它们在HACE中正确实现,则可以用于保护SECRET 和 TOP SECRET数据。有关高保证加密算法的更多信息可以从ACSC获得。
ASD 批准的加密算法
无法保证算法能够抵抗当前未知的攻击。但是,本节中列出的算法已在实践和理论环境中受到行业和学术界的广泛审查,并且尚未发现容易受到任何可行的攻击。在某些情况下,已经发现了理论上令人印象深刻的安全漏洞;但是,这些结果并不实际应用。
AACA 分为三类:非对称/公钥算法、哈希算法和对称加密算法。
1.Diffie-Hellman(DH)就加密会话密钥达成一致
3.椭圆曲线 Diffie-Hellman(ECDH)用于密钥交换
4.用于数字签名的椭圆曲线数字签名算法(ECDSA)
5.Rivest-Shamir-Adleman(RSA)用于数字签名和传递加密会话密钥或类似密钥。
唯一批准的散列算法是安全散列算法2(SHA-2)(即SHA-224,SHA-256,SHA-384和SHA-512)。
唯一批准的对称加密算法是高级加密标准 (AES),使用 128、192 和 256 位的密钥长度。
如果算法存在一系列密钥大小,则某些较小的密钥大小不会获得批准,因为它们无法针对未来可能的攻击提供足够的安全裕度。例如,整数分解方法的进步可能会使较小的 RSA 模数容易受到攻击。
使用ASD 批准的加密算法
如果加密设备或软件实现了未经批准的算法,则这些算法可能会在用户不知情的情况下使用。结合假定的安全置信度级别,这可能表示存在安全风险。因此,组织可以通过禁用所有未经批准的算法(首选)或建议用户不要通过使用策略使用未经批准的算法来确保只能使用AACA或高保证加密算法。
批准的非对称/公钥算法
卫生署和灾害管理司与幼儿安全中心和幼儿安全中心相比,容易受到不同的攻击。因此,ECDH和ECDSA提供了更有效的每比特安全性。这导致较小的数据要求,这反过来又意味着椭圆曲线变体已成为事实上的全球标准。为了降低数据成本和促进互操作性,应尽可能使用ECDH和ECDSA。
使用Diffie-Hellman
正确实现的DH的2048位模数可提供 112位的有效安全强度。 考虑到预计的技术进步,据评估,到2030年,112位的有效安全强度将保持安全。
当使用素数场中的DH时,素模量会影响算法的安全性。创建这种素模量时的安全注意事项可以在NIST SP 800-56A Rev.3中找到,以及一组常用的安全模量。
使用DH就加密会话密钥达成一致时,将使用至少2048位的模量。
当使用DH就加密会话密钥达成一致时,根据NIST SP800-56A Rev. 3 选择模数和相关参数。
使用数字签名算法
正确实现的 DSA的2048位模量可提供112位的有效安全强度。 考虑到预计的技术进步,据评估,到2030年,112位的有效安全强度将保持安全。
使用DSA进行数字签名时,将使用至少2048位的模量。
使用DSA进行数字签名时,将根据FIPS 186-4生成模量和相关参数。
使用椭圆曲线加密
椭圆曲线算法中使用的曲线会影响算法的安全性。只应使用经批准的曲线。
使用椭圆曲线加密时,将使用FIPS 186-4中的曲线。
使用椭圆曲线 Diffie-Hellman
使用FIPS186-4 中的曲线时, 正确实现的ECDH的基点顺序和密钥大小至少为224位可提供 112位的有效安全强度。不能仅使用基点顺序和键大小来假定从其他源选择的曲线的安全性具有相同的安全性。
使用ECDH就加密会话密钥达成一致时,将使用至少224位的基点顺序和密钥大小。
使用椭圆曲线数字签名算法
使用 FIPS 186-4中的曲线时,正确实现的 ECDSA 的基点顺序和224 位密钥大小可提供 112 位的有效安全强度。不能仅使用基点顺序和键大小来假定从其他源选择的曲线的安全性具有相同的安全性。
将ECDSA用于数字签名时,将使用至少224位的基点顺序和密钥大小。
使用Rivest-Shamir-Adleman
正确实现的RSA的2048位模数可提供112位的有效安全强度。考虑到预计的技术进步,据评估,到2030年,112位的有效安全强度将保持安全。
当使用RSA进行数字签名以及传递加密会话密钥或类似密钥时,将使用至少2048位的模量。
将RSA用于数字签名以及传递加密会话密钥或类似密钥时,将使用与用于数字签名的密钥对不同的密钥对传递加密会话密钥。
经批准的对称加密算法
将电子密码本模式与块密码结合使用,允许明文中的重复模式在密文中显示为重复模式。大多数明文(包括书面语言和格式化文件)都包含明显的重复模式。因此,对手可以使用它来推断密文的可能含义。使用其他模式(如伽罗瓦/计数器模式、密码块链接、密码反馈或输出反馈)可以防止此类攻击,尽管每种模式都具有不同的属性,可能使其不适合某些用例。
与高可靠性加密设备一起使用的加密算法
ASD已批准以下加密算法,以便在HACE在ASD批准的配置中实现时保护机密和绝密数据。
应优先考虑推荐的算法和密钥大小,以确保与商业国家安全算法 (CNSA)套件的互操作性。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
NIST P-256
NIST P-384
NIST P-521
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
NIST P-256
NIST P-384
NIST P-521
|
|
|
|
|
|
|
|
![信息安全手册之加密指南]( "信息安全手册之加密指南")
高保证加密协议
本节未涵盖的高可靠性加密协议,如果它们在 HACE 中正确实现,则可以用于保护 SECRET 和 TOP SECRET 数据。有关高保证加密协议的更多信息可以从 ACSC 获得。
ASD 批准的加密协议
通常,ASD仅批准使用已通过正式评估的加密设备和软件。但是,ASD批准使用某些加密协议,即使它们在特定加密设备或软件中的实现尚未经过正式评估。此批准仅限于根据这些指南使用它们的情况。
1.传输层安全性(TLS)
2.安全Shell (SSH)
3.安全/多用途互联网邮件扩展 (S/MIME)
4.打开PGP消息格式
5.互联网协议安全(IPsec)
6.Wi-Fi 保护访问 2
7.Wi-Fi 保护访问 3.
使用ASD 批准的加密协议
如果加密设备或软件实现了未经批准的协议,则这些协议可能会在用户不知情的情况下使用。结合假定的安全置信度级别,这可能表示存在安全风险。因此,组织可以通过禁用未经批准的协议(首选)或建议用户不要通过使用策略使用未经批准的协议来确保只能使用AACP或高保证加密协议。
定义
术语安全套接字层(SSL)和TLS 传统上可以互换使用。但是,由于 SSL 3.0 不再是AACP,因此"SSL"的实例是指 SSL版本3.0及更低版本,而"TLS"是指 TLS 1.0 及更高版本。
使用传输层安全性
TLS 的最新版本是1.3版,于 2018年8月发布。
在使用实施 TLS的ICT设备或软件时,还需要在这些指南的ASD 批准的加密协议部分中查阅使用 AACP 的安全控制措施。
当使用DH或ECDH进行密钥建立时,使用临时变体。
密码套件配置为使用SHA-2作为消息身份验证代码和伪随机函数的一部分。
完美的前向保密
使用完全前向保密(PFS)可减少TLS会话泄露的影响。
使用安全Shell
使用实施 SSH 的 ICT 设备或软件时,还需要在这些指南的 ASD 批准的加密协议部分中查阅使用 AACP 的安全控制措施。
配置安全Shell
发现 SSH 版本 1 存在许多安全漏洞。因此,它被SSH版本2取代。以不安全的方式配置SSH 时,还存在许多安全风险。例如,转发连接和访问权限、使用基于主机的身份验证以及允许系统管理员登录。下面的配置设置基于 OpenSSH。使用其他 SSH 实现的组织应调整这些设置以适应其 SSH 实现。
1.仅侦听所需的接口(侦听地址 xxx.xxx.xxx.xxx)
2.有一个合适的登录横幅(横幅 x)
3.登录身份验证超时不超过 60 秒(登录时间 60)
4.禁用基于主机的身份验证(基于主机的身份验证 否)
5.禁用基于 rhosts 的身份验证(忽略Rhosts 是)
6.禁用以 root 身份直接登录的功能(PermitRootLogin no)
7.禁用空密码(允许空密码 否)
8.禁用连接转发(允许 TCP转发 否)
9.禁用网关端口(网关端口 否)
10.禁用 X11 转发(X11转发 否)。
身份验证机制
基于公钥的身份验证方案提供比基于密码短语的身份验证方案更强的身份验证方案,因为密码短语更容易受到猜测攻击。因此,如果使用密码短语,则应采取对策,以减少暴力破解攻击成功的机会。
自动远程访问
如果将没有密码的登录用于自动化目的,可能会出现许多安全风险,特别是:
1.如果来自未知互联网协议(IP)地址的访问不受限制,则对手可以自动向系统进行身份验证,而无需知道任何密码
2.如果未禁用端口转发,或者未安全配置端口,则可以访问转发端口,从而在对手和主机之间创建通信通道
3.如果启用了代理凭据转发,则攻击者可以连接到存储的身份验证凭据,并使用它们连接到其他受信任的主机,甚至连接到内部网主机(如果也允许端口转发)
4.如果未禁用 X11 显示器远程处理,则对手可以获得对显示器的控制以及键盘和鼠标控制功能
5.如果允许控制台访问,则登录到控制台的每个用户都可以运行通常仅限于经过身份验证的用户的程序。
为了帮助缓解这些安全风险,必须使用"强制命令"选项来指定执行的命令并启用参数检查。
1.从不需要访问的 IP 地址进行访问
2.端口转发
3.代理凭据转发
4.X11 显示器远程处理
5.控制台访问。
如果在不使用密码的情况下使用远程访问,则使用"强制命令"选项来指定执行的命令并启用参数检查。
SSH-agent
SSH 代理或其他类似的密钥缓存程序保存和管理存储在工作站上的私钥,并响应来自远程系统的请求以验证这些密钥。当 SSH 代理启动时,它会请求用户的密码来解锁用户的私钥。对远程系统的后续访问由代理执行,不需要用户重新输入其密码。屏幕锁定和即将到期的密钥缓存可确保用户的私钥不会长时间处于解锁状态。此外,为了限制凭据的公开,仅当需要 SSH 遍历时,才应启用代理凭据转发。
当使用 SSH 代理或其他类似的密钥缓存程序时,它仅在具有屏幕锁定的工作站和服务器上,密钥缓存设置为在非活动状态的四小时内过期,并且仅当需要 SSH 遍历时才启用代理凭据转发。
使用安全/多用途互联网邮件扩展
S/MIME 2.0 要求使用的加密技术(40 位密钥)比这些指南中批准使用的加密技术更弱。3.0版是第一个成为合适标准的版本。
选择实施 S/MIME 的组织应注意,许多内容筛选器无法检查加密邮件和附件中是否存在不当内容,也无法让基于服务器的防病毒软件扫描病毒和其他恶意代码。
使用实现 S/MIME 的ICT 设备或软件时,还需要在这些指南的 ASD 批准的加密协议部分中查阅使用 AACP 的安全控制措施。
使用互联网协议安全性
使用实施 IPsec 的 ICT设备或软件时,还需要在这些指南的 ASD 批准的加密协议部分中查阅使用 AACP 的安全控制措施。
互联网安全关联密钥管理协议身份验证
大多数 IPsec 实现将许多身份验证方法作为 Internet 安全关联密钥管理协议 (ISAKMP) 的一部分进行处理。这些密钥可以包括数字证书、加密随机数或预共享密钥。这些方法都被认为适合使用。
操作模式
IPsec 可以在传输模式或隧道模式下运行。隧道操作模式提供 IP 数据包的完整封装,而传输操作模式仅封装 IP 数据包的有效负载。
隧道模式用于IPsec 连接;但是,如果使用传输模式,则使用 IP 隧道。
协议选择
IPsec 包含两个主要协议:身份验证标头(AH) 和封装安全有效负载 (ESP)。为了提供安全的虚拟专用网络样式连接,需要身份验证和加密。AH 和 ESP 可以分别为整个 IP 数据包和有效负载提供身份验证。但是,ESP通常是身份验证的首选,因为AH本质上具有网络地址转换限制。但是,如果需要以牺牲网络地址转换功能为代价来获得最大的安全性,则可以将ESP包装在AH内部,然后AH将对整个IP数据包进行身份验证,而不仅仅是加密的有效负载。
密钥交换
有几种方法可以为 IPsec 连接建立共享密钥材料,包括手动密钥和 Internet 密钥交换 (IKE) 版本 1 和 2。IKE 解决了与手动密钥相关的许多安全风险,因此是建立密钥的首选方法。
互联网安全关联密钥管理协议模式
ISAKMP 主模式提供比主动模式更高的安全性,因为所有交换机都受到保护。
如果在IKE 版本1中使用 ISAKMP,则会禁用主动模式。
安全关联生存期
使用 4 小时(14400 秒)的安全关联生存期可在安全性和可用性之间取得平衡。
使用的安全关联生存期小于四小时(14400 秒)。
散列消息身份验证代码算法
批准的散列消息身份验证代码 (HMAC) 算法是 HMAC-SHA256、HMAC-SHA384 或 HMAC-SHA512。
HMAC-SHA256、HMAC-SHA384 或 HMAC-SHA512 用作 HMAC 算法。
迪菲-赫尔曼群
使用较大的 DH 组可为密钥交换提供更高的安全性。所需的最小模数大小在这些指南的 ASD 批准的加密算法部分中指定。
在进行密钥交换时,将使用网络中所有相关组件的最大模量大小。
完美的前向保密
互联网密钥交换扩展身份验证
使用 IKE 版本 1 的 XAuth 记录了与其使用相关的安全漏洞。
对于使用IKE版本1的IPsec连接,将禁用XAuth的使用。
![信息安全手册之加密指南]( "信息安全手册之加密指南")
加密系统
加密系统由加密设备和密钥材料组成。如果加密系统的安全控制与其他系统不同,则本节包含变体。
加密设备
以密钥状态传输加密设备可能会使其中的密钥材料受到潜在的危害。因此,如果加密设备在密钥状态下运输,则应根据其中密钥材料的灵敏度或分类来完成。
如果加密设备或相关密钥材料遭到破坏或怀疑受到损害(例如,被盗,丢失,复制或通过互联网传播),则先前和未来通信的机密性和完整性也可能受到损害。
密钥加密设备根据其中密钥材料的灵敏度或分类进行运输。
加密设备或相关密钥材料的泄露或可疑危害将在发生后尽快报告给组织的首席信息安全官或其代表之一。
高保证加密设备
HACE可以被组织用于保护秘密和绝密数据。使用HACE的组织必须遵守ACSC为管理和使用HACE而制定的所有通信安全和设备特定原则。
遵守ACSC为管理和使用HACE而制定的所有通信安全和设备特定原则。
使用HACE的区域与其他区域分开,并被指定为加密控制区域。
|
注:本文档翻译参考来源为澳大利亚ACSC,部分内容在本文中做了技术性调整,具体实施请参考我国有关标准,本文仅提供为大家提供一个信息安全的思路拓展。后期,有关密码学相关知识,我们再结合我国密码政策一同分享。
|
原文始发于微信公众号(祺印说信安):信息安全手册之加密指南
评论