RSA: разбиение паролей бережет секреты

Так считает компания RSA Security, которая на одноименном секьюрити-шоу в Сан-Франциско, кроме этой идеи, представила также платформу для расширенной интеграции своих средств управления электронными удостоверениями личности.

 
Питер Джадж (Peter Judge), ZDNet (UK) 
Так считает компания RSA Security, которая на одноименном секьюрити-шоу в Сан-Франциско, кроме этой идеи, представила также платформу для расширенной интеграции своих средств управления электронными удостоверениями личности.

Система RSA Nightingale использует secret-splitting — криптографический метод, прежде применявшийся в очень дорогих системах, которые создавались на заказ для банков. Пароли криптографически делятся на две части, и сервер Nightingale хранит одну из них — в соответствии с методом, изобретенным специалистом по криптографии Ади Шамиром в 70-х годах прошлого века.

«Это secret-splitting для широких масс», — пояснил главный специалист RSA Security Берт Калиски. В июне компания выпустит инструментарий разработчика. Система рассчитана на совместное применение с системами на основе смарт-карт, так что пароли пользователей, а также их личные секреты, доверенные компании для поиска этих паролей, остаются недоступными, даже если хакер заберется в сервер. «Обычно все данные хранятся в одном месте, поэтому, если происходит утечка, рушится вся система, — поясняет Калиски. — Метод secret-splitting исключает единое компрометирующее звено».

Nightingale — только первый из семейства продуктов RSA, основанных на технологии secret-splitting. В оригинальной работе Шамира предполагается разбиение секрета на несколько частей, так что секрет может реконструироваться, скажем, по трем частям из пяти. Nightingale упрощает процесс до двух. «Пока Nightingale хорошо подходит для защиты коротких секретов, — комментирует Калиски. — Его можно использовать для хранения сильных секретов, таких как банковские подписи. Но сейчас есть потребность в эффективном разбиении слабых секретов».

Nightingale незаметен для пользователей, но компании могут захотеть выпятить эту технологию, чтобы показать, что они надежно хранят персональную информацию своих клиентов. Возможно, будет разработан бренд Nightingale для идентификации сайтов, использующих разбиение данных.

«Предприятия электронной коммерции хотят быть уверены, что их информация о заказах не попадет не в те руки», — говорит Калиски. Он предполагает, что законодательство и риск судебных преследований вынудят компании повышать степень защиты.


или введите имя

CAPTCHA