停止对加密的自我反思

我们对自己在密码学方面的才华如此着迷，以至于我们忘记了大多数静态数据（隐藏在数据库中）都是未加密的。

例如， Skyhigh 对加密控制的分析发现，81.8% 的云服务提供商使用 SSL 或 TLS 加密传输中的数据，但只有 9.4% 的提供商在数据静止存储在云中后对其进行加密。 这使得越来越多的组织被发现提供对云数据库和 AWS S3 存储桶的不受限制的访问，这将是一场即将发生的噩梦。

当今的网络防御在很大程度上依赖于这样一个事实：即使最强大的传统超级计算机也需要几乎难以想象的时间才能破解保护我们的数据、计算机网络和其他数字系统的加密算法。
来自< https://it.slashdot.org/story/18/12/05/2342226/quantum-computers-pose-a-security-threat-that-were-still-totally-unprepared-for >

这句话无疑是正确的。 问题在于加密并不能完全保护我们的数据、计算机网络和其他数字系统。 它可以保护传输中的数据，如果幸运的话，还可以保护静止的数据。 它增强了关键系统的访问控制。 但实际情况是，“网络”和“系统”要想处理数据、执行逻辑，就必须能够以纯文本的形式查看数据。 与数字偷窥者相比，组织面临的来自未受保护和未打补丁的applications的风险更大。

这最终就是为什么违规行为发生率不断上升的原因。 这并不是因为数据在传输过程中或静止时未加密，而是因为applications和 API 无法处理加密形式的数据。 它必须是未加密的，此时它很容易被泄露。 而漏洞则会吸引攻击者。

与未加密数据交互并进行操作的applications和 API 对数据安全和隐私的威胁比破解基于量子的密码学更为严重。 这是他们频频成为攻击目标的原因之一。 F5 实验室对十年违规行为的分析显示，“53% 的违规行为的初始目标都是applications。” 它们不仅是获取数据的最简单途径，而且是日益加密的数据路径中仅存的几个数据未加密、可供寻找数据的人轻松使用的地方之一。

如今，我们对违规行为几乎已经麻木了，因为它们发生的频率如此之高，以至于看到数百万条记录通过application从某个数据库被窃取的新闻已是常态。 尽管我们努力强迫使用加密（使用 HTTPS 而不是 HTTP），但情况仍然如此。 尽管浏览器对用于加密数据的算法和密钥长度实施了加密标准，以防止“窥探”的眼睛，但情况仍然如此。

如果当今的“网络防御”确实严重依赖密码技术的强度，那么我们就真的有麻烦了。 因为仅靠加密的强度并不能防止困扰我们的新闻源和堵塞我们的收件箱的数据泄露和泄露。 我们可以凭借力量——而且越来越多地依靠智慧——来识别和阻止导致数据丢失的攻击。

加密的恶意代码仍然是恶意的。 塞入application身份验证系统的加密窃取凭证仍然是窃取凭证。 消除中间盒并不能消除易受攻击的网络或application服务器执行漏洞来获取有价值的裸数据的威胁。

如果我们的加密技术能够将威胁利用applications和 API 的攻击直击我们数字经济的核心，那么仅仅关注我们加强加密的能力是不够的。  保护我们的数字资产（applications）及其访问渠道（API）需要一种更全面的application保护方法，除了强大的加密技术外，还结合了情报、身份和攻击检测。