Sikkerhet gjennom uklarhet

I sikkerhetsteknikk er sikkerhet gjennom uklarhet^[1]^[2] en praksis hvor man skjuler virkemåten til et system ved å gjøre den lite tilgjengelig eller forståelig med hensikt å forbedre sikkerheten. Tilnærmingen er omstridt,^[3] og avviker fra tradisjonelle sikkerhetsmetoder som fysiske låser og kryptografi, men handler i stedet om å skjule informasjon eller egenskaper med mål om at det som skal sikres forbigås ubemerket slik at sannsynligheten for uautorisert tilgang eller manipulasjon reduseres.^[4]

Ved sikkerhet gjennom uklarhet skjules informasjon rett foran nesen på en, litt som håndbevegelsene til en tryllekunstner eller bruk av kamuflasje. Eksempler kan være å oppbevare sensitiv informasjon i dagligdagse og lett tilgjengelige gjenstander, som et stykke papir i en bok. Selv om det ikke er en sikkerhetsløsning i seg selv kan sikkerhet gjennom uklarhet utfylle andre sikkerhetstiltak i visse scenarier.^[5]

Et stort antall kryptosystemer for telekommunikasjon og digital rettighetsadministrasjon benytter sikkerhet gjennom uklarhet, men har til slutt blitt knekt. Disse inkluderer komponenter av GSM, GMR-kryptering, GPRS-kryptering, en rekke RFID-krypteringssystemer og TETRA.^[6]

Bruk[rediger | rediger kilde]

Hvorvidt hemmelighold av et system er formålstjenlig kan variere. I kommando og kontroll av atomvåpen (nuclear command and control) har det blitt vurdert at åpenhet og fordelene ved å redusere sannsyligheten for en tilfeldig krig veier opp for de mulige fordelene ved hemmelighold. I dette tilfellet har man altså valgt at sikkerheten til systemet bør avhenge av nøkkelen, ikke på at utformingen er uklar.^[7]

Å ha sikkerhet ved uklarhet som eneste sikkerhetsløsning frarådes av National Institute of Standards and Technology.^[8] Teknikken står i kontrast til sikkerhet ved design og åpen sikkerhet, selv om mange løsninger i den virkelige verden inkluderer elementer fra alle strategiene. Effektiviteten av uklarhet i operasjonssikkerhet avhenger av om uklarheten fungerer på toppen av annen god sikkerhetspraksis, eller om den brukes alene.^[9] Når det brukes som et uavhengig lag anses uklarhet som et gyldig sikkerhetsverktøy.^[10]

Se også[rediger | rediger kilde]

Referanser[rediger | rediger kilde]

^ «Kritisk IE-fiks i dag». Tek.no (norsk). 2. desember 2004. Besøkt 6. juni 2024.
^ Rossen, Eirik (4. november 2013). «Hva bør vi få vite?». Digi.no (norsk). Besøkt 6. juni 2024.
^ Gunn Enli, Eli Skogerbø (2008). «Digitale dilemmaer. Nye medieformer, nye utfordringer (2008) s. 106». «Enkelte forskere har foreslått at en forestilling om «sikkerhet gjennom uklarhet» (security through obscurity) delvis forklarer hvorfor noen velger å dele personlig informasjon, tilsynelatende uten særlig bekymring for eget personvern (boyd under utgivelse, Brake 2007). Innen datasikkerhet og kryptografi er «sikkerhet gjennom uklarhet» et høyst omstridt og kritisert prinsipp, basert på ideen om at sikkerhet kan ivaretas ved å holde ting hemmelige (Schneider 15.5.2002, Swire 2004). Unngår man å røpe all informasjon om et system, unngår man angivelig at sikkerhetsfeil avsløres.»
^ Selinger, Evan and Hartzog, Woodrow, Obscurity and Privacy (May 21, 2014). Routledge Companion to Philosophy of Technology (Joseph Pitt & Ashley Shew, eds., 2014 Forthcoming), Available at SSRN: https://ssrn.com/abstract=2439866
^ Zwicky, Elizabeth D.; Cooper, Simon; Chapman, D. Brent (26. juni 2000). Building Internet Firewalls: Internet and Web Security (engelsk). "O'Reilly Media, Inc.". ISBN 978-0-596-55188-9.
^ (PDF) https://i.blackhat.com/BH-US-23/Presentations/US-23-Meijer-All-Cops-Are-Broadcasting.pdf. Manglende eller tom |tittel= (hjelp)

(PDF) https://uploads-ssl.webflow.com/64a2900ed5e9bb672af9b2ed/64d42fcc2e3fdcf3d323f3d9_All_cops_are_broadcasting_TETRA_under_scrutiny.pdf. Manglende eller tom |tittel= (hjelp)
^ Anderson, Ross. Security Engineering: A Guide to Building Dependable Distributed Systems. New York, NY: John Wiley & Sons, Inc. s. 240. ISBN 0-471-38922-6.
^ «Guide to General Server Security» (PDF; 258 kB). National Institute of Standards and Technology. Arkivert (PDF) fra originalen 9. august 2017. Besøkt 2. oktober 2011.
^ «Obscurity is a Valid Security Layer - Daniel Miessler». Daniel Miessler (engelsk). Besøkt 20. juni 2018.
^ «Cyber Deception | CSIAC». Arkivert fra originalen 20. april 2021. Besøkt 20. juni 2018.

[1] «Kritisk IE-fiks i dag». Tek.no (norsk). 2. desember 2004. Besøkt 6. juni 2024.

[2] Rossen, Eirik (4. november 2013). «Hva bør vi få vite?». Digi.no (norsk). Besøkt 6. juni 2024.

[3] Gunn Enli, Eli Skogerbø (2008). «Digitale dilemmaer. Nye medieformer, nye utfordringer (2008) s. 106». «Enkelte forskere har foreslått at en forestilling om «sikkerhet gjennom uklarhet» (security through obscurity) delvis forklarer hvorfor noen velger å dele personlig informasjon, tilsynelatende uten særlig bekymring for eget personvern (boyd under utgivelse, Brake 2007). Innen datasikkerhet og kryptografi er «sikkerhet gjennom uklarhet» et høyst omstridt og kritisert prinsipp, basert på ideen om at sikkerhet kan ivaretas ved å holde ting hemmelige (Schneider 15.5.2002, Swire 2004). Unngår man å røpe all informasjon om et system, unngår man angivelig at sikkerhetsfeil avsløres.»

[4] Selinger, Evan and Hartzog, Woodrow, Obscurity and Privacy (May 21, 2014). Routledge Companion to Philosophy of Technology (Joseph Pitt & Ashley Shew, eds., 2014 Forthcoming), Available at SSRN: https://ssrn.com/abstract=2439866

[5] Zwicky, Elizabeth D.; Cooper, Simon; Chapman, D. Brent (26. juni 2000). Building Internet Firewalls: Internet and Web Security (engelsk). "O'Reilly Media, Inc.". ISBN 978-0-596-55188-9.

[6] (PDF) https://i.blackhat.com/BH-US-23/Presentations/US-23-Meijer-All-Cops-Are-Broadcasting.pdf. Manglende eller tom |tittel= (hjelp)

(PDF) https://uploads-ssl.webflow.com/64a2900ed5e9bb672af9b2ed/64d42fcc2e3fdcf3d323f3d9_All_cops_are_broadcasting_TETRA_under_scrutiny.pdf. Manglende eller tom |tittel= (hjelp)

[7] Anderson, Ross. Security Engineering: A Guide to Building Dependable Distributed Systems. New York, NY: John Wiley & Sons, Inc. s. 240. ISBN 0-471-38922-6.

[8] «Guide to General Server Security» (PDF; 258 kB). National Institute of Standards and Technology. Arkivert (PDF) fra originalen 9. august 2017. Besøkt 2. oktober 2011.

[9] «Obscurity is a Valid Security Layer - Daniel Miessler». Daniel Miessler (engelsk). Besøkt 20. juni 2018.

[10] «Cyber Deception | CSIAC». Arkivert fra originalen 20. april 2021. Besøkt 20. juni 2018.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]