Sento che nessuno nel gruppo in cui lavoro, me compreso, veramente stende la crittografia e la sicurezza, o le ragioni che stanno dietro a prendere certe decisioni. Ad esempio, recentemente abbiamo avuto una conversazione riguardante la crittografia dei dati che gestiamo per un altro gruppo con cui lavoriamo: i dati finiscono in un database che si trova sulla nostra rete aziendale protetta (lavoro in un piccolo gruppo in una grande azienda di software, quindi l'integrità della rete aziendale è molto alta, insieme a tutto ciò che gestiamo. Ovviamente, le linee guida standard richiedono la "crittografia" di questi dati.
Ovviamente, ciò potrebbe significare molte cose: connessioni IPSec / crittografate, file condivisi crittografati, crittografia implementata nel DB (intero-DB o colonna), crittografia dei bit effettivi nel file, ecc. - e alcune persone nel gruppo Ho l'impressione che l'unico tipo di crittografia che conta davvero sia la crittografia diretta dei bit che vengono archiviati, l'argomento è che tutto il resto è troppo facile da eludere - "se il DB è crittografato, potrei comunque loggarmi e vedere il i dati lì, se la condivisione file è crittografata, finché ho i permessi per la cartella posso solo prendere il file, ma se i bit sono crittografati direttamente, non sarò in grado di leggerlo ". Il mio istinto dice che questa affermazione si basa su una comprensione limitata: possono vedere se stessi accedere a SQL Server Management Studio per vedere i dati, ma poiché non saprebbero come prendere un flusso o una matrice di dati crittografati e utilizzare un certificato che essi probabilmente hanno accesso a decodificarlo, probabilmente è sicuro. Hanno ragione? Ho ragione? Nessuno sembra saperlo, quindi le decisioni si basano sull'opinione della persona più rumorosa o più pagata.
Ad ogni modo, questo è solo un esempio esteso di ciò di cui sto parlando. Mi sento come se fosse il cieco che guida il cieco qui, con decisioni basate su una comprensione limitata, ed è frustrante. Non sono esperto dei bit tecnici della crittografia, ma so come utilizzare le librerie standard per crittografare stream e array e simili - dove ho davvero bisogno di più conoscenza riguarda l'architettura della sicurezza dei dati e delle informazioni su cui basare le decisioni come il sopra. Dove posso leggere su questo tipo di cose?