现代密码学 | 具有保密和认证功能的安全方案

1.案例背景

1.1 2023年6月,微软云电子邮件泄露

事件描述:

2023年6月,属于多家美国政府机构的微软云电子邮件账户遭到非法入侵,其中包括了多位高级政府官员的电子邮件。据报道,美国国务院的10个邮件账户中共有6万封电子邮件被盗。这起事件促使美国参议员Ron Wyden要求联邦政府展开调查,以确定微软公司松懈的安全防护措施是否是导致本次泄密事件的主要原因。微软公司表示,安全专家已经发现了使威胁团伙"Storm-0558"得以闯入美国官员云电子邮件账户的原因和问题。在2021年Windows系统崩溃后,一个漏洞导致攻击中使用的Azure Active Directory密钥被不适当地捕获,并存储在一个文件中。微软表示,有一个漏洞导致这些不规范存放的密钥没有被检测出来。此外,这次攻击的幕后黑手是通过侵入属于微软工程师的公司账户来访问含有密钥的文件。而微软此前表示,被盗的Azure Active Directory密钥可以被用来伪造身份验证令牌,并访问来自约25家组织的电子邮件。

事件影响:

微软在此次事件中不仅未能自主发现漏洞,反而是在美国政府的提示下才开始调查。调查结果显示,共有22个组织和503名个人的Microsoft Exchange Online电子邮件账户受到了攻击影响。美国国土安全部宣布成立网络安全审查委员会(CSRB),对微软的云安全措施进行审查,并提出加强云计算客户和CSP(云服务提供商)自身网络安全实践的建议。

1.2 被俄罗斯黑客入侵长达一年,美 国防承包商敏感信息失窃

事件描述:

2022年2月,美国情报部门披露俄罗斯国家黑客已经网络入侵美国国防承包商长达一年,获取敏感信息并深入了解美国的国防和情报计划及能力。FBI、NSA和CISA透露,自2020年1月以来,俄罗斯黑客组织已经入侵了多个国防承包商(CDC)网络,在某些情况下,至少持续了六个月,定期窃取数百份文档、电子邮件和其他数据。

被入侵的承包商:

1、Electronic Warfare Associates (EWA):2021年8月,EWA公司的电子邮件系统遭到攻击,攻击者窃取了包含敏感信息的文件,如姓名、社会安全号码 (SSN) 和驾驶执照等信息。

2、Prototype Development, Inc. (PDI):PDI公司的数据遭到勒索软件攻击,攻击者获取了军事协议、机密性协议以及客户和员工的私人数据。

3、Belcan:Belcan公司的数据泄露事件涉及敏感信息,包括管理员电子邮件、管理员密码、内部网络地址等。

4、Booz Allen Hamilton:博思艾伦咨询公司存储在亚马逊服务器上的文件泄露,涉及28GB的敏感信息和明文密码。

影响与后果:

1、泄露的信息可能涉及军事技术文件和国防机密,对国家安全造成影响。

2、个人敏感信息的泄露可能导致身份盗窃和网络诈骗等问题。

3、部分承包商在事件发生后采取了相应的安全措施,但仍有信息被非法访问和利用的风险。

2.安全分析

安全问题及需求:

1、在第一个案例中,密钥管理不规范,存放密钥的文件进行加密保护,没有消息认证功能,这就导致一旦漏洞暴露出来,攻击者知晓后可直接盗取密钥来伪造身份令牌,进而访问邮件网站,窃取邮件。

2、在第二个案例中,所有文件访问都是畅通无阻的,没有对访问者进行身份认证,这导致了攻击者可以伪造成合法身份对文件进行非法访问及下载。

安全目标:

实现对密钥的加密存储、严格分发及邮件和文件的认证访问。

3.方案设计

在上述设计方案中,整个密钥的取出、使用、回收、交换过程实现了完全加密,不给攻击者可乘之机,在流程上实现了保密功能,解密后的密钥也不直接用于访问加密文件和加密的邮件,而是通过生成临时身份令牌的方式进行访问,临时身份令牌具有使用期限,一段时间后自动被销毁。解密后的密钥另外进行密钥交换,方便其他具有相同权限的用户也可访问加密文件和加密邮件。在认证方面,采用多因素认证方式:硬件登录临牌+生物特征(例如指纹、虹膜等),硬件登录临牌只有使用者自己持有且由自己保管,生物特征当然由于不同人的生物特征而不同,攻击者很难通过网络获取到用户的生物特征。

相关推荐
电池保护板测试仪厂家1 小时前
电池充放电容量检测:守护电动出行设备动力核心的安全防线
科技·安全·能源·制造·零售·交通物流
深盾科技3 小时前
.NET 安全之 JIT 保护技术深度解析
安全·.net
wt_cs7 小时前
身份证识别api-便捷生活与安全社会的双重保障
安全·生活
斯普信专业组9 小时前
Zookeeper添加SASL安全认证 修复方案
安全·zookeeper·debian
Qdgr_10 小时前
传统报警难题频现,安全运行隐患重重
大数据·人工智能·安全
无锡布里渊10 小时前
分布式光纤传感:为储能安全保驾护航
安全·温度监测·安全预警·分布式光纤测温·线性感温火灾监测·线型感温火灾探测器
黄焖鸡能干四碗10 小时前
系统安全设计方案,软件系统安全设计方案
开发语言·数据库·安全·vue·系统安全
制造数字化方案研究院10 小时前
54页|PPT|新型数字政府综合解决方案:“一网 一云 一中台 N应用”平台体系 及“安全+运营”服务体系
安全
Draina11 小时前
在pycharm中运行sagemath脚本的配置过程
ide·python·安全·pycharm·密码学
切糕师学AI12 小时前
Spectre(幽灵漏洞)是什么?
安全·硬件架构·硬件漏洞