Open rainit2006 opened 3 years ago
暗号装置の動作状況を様々な物理的手段で観察することにより、装置内部のセンシティブな情報を取得しようとする攻撃(暗号解読)方法の総称である。 サイドチャネル攻撃のターゲットとなるのは、暗号機能を内蔵したICカードや暗号処理機能を組み込まれた半導体製品などです。それらの機器の内部で、暗号化や復号化を行う時の処理時間や消費電力の変化、外部に発生する電磁波、音、熱などの変動を測定し、重要な情報を盗み出します。
テンペスト攻撃はパソコンのディスプレイやLANケーブル、USBケーブルなどから発生する弱い電磁波を傍受して、情報を盗聴する攻撃のことです。一方、サイドチャネル攻撃は"暗号解読"を目的とした攻撃手法です。 例えばLANケーブルから発生する電磁波をテンペスト攻撃で傍受されても、暗号化されていれば情報の中身を知られることはありません。テンペスト攻撃は電磁波の受信は行いますが、復号処理を行わないからです。 しかしテンペスト攻撃では、パソコンの画面の表示内容やキーボードで打ち込んだ情報などが知られる可能性があります。これらの情報は暗号化のしようがないため、平文のまま情報がやり取りされているからです。ただ、サイドチャネル攻撃の1つである「電磁波解析攻撃」のことをテンペスト攻撃と呼ぶこともあるようです。
サイドチャネル攻撃への対策方法:
最高プライバシー責任者は、ますます多くのグローバル企業、公的機関、およびその他の組織内の上級レベルの幹部であり、情報プライバシー法および規制に関連するリスクの管理を担当しています。
Conducting a data inventory is the very first step in preventing data loss or leakage. If you don't know what data you have, how it's classified in terms of sensitivity, and where it is located then you can't effectively prevent its loss or leakage.
Resiliency is the ability of the system to deal with challenges, damage, and negative actions, and return to a normal state of operation quickly, with minimum impact to the organization.
組織のデータガバナンスプロセスを利用して、データ要素(コンテンツとメタデータの両方)の適合性を確保する責任を負う組織内の役割です。 データスチュワードは、ポリシーや規制の義務に従って組織のデータ全体を管理するためのプロセス、ポリシー、ガイドライン、および責任を組み込んだ専門家の役割を担っています。
Organization for Economic Cooperation and Development (OECD) Privacy Guidelines (International): 経済協力開発機構。 30 member nations from around the world, including the U.S. OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, issued in 1980
监管机构(“Supervisory Authority”)。 GDPR规定了欧盟每一个成员国都必须成立关于GDPR的监管机构(“Supervisory Authority”),负责GDPR在每一个国家的执行。
The GDPR does include
It does not include a specific requirement to encrypt information at rest.
Under EU regulations, both the organization sharing data and the third-party data processor bear responsibility for maintaining the privacy and security of personal information.
The U.S. government agency oversees compliance with the Privacy Shield framework for organizations wishing to use the personal data of EU citizens
The U.S. government specifies
Information shared with customers is public, internal business could be sensitive or private, and trade secrets are proprietary.
Classification identifies the value of data to an organization.
PGP, or Pretty Good Privacy (or its open-source alternative, GPG) provide strong encryption of files, which can then be sent via email.
When the value of data changes due to legal, compliance, or business reasons, reviewing classifications and reclassifying the data is an appropriate response.
Solid state drives (SSDs) cannot be degaussed because they do not store data on magnetic media. Disintegration is the only way you can verify the data is 100% destroyed. Most organizations that fall under NIST 800-88, HIPAA and PCI data destruction require that SSDs and other flash media be shredded to .375” (9.5mm). This size shred ensures that all chips are destroyed.
The POODLE (or Padding Oracle On Downgraded Legacy Encryption) attack helped force the move from SSL 3.0 to TLS because it allowed attackers to easily access SSL encrypted messages.
Stuxnet was a worm aimed at the Iranian nuclear program. CRIME and BEAST were earlier attacks against SSL.