अस्पष्टता के माध्यम से सुरक्षा: Difference between revisions
From Vigyanwiki
No edit summary |
No edit summary |
||
| (14 intermediate revisions by 3 users not shown) | |||
| Line 1: | Line 1: | ||
{{short description|Reliance on design or implementation secrecy for security}} | {{short description|Reliance on design or implementation secrecy for security}} | ||
अस्पष्टता के माध्यम से [[सुरक्षा]] (या अस्पष्टता द्वारा सुरक्षा) किसी सिस्टम या घटक को सुरक्षा प्रदान करने की मुख्य विधि के रूप में डिजाइन या कार्यान्वयन गोपनीयता पर [[सुरक्षा इंजीनियरिंग]] में निर्भरता है। | '''अस्पष्टता के माध्यम से [[सुरक्षा]]''' (या '''अस्पष्टता द्वारा सुरक्षा''') किसी सिस्टम या घटक को सुरक्षा प्रदान करने की मुख्य विधि के रूप में डिजाइन या कार्यान्वयन गोपनीयता पर [[सुरक्षा इंजीनियरिंग]] में निर्भरता है। | ||
==इतिहास== | ==इतिहास== | ||
अस्पष्टता के माध्यम से सुरक्षा का प्रारंभिक विरोधी ताला बनाने वाला [[अल्फ्रेड चार्ल्स हॉब्स]] था, जिसने 1851 में जनता को दिखाया कि अत्याधुनिक ताले कैसे तोड़े जा सकते हैं। इस चिंता के उत्तर में कि तालों के डिज़ाइन में सुरक्षा कमियों को उजागर करने से वे अपराधियों के प्रति अधिक संवेदनशील हो सकते हैं, उन्होंने कहा: दुष्ट अपने व्यवसाय में अधिक उत्सुक होते हैं, और जितना हम उन्हें सिखा सकते हैं उससे कहीं अधिक वे पहले से ही जानते हैं।<ref>{{cite news|last1=Stross|first1=Randall|title=टी.एस.ए. में एब्सर्ड का रंगमंच।|url=https://www.nytimes.com/2006/12/17/business/yourmoney/17digi.html|website=The New York Times|date=17 December 2006|access-date=5 May 2015}}</ref> | |||
[[पीटर स्वियर]] ने इस धारणा के | अस्पष्टता के माध्यम से सुरक्षा के उद्देश्य पर बहुत कम औपचारिक साहित्य है। सुरक्षा इंजीनियरिंग पर किताबें 1883 से केरखॉफ्स [[सिद्धांत]] का संकेत देती हैं, यदि वे कुछ भी उद्धृत करते हैं। उदाहरण के लिए, परमाणु कमान और नियंत्रण में गोपनीयता और संग्राहकता के बारे में चर्चा:<syntaxhighlight> | ||
[टी]आकस्मिक युद्ध की संभावना को कम करने के लाभों को गोपनीयता के संभावित लाभों से अधिक माना जाता था। यह केरखॉफ्स के सिद्धांत का आधुनिक पुनर्जन्म है, जिसे पहली बार उन्नीसवीं सदी में सामने रखा गया था, कि किसी प्रणाली की सुरक्षा उसकी कुंजी पर निर्भर होनी चाहिए, न कि उसके डिजाइन के अस्पष्ट रहने पर होनी चाहिए। | |||
</syntaxhighlight>[[पीटर स्वियर]] ने इस धारणा के मध्य ट्रेड-ऑफ के बारे में लिखा है कि अस्पष्टता के माध्यम से सुरक्षा भ्रम है और सैन्य धारणा है कि लूस लिप्स जहाजों को डुबो देते हैं,<ref>{{cite journal | first=Peter P. | last = Swire | title=A Model for When Disclosure Helps Security: What is Different About Computer and Network Security? | journal=Journal on Telecommunications and High Technology Law | year=2004 | volume=2 | ssrn=531782 }}</ref> साथ ही यह भी कि प्रतिस्पर्धा प्रकटीकरण के प्रोत्साहन को कैसे प्रभावित करती है।<ref>{{cite journal | first=Peter P. | last = Swire | title=A Theory of Disclosure for Security and Competitive Reasons: Open Source, Proprietary Software, and Government Agencies | journal=Houston Law Review |date=January 2006 | volume=42 | ssrn=842228 }}</ref> | |||
इस शब्द की उत्पत्ति के बारे में परस्पर विरोधी कहानियाँ हैं। एमआईटी के [[असंगत टाइमशेयरिंग सिस्टम]] (आईटीएस) के प्रशंसकों का कहना है कि इसे हॉल के नीचे [[ मॉलटिक्स ]] उपयोगकर्ताओं के विरोध में | इस शब्द की उत्पत्ति के बारे में परस्पर विरोधी कहानियाँ हैं। एमआईटी के [[असंगत टाइमशेयरिंग सिस्टम|इंकंपैटिबल टाइमशेयरिंग सिस्टम]] (आईटीएस) के प्रशंसकों का कहना है कि इसे हॉल के नीचे [[ मॉलटिक्स |मॉलटिक्स]] उपयोगकर्ताओं के विरोध में तैयार किया गया था, जिनके लिए सुरक्षा आईटीएस की तुलना में कहीं अधिक उद्देश्य थे। आईटीएस संस्कृति में इस शब्द का तात्पर्य, सेल्फ-मोकिंग्ली, दस्तावेज़ीकरण की व्यर्थ कवरेज और अनेक आदेशों की अस्पष्टता से है, और उस दृष्टिकोण से है कि जब तक पर्यटक को पता चलता है कि हानि कैसे उत्पन्न की जाती है, तब तक वह सामान्यतः इस आग्रह पर दक्षता प्राप्त कर चुका होता है। सफलतापूर्वक, क्योंकि वह समुदाय का भाग अनुभव करता था। आईटीएस पर अस्पष्टता के माध्यम से संकल्पपूर्वक सुरक्षा का उदाहरण नोट किया गया है: चल रहे आईटीएस सिस्टम (अल्टमोड अल्टमोड कंट्रोल-आर) को पैच करने की अनुमति देने का आदेश <code>$$^D</code> के रूप में प्रतिध्वनित होता है। Alt Alt कंट्रोल-डी टाइप करने से ध्वज सेट होता है जो सिस्टम को पैच करने से रोकेगा, तथापि उपयोगकर्ता ने बाद में इसे सही कर लिया हो।<ref>{{cite web|url=http://catb.org/jargon/html/S/security-through-obscurity.html|title=अस्पष्टता के माध्यम से सुरक्षा|work=The Jargon File}}</ref> | ||
जनवरी 2020 में, [[एनपीआर]] ने बताया कि [[आयोवा डेमोक्रेटिक पार्टी]] ने शैडो_इंक. | |||
जनवरी 2020 में, [[एनपीआर]] ने बताया कि [[आयोवा डेमोक्रेटिक पार्टी]] ने शैडो_इंक. आयोवारिपोर्टरऐप की सुरक्षा के संबंध में जानकारी साझा करने से अस्वीकार कर दिया, जिससें यह सुनिश्चित किया जा सके कि हम ऐसी जानकारी प्रसारित नहीं कर रहे हैं जिसका उपयोग हमारे विरुद्ध किया जा सकता है। साइबर सुरक्षा विशेषज्ञों ने उत्तर दिया कि इसके ऐप के विधिक विवरण को छुपाने से सिस्टम की सुरक्षा के लिए बहुत कुछ नहीं होता है।<ref>{{Cite news|url=https://www.npr.org/2020/01/14/795906732/despite-election-security-fears-iowa-caucuses-will-use-new-smartphone-app|title=चुनाव सुरक्षा भय के बावजूद, आयोवा कॉकस नए स्मार्टफ़ोन ऐप का उपयोग करेगा|newspaper=NPR.org}}</ref> | |||
== आलोचना == | == आलोचना == | ||
केवल अस्पष्टता के आधार पर सुरक्षा को हतोत्साहित किया जाता है और मानक निकायों द्वारा इसकी अनुशंसा नहीं की जाती है। [[संयुक्त राज्य अमेरिका]] में राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (एनआईएसटी) कभी-कभी | केवल अस्पष्टता के आधार पर सुरक्षा को हतोत्साहित किया जाता है और मानक निकायों द्वारा इसकी अनुशंसा नहीं की जाती है। [[संयुक्त राज्य अमेरिका]] में राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (एनआईएसटी) कभी-कभी इस प्रथा के विरुद्ध पक्षसमर्थन करता है. | ||
यह विधि [[डिज़ाइन द्वारा सुरक्षा|डिज़ाइन द्वारा सिक्यूरिटी]] और [[खुली सुरक्षा|ओपन]] [[डिज़ाइन द्वारा सुरक्षा|सिक्यूरिटी]] के विपरीत है, चूँकि अनेक वास्तविक संसार की परियोजनाओं में सभी रणनीतियों के तत्व सम्मिलित हैं। | |||
== वास्तुकला बनाम विधि में अस्पष्टता == | |||
सिस्टम कैसे बनाया जाता है इसका ज्ञान संवृति और [[छलावरण|कैमूफ्लैग]] से भिन्न होता है। संचालन सुरक्षा में अस्पष्टता की प्रभावशीलता इस बात पर निर्भर करती है कि क्या अस्पष्टता अन्य अच्छी सुरक्षा प्रथाओं के शीर्ष पर रहती है, या यदि इसका उपयोग अकेले किया जा रहा है।<ref>{{Cite news|url=https://danielmiessler.com/study/security-by-obscurity/|title=अस्पष्टता एक वैध सुरक्षा परत है - डैनियल मिस्लर|work=Daniel Miessler|access-date=2018-06-20|language=en-US}}</ref> जब स्वतंत्र परत के रूप में उपयोग किया जाता है, तो अस्पष्टता को वैध सुरक्षा उपकरण माना जाता है।<ref>{{Cite web|url=https://www.csiac.org/journal-article/cyber-deception/|title=Cyber Deception {{!}} CSIAC|website=www.csiac.org|language=en-US|access-date=2018-06-20}}</ref> | |||
वर्तमान में, अस्पष्टता के माध्यम से सुरक्षा के अधिक उन्नत संस्करणों ने मूविंग टारगेट डिफेंस और डिसेप्शन विधि के माध्यम से [[साइबर सुरक्षा|साइबर]] [[डिज़ाइन द्वारा सुरक्षा|सिक्यूरिटी]] में पद्धति के रूप में समर्थन प्राप्त किया है।<ref>{{Cite news|url=https://www.dhs.gov/science-and-technology/csd-mtd|title=सीएसडी-एमटीडी|date=2013-06-25|work=Department of Homeland Security|access-date=2018-06-20|language=en}}</ref> एनआईएसटी का साइबर डिसेप्शन फ्रेमवर्क, 800-160 वॉल्यूम 2, लचीले और सुरक्षित कंप्यूटिंग वातावरण के पूरक भाग के रूप में अस्पष्टता के माध्यम से सुरक्षा के उपयोग की पक्षसमर्थन करता है।<ref>{{Cite journal|url=https://csrc.nist.gov/publications/detail/sp/800-160/vol-2/draft|title=SP 800-160 Vol. 2 (DRAFT), Systems Security Engineering: Cyber Resiliency Considerations for the Engineering of Trustworthy Secure Systems|last1=(NIST)|first1=Author: Ron Ross|last2=(MITRE)|first2=Author: Richard Graubart|website=csrc.nist.gov|language=EN-US|access-date=2018-06-20|last3=(MITRE)|first3=Author: Deborah Bodeau|last4=(MITRE)|first4=Author: Rosalie McQuaid|date=21 March 2018}}</ref> | |||
==यह भी देखें== | ==यह भी देखें== | ||
{{Div col|colwidth=25em}} | {{Div col|colwidth=25em}} | ||
| Line 24: | Line 26: | ||
* [[कोड मॉर्फिंग]] | * [[कोड मॉर्फिंग]] | ||
* केर्कहॉफ़्स का सिद्धांत | * केर्कहॉफ़्स का सिद्धांत | ||
* [[ | * [[नीड टु नो]] | ||
* [[ | * [[ओबफुस्केटेड कोड]] | ||
* [[अनुमानित सुरक्षा]] | * [[अनुमानित सुरक्षा]] | ||
* [[डिज़ाइन द्वारा सुरक्षित]] | * [[डिज़ाइन द्वारा सुरक्षित]] | ||
* [[ | * [[एएसीएस एन्क्रिप्शन की कंट्रोवरसी]] | ||
* [[ | * [[जीरो डे (कंप्यूटिंग)]] | ||
* कोड टॉकर | * कोड टॉकर | ||
* अस्पष्टता | * अस्पष्टता | ||
| Line 43: | Line 45: | ||
* [http://www.linux.com/articles/23313 "Security through obsolescence", Robin Miller, ''linux.com'', June 6, 2002] | * [http://www.linux.com/articles/23313 "Security through obsolescence", Robin Miller, ''linux.com'', June 6, 2002] | ||
{{DEFAULTSORT:Security Through Obscurity}} | {{DEFAULTSORT:Security Through Obscurity}} | ||
[[Category: | [[Category:CS1 English-language sources (en)]] | ||
[[Category:Created On 10/07/2023]] | [[Category:CS1 errors]] | ||
[[Category:Created On 10/07/2023|Security Through Obscurity]] | |||
[[Category:Lua-based templates|Security Through Obscurity]] | |||
[[Category:Machine Translated Page|Security Through Obscurity]] | |||
[[Category:Multi-column templates|Security Through Obscurity]] | |||
[[Category:Pages using div col with small parameter|Security Through Obscurity]] | |||
[[Category:Pages with script errors|Security Through Obscurity]] | |||
[[Category:Pages with syntax highlighting errors]] | |||
[[Category:Short description with empty Wikidata description|Security Through Obscurity]] | |||
[[Category:Templates Vigyan Ready|Security Through Obscurity]] | |||
[[Category:Templates that add a tracking category|Security Through Obscurity]] | |||
[[Category:Templates that generate short descriptions|Security Through Obscurity]] | |||
[[Category:Templates using TemplateData|Security Through Obscurity]] | |||
[[Category:Templates using under-protected Lua modules|Security Through Obscurity]] | |||
[[Category:Webarchive template wayback links|Security Through Obscurity]] | |||
[[Category:Wikipedia fully protected templates|Div col]] | |||
[[Category:कंप्यूटर सुरक्षा प्रक्रियाएँ|Security Through Obscurity]] | |||
[[Category:क्रिप्टोग्राफी|Security Through Obscurity]] | |||
[[Category:गुप्तता|Security Through Obscurity]] | |||
Latest revision as of 17:08, 21 August 2023
अस्पष्टता के माध्यम से सुरक्षा (या अस्पष्टता द्वारा सुरक्षा) किसी सिस्टम या घटक को सुरक्षा प्रदान करने की मुख्य विधि के रूप में डिजाइन या कार्यान्वयन गोपनीयता पर सुरक्षा इंजीनियरिंग में निर्भरता है।
इतिहास
अस्पष्टता के माध्यम से सुरक्षा का प्रारंभिक विरोधी ताला बनाने वाला अल्फ्रेड चार्ल्स हॉब्स था, जिसने 1851 में जनता को दिखाया कि अत्याधुनिक ताले कैसे तोड़े जा सकते हैं। इस चिंता के उत्तर में कि तालों के डिज़ाइन में सुरक्षा कमियों को उजागर करने से वे अपराधियों के प्रति अधिक संवेदनशील हो सकते हैं, उन्होंने कहा: दुष्ट अपने व्यवसाय में अधिक उत्सुक होते हैं, और जितना हम उन्हें सिखा सकते हैं उससे कहीं अधिक वे पहले से ही जानते हैं।[1]
अस्पष्टता के माध्यम से सुरक्षा के उद्देश्य पर बहुत कम औपचारिक साहित्य है। सुरक्षा इंजीनियरिंग पर किताबें 1883 से केरखॉफ्स सिद्धांत का संकेत देती हैं, यदि वे कुछ भी उद्धृत करते हैं। उदाहरण के लिए, परमाणु कमान और नियंत्रण में गोपनीयता और संग्राहकता के बारे में चर्चा:
[टी]आकस्मिक युद्ध की संभावना को कम करने के लाभों को गोपनीयता के संभावित लाभों से अधिक माना जाता था। यह केरखॉफ्स के सिद्धांत का आधुनिक पुनर्जन्म है, जिसे पहली बार उन्नीसवीं सदी में सामने रखा गया था, कि किसी प्रणाली की सुरक्षा उसकी कुंजी पर निर्भर होनी चाहिए, न कि उसके डिजाइन के अस्पष्ट रहने पर होनी चाहिए।पीटर स्वियर ने इस धारणा के मध्य ट्रेड-ऑफ के बारे में लिखा है कि अस्पष्टता के माध्यम से सुरक्षा भ्रम है और सैन्य धारणा है कि लूस लिप्स जहाजों को डुबो देते हैं,[2] साथ ही यह भी कि प्रतिस्पर्धा प्रकटीकरण के प्रोत्साहन को कैसे प्रभावित करती है।[3]
इस शब्द की उत्पत्ति के बारे में परस्पर विरोधी कहानियाँ हैं। एमआईटी के इंकंपैटिबल टाइमशेयरिंग सिस्टम (आईटीएस) के प्रशंसकों का कहना है कि इसे हॉल के नीचे मॉलटिक्स उपयोगकर्ताओं के विरोध में तैयार किया गया था, जिनके लिए सुरक्षा आईटीएस की तुलना में कहीं अधिक उद्देश्य थे। आईटीएस संस्कृति में इस शब्द का तात्पर्य, सेल्फ-मोकिंग्ली, दस्तावेज़ीकरण की व्यर्थ कवरेज और अनेक आदेशों की अस्पष्टता से है, और उस दृष्टिकोण से है कि जब तक पर्यटक को पता चलता है कि हानि कैसे उत्पन्न की जाती है, तब तक वह सामान्यतः इस आग्रह पर दक्षता प्राप्त कर चुका होता है। सफलतापूर्वक, क्योंकि वह समुदाय का भाग अनुभव करता था। आईटीएस पर अस्पष्टता के माध्यम से संकल्पपूर्वक सुरक्षा का उदाहरण नोट किया गया है: चल रहे आईटीएस सिस्टम (अल्टमोड अल्टमोड कंट्रोल-आर) को पैच करने की अनुमति देने का आदेश $$^D के रूप में प्रतिध्वनित होता है। Alt Alt कंट्रोल-डी टाइप करने से ध्वज सेट होता है जो सिस्टम को पैच करने से रोकेगा, तथापि उपयोगकर्ता ने बाद में इसे सही कर लिया हो।[4]
जनवरी 2020 में, एनपीआर ने बताया कि आयोवा डेमोक्रेटिक पार्टी ने शैडो_इंक. आयोवारिपोर्टरऐप की सुरक्षा के संबंध में जानकारी साझा करने से अस्वीकार कर दिया, जिससें यह सुनिश्चित किया जा सके कि हम ऐसी जानकारी प्रसारित नहीं कर रहे हैं जिसका उपयोग हमारे विरुद्ध किया जा सकता है। साइबर सुरक्षा विशेषज्ञों ने उत्तर दिया कि इसके ऐप के विधिक विवरण को छुपाने से सिस्टम की सुरक्षा के लिए बहुत कुछ नहीं होता है।[5]
आलोचना
केवल अस्पष्टता के आधार पर सुरक्षा को हतोत्साहित किया जाता है और मानक निकायों द्वारा इसकी अनुशंसा नहीं की जाती है। संयुक्त राज्य अमेरिका में राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (एनआईएसटी) कभी-कभी इस प्रथा के विरुद्ध पक्षसमर्थन करता है.
यह विधि डिज़ाइन द्वारा सिक्यूरिटी और ओपन सिक्यूरिटी के विपरीत है, चूँकि अनेक वास्तविक संसार की परियोजनाओं में सभी रणनीतियों के तत्व सम्मिलित हैं।
वास्तुकला बनाम विधि में अस्पष्टता
सिस्टम कैसे बनाया जाता है इसका ज्ञान संवृति और कैमूफ्लैग से भिन्न होता है। संचालन सुरक्षा में अस्पष्टता की प्रभावशीलता इस बात पर निर्भर करती है कि क्या अस्पष्टता अन्य अच्छी सुरक्षा प्रथाओं के शीर्ष पर रहती है, या यदि इसका उपयोग अकेले किया जा रहा है।[6] जब स्वतंत्र परत के रूप में उपयोग किया जाता है, तो अस्पष्टता को वैध सुरक्षा उपकरण माना जाता है।[7]
वर्तमान में, अस्पष्टता के माध्यम से सुरक्षा के अधिक उन्नत संस्करणों ने मूविंग टारगेट डिफेंस और डिसेप्शन विधि के माध्यम से साइबर सिक्यूरिटी में पद्धति के रूप में समर्थन प्राप्त किया है।[8] एनआईएसटी का साइबर डिसेप्शन फ्रेमवर्क, 800-160 वॉल्यूम 2, लचीले और सुरक्षित कंप्यूटिंग वातावरण के पूरक भाग के रूप में अस्पष्टता के माध्यम से सुरक्षा के उपयोग की पक्षसमर्थन करता है।[9]
यह भी देखें
- स्टेग्नोग्राफ़ी
- कोड मॉर्फिंग
- केर्कहॉफ़्स का सिद्धांत
- नीड टु नो
- ओबफुस्केटेड कोड
- अनुमानित सुरक्षा
- डिज़ाइन द्वारा सुरक्षित
- एएसीएस एन्क्रिप्शन की कंट्रोवरसी
- जीरो डे (कंप्यूटिंग)
- कोड टॉकर
- अस्पष्टता
संदर्भ
- ↑ Stross, Randall (17 December 2006). "टी.एस.ए. में एब्सर्ड का रंगमंच।". The New York Times. Retrieved 5 May 2015.
- ↑ Swire, Peter P. (2004). "A Model for When Disclosure Helps Security: What is Different About Computer and Network Security?". Journal on Telecommunications and High Technology Law. 2. SSRN 531782.
- ↑ Swire, Peter P. (January 2006). "A Theory of Disclosure for Security and Competitive Reasons: Open Source, Proprietary Software, and Government Agencies". Houston Law Review. 42. SSRN 842228.
- ↑ "अस्पष्टता के माध्यम से सुरक्षा". The Jargon File.
- ↑ "चुनाव सुरक्षा भय के बावजूद, आयोवा कॉकस नए स्मार्टफ़ोन ऐप का उपयोग करेगा". NPR.org.
- ↑ "अस्पष्टता एक वैध सुरक्षा परत है - डैनियल मिस्लर". Daniel Miessler (in English). Retrieved 2018-06-20.
- ↑ "Cyber Deception | CSIAC". www.csiac.org (in English). Retrieved 2018-06-20.
- ↑ "सीएसडी-एमटीडी". Department of Homeland Security (in English). 2013-06-25. Retrieved 2018-06-20.
- ↑ (NIST), Author: Ron Ross; (MITRE), Author: Richard Graubart; (MITRE), Author: Deborah Bodeau; (MITRE), Author: Rosalie McQuaid (21 March 2018). "SP 800-160 Vol. 2 (DRAFT), Systems Security Engineering: Cyber Resiliency Considerations for the Engineering of Trustworthy Secure Systems". csrc.nist.gov (in English). Retrieved 2018-06-20.
{{cite journal}}:|first1=has generic name (help)
बाहरी संबंध
- Eric Raymond on Cisco's IOS source code 'release' v Open Source
- Computer Security Publications: Information Economics, Shifting Liability and the First Amendment by Ethan M. Preston and John Lofton
- "Security Through Obscurity" Ain't What They Think It Is at the Wayback Machine (archived February 2, 2007) by Jay Beale
- Secrecy, Security and Obscurity & The Non-Security of Secrecy by Bruce Schneier
- "Security through obsolescence", Robin Miller, linux.com, June 6, 2002
