Профессор британского университета предлагает принципы улучшения систем безопасности таким образом, чтобы злоумышленникам было сложно разобраться в принципах работы целевой системы.
Новое исследование профессора лондонского университета Royal Holloway Дуско Павловича (Dusko Pavlovic), доказывает, что принцип безопасности, разработанный Августом Керкхоффсом (Auguste Kerckhoffs) – «Безопасность путем неясности» не такой уж и бесполезный. Согласно принципу «безопасность через неясность» утаивание информации о работе системы не является методом безопасности. Защитник должен своевременно устранять все векторы атаки, в то время как атакующему нужно найти только один недостаток, чтобы добиться успеха в проведении атаки.
Профессор Павлович применяет теорию игры к конфликту между хакерами и ИТ-специалистами, предполагая, что систему безопасности можно улучшить таким образом, чтобы злоумышленнику было сложно разобраться в принципах работы целевой системы. К примеру, путем запутывания кода программного приложения, чтобы усложнить процесс реверсивного проектирования.
Павлович сравнивает безопасность с игрой, в которой каждая сторона имеет в своем распоряжении неполную информацию. Защитник должен получить преимущество (или хотя бы равные условия) путем изучения действий атакующего, а также путем маскировки оборонительных ходов. В то же время, защитник может извлечь выгоду, предоставляя противнику как можно меньше подсказок о своей оборонительной позиции.
В своем исследовании Павлович также затрагивает тему шифрования открытых ключей. Профессор отмечает, что открытые коды должны быть достаточно сложными, чтобы их не возможно было получить путем брут-форс атаки. С увеличением мощности компьютера, длина ключа шифрования также должна увеличиваться, чтобы обойти вычислительные возможности атакующего.