अस्पष्टता के माध्यम से सुरक्षा: Difference between revisions

From Vigyanwiki
No edit summary
No edit summary
Line 2: Line 2:
'''अस्पष्टता के माध्यम से [[सुरक्षा]]''' (या '''अस्पष्टता द्वारा सुरक्षा''') किसी सिस्टम या घटक को सुरक्षा प्रदान करने की मुख्य विधि के रूप में डिजाइन या कार्यान्वयन गोपनीयता पर [[सुरक्षा इंजीनियरिंग]] में निर्भरता है।
'''अस्पष्टता के माध्यम से [[सुरक्षा]]''' (या '''अस्पष्टता द्वारा सुरक्षा''') किसी सिस्टम या घटक को सुरक्षा प्रदान करने की मुख्य विधि के रूप में डिजाइन या कार्यान्वयन गोपनीयता पर [[सुरक्षा इंजीनियरिंग]] में निर्भरता है।


'''रूप में डिजाइन या कार्यान्वयन गोपनीयता पर [[सुरक्षा इंजीनियरिंग]] में निर्भरता है।ने की मुख्य विधि के रूप में डिजाइ'''
'''रूप में डिजाइन या कार्यान्वयन गोपनीयता पर [[सुरक्षा इंजीनियरिंग]] में निर्भरता है।ने की मुख्य विधि के रूप में डिजाइया कार्यान्वयन गोपनीयता पर [[सुरक्षा इंजीनियरिंग]] में निर्भरता है।ने की मुख्य विधि के रूप में डिजा'''


==इतिहास==
==इतिहास==
Line 13: Line 13:
इस शब्द की उत्पत्ति के बारे में परस्पर विरोधी कहानियाँ हैं। एमआईटी के [[असंगत टाइमशेयरिंग सिस्टम|इंकंपैटिबल टाइमशेयरिंग सिस्टम]] (आईटीएस) के प्रशंसकों का कहना है कि इसे हॉल के नीचे [[ मॉलटिक्स ]] उपयोगकर्ताओं के विरोध में तैयार किया गया था, जिनके लिए सुरक्षा आईटीएस की तुलना में कहीं अधिक उद्देश्य थे। आईटीएस संस्कृति में इस शब्द का तात्पर्य, सेल्फ-मोकिंग्ली, दस्तावेज़ीकरण की खराब कवरेज और कई आदेशों की अस्पष्टता से है, और उस दृष्टिकोण से है कि जब तक पर्यटक को पता चलता है कि परेशानी कैसे उत्पन्न की जाती है, तब तक वह सामान्यतः इस आग्रह पर दक्षता प्राप्त कर चुका होता है। सफलतापूर्वक, क्योंकि वह समुदाय का भाग अनुभव करता था। आईटीएस पर अस्पष्टता के माध्यम से संकल्पपूर्वक सुरक्षा का उदाहरण नोट किया गया है: चल रहे आईटीएस सिस्टम (अल्टमोड अल्टमोड कंट्रोल-आर) को पैच करने की अनुमति देने का आदेश <code>$$^D</code> के रूप में प्रतिध्वनित होता है। Alt Alt कंट्रोल-डी टाइप करने से ध्वज सेट होता है जो सिस्टम को पैच करने से रोकेगा, तथापि उपयोगकर्ता ने बाद में इसे सही कर लिया हो।<ref>{{cite web|url=http://catb.org/jargon/html/S/security-through-obscurity.html|title=अस्पष्टता के माध्यम से सुरक्षा|work=The Jargon File}}</ref>
इस शब्द की उत्पत्ति के बारे में परस्पर विरोधी कहानियाँ हैं। एमआईटी के [[असंगत टाइमशेयरिंग सिस्टम|इंकंपैटिबल टाइमशेयरिंग सिस्टम]] (आईटीएस) के प्रशंसकों का कहना है कि इसे हॉल के नीचे [[ मॉलटिक्स ]] उपयोगकर्ताओं के विरोध में तैयार किया गया था, जिनके लिए सुरक्षा आईटीएस की तुलना में कहीं अधिक उद्देश्य थे। आईटीएस संस्कृति में इस शब्द का तात्पर्य, सेल्फ-मोकिंग्ली, दस्तावेज़ीकरण की खराब कवरेज और कई आदेशों की अस्पष्टता से है, और उस दृष्टिकोण से है कि जब तक पर्यटक को पता चलता है कि परेशानी कैसे उत्पन्न की जाती है, तब तक वह सामान्यतः इस आग्रह पर दक्षता प्राप्त कर चुका होता है। सफलतापूर्वक, क्योंकि वह समुदाय का भाग अनुभव करता था। आईटीएस पर अस्पष्टता के माध्यम से संकल्पपूर्वक सुरक्षा का उदाहरण नोट किया गया है: चल रहे आईटीएस सिस्टम (अल्टमोड अल्टमोड कंट्रोल-आर) को पैच करने की अनुमति देने का आदेश <code>$$^D</code> के रूप में प्रतिध्वनित होता है। Alt Alt कंट्रोल-डी टाइप करने से ध्वज सेट होता है जो सिस्टम को पैच करने से रोकेगा, तथापि उपयोगकर्ता ने बाद में इसे सही कर लिया हो।<ref>{{cite web|url=http://catb.org/jargon/html/S/security-through-obscurity.html|title=अस्पष्टता के माध्यम से सुरक्षा|work=The Jargon File}}</ref>


जनवरी 2020 में, [[एनपीआर]] ने बताया कि [[आयोवा डेमोक्रेटिक पार्टी]] ने शैडो_इंक. आयोवारिपोर्टरऐप की सुरक्षा के संबंध में जानकारी साझा करने से अस्वीकार कर दिया, जिससें यह सुनिश्चित किया जा सके कि हम ऐसी जानकारी प्रसारित नहीं कर रहे हैं जिसका उपयोग हमारे विरुद्ध किया जा सकता है। साइबर सुरक्षा विशेषज्ञों ने उत्तर दिया कि इसके ऐप के तकनीकी विवरण को छुपाने से सिस्टम की सुरक्षा के लिए बहुत कुछ नहीं होता है।<ref>{{Cite news|url=https://www.npr.org/2020/01/14/795906732/despite-election-security-fears-iowa-caucuses-will-use-new-smartphone-app|title=चुनाव सुरक्षा भय के बावजूद, आयोवा कॉकस नए स्मार्टफ़ोन ऐप का उपयोग करेगा|newspaper=NPR.org}}</ref>
जनवरी 2020 में, [[एनपीआर]] ने बताया कि [[आयोवा डेमोक्रेटिक पार्टी]] ने शैडो_इंक. आयोवारिपोर्टरऐप की सुरक्षा के संबंध में जानकारी साझा करने से अस्वीकार कर दिया, जिससें यह सुनिश्चित किया जा सके कि हम ऐसी जानकारी प्रसारित नहीं कर रहे हैं जिसका उपयोग हमारे विरुद्ध किया जा सकता है। साइबर सुरक्षा विशेषज्ञों ने उत्तर दिया कि इसके ऐप के विधिक विवरण को छुपाने से सिस्टम की सुरक्षा के लिए बहुत कुछ नहीं होता है।<ref>{{Cite news|url=https://www.npr.org/2020/01/14/795906732/despite-election-security-fears-iowa-caucuses-will-use-new-smartphone-app|title=चुनाव सुरक्षा भय के बावजूद, आयोवा कॉकस नए स्मार्टफ़ोन ऐप का उपयोग करेगा|newspaper=NPR.org}}</ref>
== आलोचना ==
== आलोचना ==
केवल अस्पष्टता के आधार पर सुरक्षा को हतोत्साहित किया जाता है और मानक निकायों द्वारा इसकी अनुशंसा नहीं की जाती है। [[संयुक्त राज्य अमेरिका]] में राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (एनआईएसटी) कभी-कभी सिफारिश करता है इस प्रथा के ख़िलाफ़.
केवल अस्पष्टता के आधार पर सुरक्षा को हतोत्साहित किया जाता है और मानक निकायों द्वारा इसकी अनुशंसा नहीं की जाती है। [[संयुक्त राज्य अमेरिका]] में राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (एनआईएसटी) कभी-कभी इस प्रथा के विरुद्ध पक्षसमर्थन करता है.


यह तकनीक [[डिज़ाइन द्वारा सुरक्षा]] और [[खुली सुरक्षा]] के विपरीत है, हालांकि कई वास्तविक दुनिया की परियोजनाओं में सभी रणनीतियों के तत्व शामिल हैं।
यह विधि [[डिज़ाइन द्वारा सुरक्षा]] और [[खुली सुरक्षा]] के विपरीत है, चूँकि कई वास्तविक दुनिया की परियोजनाओं में सभी रणनीतियों के तत्व सम्मिलित हैं।


== वास्तुकला बनाम तकनीक में अस्पष्टता ==
== वास्तुकला बनाम विधि में अस्पष्टता ==
सिस्टम कैसे बनाया जाता है इसका ज्ञान छिपाव और [[छलावरण]] से भिन्न होता है। संचालन सुरक्षा में अस्पष्टता की प्रभावशीलता इस बात पर निर्भर करती है कि क्या अस्पष्टता अन्य अच्छी सुरक्षा प्रथाओं के शीर्ष पर रहती है, या यदि इसका उपयोग अकेले किया जा रहा है।<ref>{{Cite news|url=https://danielmiessler.com/study/security-by-obscurity/|title=अस्पष्टता एक वैध सुरक्षा परत है - डैनियल मिस्लर|work=Daniel Miessler|access-date=2018-06-20|language=en-US}}</ref> जब स्वतंत्र परत के रूप में उपयोग किया जाता है, तो अस्पष्टता को वैध सुरक्षा उपकरण माना जाता है।<ref>{{Cite web|url=https://www.csiac.org/journal-article/cyber-deception/|title=Cyber Deception {{!}} CSIAC|website=www.csiac.org|language=en-US|access-date=2018-06-20}}</ref>
सिस्टम कैसे बनाया जाता है इसका ज्ञान संवृति और [[छलावरण]] से भिन्न होता है। संचालन सुरक्षा में अस्पष्टता की प्रभावशीलता इस बात पर निर्भर करती है कि क्या अस्पष्टता अन्य अच्छी सुरक्षा प्रथाओं के शीर्ष पर रहती है, या यदि इसका उपयोग अकेले किया जा रहा है।<ref>{{Cite news|url=https://danielmiessler.com/study/security-by-obscurity/|title=अस्पष्टता एक वैध सुरक्षा परत है - डैनियल मिस्लर|work=Daniel Miessler|access-date=2018-06-20|language=en-US}}</ref> जब स्वतंत्र परत के रूप में उपयोग किया जाता है, तो अस्पष्टता को वैध सुरक्षा उपकरण माना जाता है।<ref>{{Cite web|url=https://www.csiac.org/journal-article/cyber-deception/|title=Cyber Deception {{!}} CSIAC|website=www.csiac.org|language=en-US|access-date=2018-06-20}}</ref>
हाल के वर्षों में, अस्पष्टता के माध्यम से सुरक्षा के अधिक उन्नत संस्करणों ने मूविंग टारगेट डिफेंस और डिसेप्शन तकनीक के माध्यम से [[साइबर सुरक्षा]] में पद्धति के रूप में समर्थन प्राप्त किया है।<ref>{{Cite news|url=https://www.dhs.gov/science-and-technology/csd-mtd|title=सीएसडी-एमटीडी|date=2013-06-25|work=Department of Homeland Security|access-date=2018-06-20|language=en}}</ref> एनआईएसटी का साइबर लचीलापन ढांचा, 800-160 वॉल्यूम 2, लचीले और सुरक्षित कंप्यूटिंग वातावरण के पूरक भाग के रूप में अस्पष्टता के माध्यम से सुरक्षा के उपयोग की सिफारिश करता है।<ref>{{Cite journal|url=https://csrc.nist.gov/publications/detail/sp/800-160/vol-2/draft|title=SP 800-160 Vol. 2 (DRAFT), Systems Security Engineering: Cyber Resiliency Considerations for the Engineering of Trustworthy Secure Systems|last1=(NIST)|first1=Author: Ron Ross|last2=(MITRE)|first2=Author: Richard Graubart|website=csrc.nist.gov|language=EN-US|access-date=2018-06-20|last3=(MITRE)|first3=Author: Deborah Bodeau|last4=(MITRE)|first4=Author: Rosalie McQuaid|date=21 March 2018}}</ref>
 
वर्तमान में, अस्पष्टता के माध्यम से सुरक्षा के अधिक उन्नत संस्करणों ने मूविंग टारगेट डिफेंस और डिसेप्शन विधि के माध्यम से [[साइबर सुरक्षा]] में पद्धति के रूप में समर्थन प्राप्त किया है।<ref>{{Cite news|url=https://www.dhs.gov/science-and-technology/csd-mtd|title=सीएसडी-एमटीडी|date=2013-06-25|work=Department of Homeland Security|access-date=2018-06-20|language=en}}</ref> एनआईएसटी का साइबर लचीलापन फ्रेमवर्क, 800-160 वॉल्यूम 2, लचीले और सुरक्षित कंप्यूटिंग वातावरण के पूरक भाग के रूप में अस्पष्टता के माध्यम से सुरक्षा के उपयोग की पक्षसमर्थन करता है।<ref>{{Cite journal|url=https://csrc.nist.gov/publications/detail/sp/800-160/vol-2/draft|title=SP 800-160 Vol. 2 (DRAFT), Systems Security Engineering: Cyber Resiliency Considerations for the Engineering of Trustworthy Secure Systems|last1=(NIST)|first1=Author: Ron Ross|last2=(MITRE)|first2=Author: Richard Graubart|website=csrc.nist.gov|language=EN-US|access-date=2018-06-20|last3=(MITRE)|first3=Author: Deborah Bodeau|last4=(MITRE)|first4=Author: Rosalie McQuaid|date=21 March 2018}}</ref>
==यह भी देखें==
==यह भी देखें==
{{Div col|colwidth=25em}}
{{Div col|colwidth=25em}}

Revision as of 20:24, 19 July 2023

अस्पष्टता के माध्यम से सुरक्षा (या अस्पष्टता द्वारा सुरक्षा) किसी सिस्टम या घटक को सुरक्षा प्रदान करने की मुख्य विधि के रूप में डिजाइन या कार्यान्वयन गोपनीयता पर सुरक्षा इंजीनियरिंग में निर्भरता है।

रूप में डिजाइन या कार्यान्वयन गोपनीयता पर सुरक्षा इंजीनियरिंग में निर्भरता है।ने की मुख्य विधि के रूप में डिजाइया कार्यान्वयन गोपनीयता पर सुरक्षा इंजीनियरिंग में निर्भरता है।ने की मुख्य विधि के रूप में डिजा

इतिहास

अस्पष्टता के माध्यम से सुरक्षा का प्रारंभिक विरोधी ताला बनाने वाला अल्फ्रेड चार्ल्स हॉब्स था, जिसने 1851 में जनता को दिखाया कि अत्याधुनिक ताले कैसे तोड़े जा सकते हैं। इस चिंता के उत्तर में कि तालों के डिज़ाइन में सुरक्षा कमियों को उजागर करने से वे अपराधियों के प्रति अधिक संवेदनशील हो सकते हैं, उन्होंने कहा: दुष्ट अपने व्यवसाय में बहुत उत्सुक होते हैं, और जितना हम उन्हें सिखा सकते हैं उससे कहीं अधिक वे पहले से ही जानते हैं।[1]

अस्पष्टता के माध्यम से सुरक्षा के उद्देश्य पर बहुत कम औपचारिक साहित्य है। सुरक्षा इंजीनियरिंग पर किताबें 1883 से केरखॉफ्स सिद्धांत का संकेत देती हैं, यदि वे कुछ भी उद्धृत करते हैं। उदाहरण के लिए, परमाणु कमान और नियंत्रण में गोपनीयता और खुलेपन के बारे में चर्चा में:

[टी]आकस्मिक युद्ध की संभावना को कम करने के लाभों को गोपनीयता के संभावित लाभों से अधिक माना जाता था। यह केरखॉफ्स के सिद्धांत का आधुनिक पुनर्जन्म है, जिसे पहली बार उन्नीसवीं सदी में सामने रखा गया था, कि किसी प्रणाली की सुरक्षा उसकी कुंजी पर निर्भर होनी चाहिए, न कि उसके डिजाइन के अस्पष्ट रहने पर होनी चाहिए।

पीटर स्वियर ने इस धारणा के बीच ट्रेड-ऑफ के बारे में लिखा है कि अस्पष्टता के माध्यम से सुरक्षा भ्रम है और सैन्य धारणा है कि लूस लिप्स जहाजों को डुबो देते हैं,[2] साथ ही यह भी कि प्रतिस्पर्धा प्रकटीकरण के प्रोत्साहन को कैसे प्रभावित करती है।[3]

इस शब्द की उत्पत्ति के बारे में परस्पर विरोधी कहानियाँ हैं। एमआईटी के इंकंपैटिबल टाइमशेयरिंग सिस्टम (आईटीएस) के प्रशंसकों का कहना है कि इसे हॉल के नीचे मॉलटिक्स उपयोगकर्ताओं के विरोध में तैयार किया गया था, जिनके लिए सुरक्षा आईटीएस की तुलना में कहीं अधिक उद्देश्य थे। आईटीएस संस्कृति में इस शब्द का तात्पर्य, सेल्फ-मोकिंग्ली, दस्तावेज़ीकरण की खराब कवरेज और कई आदेशों की अस्पष्टता से है, और उस दृष्टिकोण से है कि जब तक पर्यटक को पता चलता है कि परेशानी कैसे उत्पन्न की जाती है, तब तक वह सामान्यतः इस आग्रह पर दक्षता प्राप्त कर चुका होता है। सफलतापूर्वक, क्योंकि वह समुदाय का भाग अनुभव करता था। आईटीएस पर अस्पष्टता के माध्यम से संकल्पपूर्वक सुरक्षा का उदाहरण नोट किया गया है: चल रहे आईटीएस सिस्टम (अल्टमोड अल्टमोड कंट्रोल-आर) को पैच करने की अनुमति देने का आदेश $$^D के रूप में प्रतिध्वनित होता है। Alt Alt कंट्रोल-डी टाइप करने से ध्वज सेट होता है जो सिस्टम को पैच करने से रोकेगा, तथापि उपयोगकर्ता ने बाद में इसे सही कर लिया हो।[4]

जनवरी 2020 में, एनपीआर ने बताया कि आयोवा डेमोक्रेटिक पार्टी ने शैडो_इंक. आयोवारिपोर्टरऐप की सुरक्षा के संबंध में जानकारी साझा करने से अस्वीकार कर दिया, जिससें यह सुनिश्चित किया जा सके कि हम ऐसी जानकारी प्रसारित नहीं कर रहे हैं जिसका उपयोग हमारे विरुद्ध किया जा सकता है। साइबर सुरक्षा विशेषज्ञों ने उत्तर दिया कि इसके ऐप के विधिक विवरण को छुपाने से सिस्टम की सुरक्षा के लिए बहुत कुछ नहीं होता है।[5]

आलोचना

केवल अस्पष्टता के आधार पर सुरक्षा को हतोत्साहित किया जाता है और मानक निकायों द्वारा इसकी अनुशंसा नहीं की जाती है। संयुक्त राज्य अमेरिका में राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (एनआईएसटी) कभी-कभी इस प्रथा के विरुद्ध पक्षसमर्थन करता है.

यह विधि डिज़ाइन द्वारा सुरक्षा और खुली सुरक्षा के विपरीत है, चूँकि कई वास्तविक दुनिया की परियोजनाओं में सभी रणनीतियों के तत्व सम्मिलित हैं।

वास्तुकला बनाम विधि में अस्पष्टता

सिस्टम कैसे बनाया जाता है इसका ज्ञान संवृति और छलावरण से भिन्न होता है। संचालन सुरक्षा में अस्पष्टता की प्रभावशीलता इस बात पर निर्भर करती है कि क्या अस्पष्टता अन्य अच्छी सुरक्षा प्रथाओं के शीर्ष पर रहती है, या यदि इसका उपयोग अकेले किया जा रहा है।[6] जब स्वतंत्र परत के रूप में उपयोग किया जाता है, तो अस्पष्टता को वैध सुरक्षा उपकरण माना जाता है।[7]

वर्तमान में, अस्पष्टता के माध्यम से सुरक्षा के अधिक उन्नत संस्करणों ने मूविंग टारगेट डिफेंस और डिसेप्शन विधि के माध्यम से साइबर सुरक्षा में पद्धति के रूप में समर्थन प्राप्त किया है।[8] एनआईएसटी का साइबर लचीलापन फ्रेमवर्क, 800-160 वॉल्यूम 2, लचीले और सुरक्षित कंप्यूटिंग वातावरण के पूरक भाग के रूप में अस्पष्टता के माध्यम से सुरक्षा के उपयोग की पक्षसमर्थन करता है।[9]

यह भी देखें

संदर्भ

  1. Stross, Randall (17 December 2006). "टी.एस.ए. में एब्सर्ड का रंगमंच।". The New York Times. Retrieved 5 May 2015.
  2. Swire, Peter P. (2004). "A Model for When Disclosure Helps Security: What is Different About Computer and Network Security?". Journal on Telecommunications and High Technology Law. 2. SSRN 531782.
  3. Swire, Peter P. (January 2006). "A Theory of Disclosure for Security and Competitive Reasons: Open Source, Proprietary Software, and Government Agencies". Houston Law Review. 42. SSRN 842228.
  4. "अस्पष्टता के माध्यम से सुरक्षा". The Jargon File.
  5. "चुनाव सुरक्षा भय के बावजूद, आयोवा कॉकस नए स्मार्टफ़ोन ऐप का उपयोग करेगा". NPR.org.
  6. "अस्पष्टता एक वैध सुरक्षा परत है - डैनियल मिस्लर". Daniel Miessler (in English). Retrieved 2018-06-20.
  7. "Cyber Deception | CSIAC". www.csiac.org (in English). Retrieved 2018-06-20.
  8. "सीएसडी-एमटीडी". Department of Homeland Security (in English). 2013-06-25. Retrieved 2018-06-20.
  9. (NIST), Author: Ron Ross; (MITRE), Author: Richard Graubart; (MITRE), Author: Deborah Bodeau; (MITRE), Author: Rosalie McQuaid (21 March 2018). "SP 800-160 Vol. 2 (DRAFT), Systems Security Engineering: Cyber Resiliency Considerations for the Engineering of Trustworthy Secure Systems". csrc.nist.gov (in English). Retrieved 2018-06-20. {{cite journal}}: |first1= has generic name (help)

बाहरी संबंध