Questa potrebbe essere una domanda ingenua. Se lo è, sto bene solo con un link a informazioni esterne. Ho studiato la crittografia RSA circa 2 anni fa, ma questo è tutto.
Mi sto solo chiedendo: è una questione di ingegneria o è un problema fondamentale? Con quest'ultimo intendo "saremo sempre costretti a rilasciare informazioni che potrebbero minare la comunicazione sicura?"
Questa domanda è posta nell'ipotesi che sia difficile da raggiungere. È?
Fondamentalmente, è difficile perché ci sono così tante piccole cose che possono andare storte. Spesso queste piccole cose possono indebolire quasi completamente la sicurezza di una rete quando vengono trovate e sfruttate. Tuttavia, quando si progettano questi sistemi di sicurezza, è molto facile trascurare un piccolo dettaglio che potrebbe causare un problema in seguito. Per rendere le cose ancora più difficili, attaccanti e costantemente e attivamente esplorare un modo diverso di rompere i sistemi di sicurezza, e c'è un sacco di soldi per farlo.
Questo è il motivo per cui la maggior parte degli esperti di sicurezza ti dirà di utilizzare soluzioni prefabbricate, invece di inventare le tue. Riuscire a farcela da solo è molto difficile da fare, e le cose prefabbricate sono già un po '"testate in battaglia" sul campo. Nota che anche quando usi strumenti esistenti che sono sicuri, devi stare attento a usarli correttamente o saranno comunque insicuri ( WEP è un ottimo esempio di questo: hanno preso algoritmi sicuri e implementati e combinati in modi errati.)
È perché ci sono molte variabili in gioco.
Ad esempio, le reti di solito hanno molti servizi in esecuzione contemporaneamente, http, ftp, ssh, telnet, ecc. Ogni servizio introduce potenziali vulnerabilità che possono compromettere la rete. Molti di questi sono fuori dal tuo controllo e dovrai dipendere dal venditore per correggere i buchi.
L'apertura di porte non necessarie apre anche potenziali vulnerabilità, aumentando la superficie di attacco che un utente malintenzionato può tentare di sfruttare.
Come ha detto Oleksi, ci sono molte piccole cose che possono andare storte. Anche l'utilizzo di soluzioni preconfigurate sicure potrebbe porre qualche problema, se non lo si configura con cura.
Altre considerazioni sono costo e facilità d'uso o convenienza. Generalmente, più un sistema è sicuro, più probabilmente costa e meno sarà "amichevole" per gli utenti. Ci deve essere un equilibrio. L'azienda deve valutare il rischio e decidere se una maggiore sicurezza vale il costo e il possibile disagio per gli utenti.