データの暗号化/保護-高レベルのベストプラクティスに関する情報の入手先[終了]

私が所属するグループの誰も、私も含めて、暗号化とセキュリティ、または特定の決定を行う背後にある理由を実際に理解していないと感じています。たとえば、私たちは最近、私たちが扱う別のグループのために処理するデータの暗号化について会話しました。したがって、企業ネットワークの整合性は非常に高いです）、私たちが扱う他のすべてと一緒に。もちろん、標準のガイドラインでは、このデータの「暗号化」を求めています。

明らかに、それは多くのことを意味する可能性があります-IPSec /暗号化された接続、暗号化されたファイル共有、DBに実装された暗号化（DB全体または列）、ファイル内の実際のビットの暗号化など-およびグループの一部の人々は実際にカウントされる唯一の種類の暗号化は、格納されているビットを直接暗号化することであるという印象です。議論は、他のすべては簡単に回避できるというものです-「DBが暗号化されている場合でも、ログインしてそこにデータを表示できます。ファイル共有が暗号化されている場合は、フォルダーへのアクセス許可がある限り、ファイルを取得できますが、ビットが直接暗号化されている場合は読み取ることができません。」私の本能は、そのステートメントは限られた理解に基づいていると言います：彼らはSQL Server Management Studioにログインしてデータを見ることができ、しかし、暗号化されたデータのストリームまたは配列を取得し、おそらくそれを解読するためにアクセスできる証明書を使用する方法を彼らは知らないので、それはおそらく安全です。彼らは正しいですか？私は正しいですか？誰も本当に知っているようには見えないので、決定は最も声の大きい人や最も高額な人の意見に基づいて行われます。

とにかく、それは私が話していることの単なる拡張例です。私は、ここでブラインドをリードしているブラインドであり、限られた理解に基づいて決定を下しているように感じ、それはイライラさせられます。私は暗号化の技術的なビットについては専門家ではありませんが、標準ライブラリを使用してストリームやアレイなどを暗号化する方法を知っています-データセキュリティの設計と、そのような決定の基礎となる情報についての知識が本当に必要な場合は、上記。この種のものについてどこで読むことができますか？

ファーガソン＆シュナイアーの暗号工学は、暗号を適切に使用する方法を説明します。あなたの質問の音から、それはあなたのための本です。

特に、AES、SHA-1など、暗号で使用されるアルゴリズムについては多くの本で説明されていますが、暗号工学ではそうではありません。代わりに、クックブックアプローチによる暗号化の使用に対処します。メッセージを保護する場合、メッセージに署名してから暗号化しますか？または、暗号化してから署名しますか？安全なシステムを構築するために、暗号プリミティブをどのように接続しますか？（そして「安全」とはどういう意味ですか？）

要するに、暗号アルゴリズムを学ぶのではなく、暗号を使用したい場合、この本はあなたのためです。

暗号を効果的に使用するための最初のステップは、防御しようとしている脅威を把握することです。物事の音から、あなたはそれについて実際の合意はありません。

考慮する必要がある少なくとも2つの基本的なポイントがあります。1つ目は、誰がデータにアクセスできるか、誰がアクセスできないかです。データへのアクセスを必要とする人が少なくとも数人、通常は信頼できる人（システム管理者）が少なくとも数人います。

次に、どのような「悪者」とどのような種類の攻撃から保護しようとしていますか？単に人々の好奇心を鎮め、偶然に物事を見つけられないようにしようとしているのですか、それとも暗号を知っていて、データにアクセスするのに多くの時間と労力を費やすことをいとわない深刻な攻撃者から保護しているのですか？部外者が（たとえば）インターネット経由で送信されたものとしてデータを見ていることだけを懸念しているのか、またはコンピュータが物理的に盗まれる可能性を懸念しているので、攻撃者はコンピュータ上のすべてを詳細に調査できる長期間？