לדף הכניסה של ישרא-בלוג
לדף הראשי של nana10
לחצו לחיפוש
חפש שם בלוג/בלוגר
חפש בכל הבלוגים
חפש בבלוג זה
 

יומן אבטחה

בלוג אבטחת מידע. עדכונים, עניינים, חדשות ופרסומים. הכל מכל בכל בנושא אבטחת מידע. ופרטיות.

מלאו כאן את כתובת האימייל
שלכם ותקבלו עדכון בכל פעם שיעודכן הבלוג שלי:

הצטרף כמנוי
בטל מנוי
שלח

RSS: לקטעים  לתגובות 
ארכיון:


12/2006

להחליף בעיית אבטחה אחת באחרת


הכותרת מהגארדיאן: ניסוי בננוטכנולוגיה שהשתבש עשוי להוביל ל[פיתוח] הנשק המושלם במלחמה בזיוף. חוקר ב-Imperial College באוניברסיטת לונדון גילה כי לכל חפץ חתימה ייחודית אותה ניתן לגלות באמצעות קורא לייזר. מאחר וקורא הלייזר קורא מקטעים כה זעירים, על מנת לזייף פריט מסוים יהיה צורך לשחזרו בצורה מושלמת החל מרמת המולקולה (פרשנות שלי למאמר). היישום המתבקש הנו פיתוח קורא שמסוגל לזהות זיופים ואכן החוקר הנכבד הקים חברה חדשה שזה בדיוק מה שהיא תעשה. חוקר האבטחה הנודע רוס אנדרסון (אחד מיקירי הבלוג) טוען כי מדובר (פוטנציאלית) בפיתוח למניעת זיופים שיציג אתגר ממשי לזייפנים.

 

אלא שהבשורה עלולה להתברר כחרב פיפיות. מניעת זיופים מתבססת על אבטחה ברמת המוצר. אבטחה ברמת המוצר הנה אבטחה רעה, כיוון שבידי המשתמש יש את כל מה שהוא צריך על מנת לעקוף את פתרון האבטחה. אלא שלא תמיד יש דרך אחרת. לא ניתן (נכון להיום) להגדיר שטרות כסף שהשימוש בהם מותנה בהזנת קוד הפעלה שינופק בכספומט (פתרון ברוח זו, אגב, נקרא ארנק אלקטרוני ובכל מקום בעולם בו ניסו זאת הוא נכשל, כולל בישראל).

 

הפתרון המוצע על ידי הפרופסור הנכבד מעניין. אך היישום שלו יוצר מורכבות אבטחה אחרת. נכון להיום בשטרות מופיעים סימנים מיוחדים המונעים את זיופם, אלא שלאחר פרק זמן לא ארוך מוצאים הזייפנים דרך לייצר את השטר הנכון מהחומרים הנכונים עם הסימנים הנכונים. הדרך להילחם בתופעה היא יותר מודיעינית משטרתית מאשר לתת לקופאים בסופר לזהות שטרות מזויפים. בפתרון החדש לכל שטר תהיה חתימה ייחודית ושונה המיוצרת באופן אקראי. אלא שאליה וקוץ בה. כיצד יידע המוכר מהי אותה חתימה? כלומר, כיצד הופכים את מנגנון האבטחה לאפקטיבי. כיום האמצעי מצוי בשטר עצמו וניתן לזהות חלק לא קטן מהסימנים המעידים באופן עצמאי. בשיטה החדשה, על מנת שתהיה בעלת משמעות כלשהי, צריך יהיה ליצור בסיס נתונים מרכזי שכל גורם רלוונטי יוכל לתשאל על מנת לבדוק האם שטר מסוים הוא מזויף. לשיטה שכזו יש חולשות אחרות הנוגעות לחשיפה של בנק מרכזי למתקפות הונאה, חשיפה של גורמים אחרים להונאות דרך מנגנון שכזה וכדומה.

 

היכן הפתרון הזה טוב? בפתרונות נקודתיים והדוגמא שמביאים במאמר היא בהגנה על חומרים גרעיניים המוגנים על ידי ציוד שאמור להיות Tamper Proof.

 

מסקנה כללית יותר, שכנראה נכונה תמיד: לכל פתרון יש חולשות והמעבר מטכנולוגיה אחת לאחרת טומן בדרך כלל לא רק יתרונות אבטחתיים אלא גם חולשות אחרות.

 

 
נכתב על ידי , 1/12/2006 16:02   בקטגוריות אבטחת מידע כללי, מניעת זיופים ו-DRM  
הצג תגובות    הוסף תגובה   הוסף הפניה   קישור ישיר   שתף   המלץ   הצע ציטוט


כינוי: 

גיל: 50




65,379
הבלוג משוייך לקטגוריות: אינטרנט
© הזכויות לתכנים בעמוד זה שייכות לעומר טרן אלא אם צויין אחרת
האחריות לתכנים בעמוד זה חלה על עומר טרן ועליו/ה בלבד
כל הזכויות שמורות 2025 © עמותת ישראבלוג (ע"ר)