分類
CISSP

使用證書對代碼進行簽章,以防止其被篡改並向用戶驗證您的身份-使用您的私鑰對代碼進行散列並加密結果

https://ithelp.ithome.com.tw/upload/images/20210731/20132160fUlVpxDsEQ.png
-使用私鑰和公鑰對強大的程序集進行簽名和驗證
(來源:https://flylib.com/books/en/4.253.1.138/1/
數位簽章可確保不可否認性,其中還包括資料完整性和真實性。從技術上講,數位簽章只不過是由主體的私鑰簽名的對象的哈希值。
哈希(值)、摘要和指紋是同義詞。消化代碼實際上是對代碼進行散列,不需要公鑰。
使用您的私鑰加密代碼的指紋或對代碼進行散列並使用您的私鑰加密結果是生成數位簽章的改寫。
只有代碼的指紋需要通過您的私鑰進行加密。簽名時不需要加密代碼。

參考
審查的前 5 名最受歡迎的 SSL 證書頒發機構
什麼是代碼簽名?
FIPS PUB 186-4
ClickOnce 和 Authenticode
ClickOnce 應用程序的代碼訪問安全
配置 ClickOnce 可信發布者

資料來源: Wentz Wu QOTD-20210705

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

開發一個新的資訊系統,先應首先進行“識別系統處理的資料類型”

https://ithelp.ithome.com.tw/upload/images/20210729/20132160GxPs87PFSF.jpg
-NIST SDLC 和 RMF

對系統進行分類意味著識別其處理的資料類型,以通過資料類型在機密性、完整性和可用性方面的影響級別的高水印來確定其影響級別。
安全控制框架,例如 NIST SP 800-53 R5,通常提供安全控制集作為基線。組織可以使用安全控制基線作為初始範圍,並根據風險評估產生的安全需求和要求對其進行調整。
資訊系統所有者應準備一個授權包,其中包含安全和隱私計劃、安全和隱私評估報告以及行動計劃和里程碑(用於糾正措施和改進),並將其提交給適當的授權操作授權 (ATO) .

參考
NIST 風險管理框架

資料來源: Wentz Wu QOTD-20210704

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

獲得資訊系統運行授權(authorization)而應首先開發的文件-安全和隱私計劃(Security and privacy plans)

https://ithelp.ithome.com.tw/upload/images/20210727/20132160GsIJwwIuoY.jpg
-NIST SDLC 和 RMF
資訊系統所有者應準備授權包並將其提交給適當的 授權操作(ATO)機構。授權包通常包含:

  1. 安全和隱私計劃(指導活動/任務)
  2. 安全和隱私評估報告(實施安全控制後)
  3. 糾正措施和改進的行動計劃和里程碑 (POA&M)
    授權包是最後一個工件。它基本上是上述三個文件的彙編。

參考
NIST SP 800-37,修訂版 2
NIST SP 800-18 修訂版 1

資料來源: Wentz Wu QOTD-20210702

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

硬體安全模組 (HSM) 的身份驗證最不相關-職責分離(SOD)

如今,“秘密”(secret)是認證的基礎。我們通常使用密碼(您知道的東西)、令牌中的加密密鑰(您擁有的東西)或帶有 PIN 的 1 對 1 生物特徵識別(您是的東西)進行身份驗證。
. 拆分知識、基於仲裁的身份驗證和 M of N 控制是控制對機密的訪問的常用方法。
. 職責分離 (SOD) 是一種在設計職位時控制流程或工作流程的措施。

參考
硬體安全模組
什麼是 N 中的 M?
N 中的 M,關於
分裂知識
可信路徑
職責分離 (SOD)

資料來源: Wentz Wu QOTD-20210701

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

MTTF(Mean Time To Failure):平均故障壽命

MTTF(Mean Time To Failure):平均故障壽命(一次性):出廠到失效之間平均時間
MTBF(Mean Time Between Failures):平均故障間隔(多久壞一次)
MTTR(Mean Time To Repair):平均修復時間:產品由故障轉為工作狀態時,修理時間的平均值。

可用性維護

平均無故障時間 (MTTF) 和平均無故障時間 (MTBF) 交替使用的情況並不少見。但是,MTTF 適用於不可修復的項目,而 MTBF 適用於可修復的項目。

老化的 UPS 電池通常是更換而不是維修。因此,在這種情況下,MTTF 優於 MTBF。

平均無故障時間

平均無故障時間 (MTTF) 是一種維護指標,用於衡量不可修復資產在發生故障之前運行的平均時間。由於 MTTF 僅與無法或不應修復的資產和設備相關,因此 MTTF 也可被視為資產的平均壽命。

MTTF 和 MTBF

平均無故障時間聽起來很像平均無故障時間 (MTBF),但它們並不相同。

主要區別在於計算中使用的資產類型。MTTF 使用不可修復的資產,而 MTBF 處理可修復的資產——當它們發生故障時,它們可以輕鬆修復而無需花費太多。

來源:修復軟件

資料來源:https://wentzwu.com/2019/12/25/cissp-practice-questions-20191226/

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

單元測試(Unit testing)

https://ithelp.ithome.com.tw/upload/images/20210725/201321603Yz7snaPPo.jpg
-示例單元測試
單元測試通常由程序員開發。這是一個白盒測試。為了最大化單元測試的價值,伴隨著敏捷方法提出的測試驅動開發(TDD)實踐,極限編程(XP)。也就是說,程序員首先編寫單元測試,以驅動生產代碼的開發。在生產代碼完成後編寫單元測試幾乎沒有價值。
單元測試被檢入本地代碼存儲庫並推送到中央代碼存儲庫服務器。編譯服務器上的所有代碼並在編譯成功時執行所有單元測試是集成測試的一部分。如果將服務器配置為在滿足某些條件時自動開始編譯,則稱為持續集成。每晚構建(例如,每天凌晨 3 點)或檢測到新簽入都是持續集成觸發器的好例子。
https://ithelp.ithome.com.tw/upload/images/20210725/20132160VwnhrVQiYl.jpg
-XP 實踐(來源:https : //twitter.com/CharlotteBRF)

資料來源: Wentz Wu QOTD-20210722

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

AES(高級加密標準)

https://ithelp.ithome.com.tw/upload/images/20210723/20132160tqxQvsYwr2.jpg
-密碼學
這兩種DES(數據加密標準)AES(高級加密標準)是美國的加密標準。傳統 DES 使用 IBM 開發的 Lucifer,而當前標準 AES 通過開放選擇指定 Rijndael。通常將 DES 和 AES 稱為密碼本身。例如,AES 和 Rijndael 的不同之處在於,“Rijndael 本身指定的塊和密鑰大小可以是 32 位的任意倍數,最小為 128 位,最大為 256 位。” 但是,AES 指定了 128 位的“固定塊大小”,但密鑰大小有 128、192 或 256 位三種選擇。(維基百科

DES 和 AES 是分組密碼。塊是一組位。塊是塊密碼的基本處理單元。DES 將數據分成 64 位塊,而 AES 以 128 位塊處理數據。但是,密鑰可能不等於數據塊。DES 密鑰大小名義上是 64 位(8 字節),但一個字節的每一位都是所謂的用於錯誤控制的奇偶校驗位。因此,有效密鑰長度為 56 位(64-8=56)。DES 塊大小比其後繼 AES 小得多,AES 使用 128 位塊。

因為分組密碼使用固定大小的塊,明文不能總是分成整個塊或塊大小的倍數。“ Padding ”是將數據加入明文中以便將其劃分為完整塊的過程。位置(開始、中間或結束)、單位(位或字節)和模式(全為零或全為 1)是填充問題。ANSI X9.23、PKCS#5、PKCS#7、ISO/IEC 7816-4 等是處理填充數據模式的標準。
ECB 模式中的 AES 可能不涉及初始化向量 (IV)。分組密碼可以在各種操作模式下工作。最著名的電子代碼簿 (ECB) 不涉及啟動向量,但可能會生成重複的模式。

DES 於 1970 年代初由 IBM 開發,基於 Horst Feistel 的早期設計。它於 1976 年被批准為美國加密標準。三重 DES (3DES/TDES) 是 DES 在 1990 年代被破壞後的一種解決方法。3DES 使用相同的 DES 算法三次以增加工作因子。3DES 需要三個密鑰(每個 DES 操作一個);但是,第一次使用的密鑰可以在第三次處理時使用。名義上,3DES 使用三個密鑰,但實際上它可以使用兩個密鑰(第一次和第三次使用相同的密鑰)。DES3-EEE 意味著使用三個不同的密鑰應用 DES 加密三次。

參考
分組密碼
高級加密標準
數據加密標準
三重DES
奇偶校驗位(維基百科)
填充(密碼學)
初始化向量
java中AES-256加密需要多大的初始化向量?
RSA 中的典型塊大小是多少?

資料來源: Wentz Wu QOTD-20210629

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

金鑰叢集(Key clustering)

哈希上下文中的碰撞通常是指哈希函數從兩個不同的輸入消息生成相同哈希值的情況。有些,例如維基百科,可能會在哈希語中使用聚類。在 CISSP 中,聚類特別指密碼使用兩個不同的秘密密鑰生成相同密碼的情況。因此,更具體地說,哈希碰撞或金鑰叢集。

服務器欺騙是一種干擾因素,它結合了兩個概念:服務器群和欺騙攻擊。 Pharming 是一種網絡攻擊,旨在將網站的流量重定向到另一個虛假網站。 Pharming 可以通過更改受害者計算機上的主機文件或利用 DNS 服務器軟件中的漏洞來進行。 DNS 服務器是負責將 Internet 名稱解析為其真實 IP 地址的計算機。受損的 DNS 服務器有時被稱為“中毒”。 Pharming 需要不受保護地訪問目標計算機,例如更改客戶的家用計算機,而不是公司業務服務器。資料來源:維基百科

衝突檢測也可用於網絡通信環境中,並與帶有衝突檢測的載波偵聽多路訪問 (CSMA/CD) 相關,“一種媒體訪問控制 (MAC) 方法,最顯著地用於早期的局域網以太網技術。它使用載波偵聽來推遲傳輸,直到沒有其他站正在傳輸。這與衝突檢測結合使用,其中發送站在發送幀時通過檢測來自其他站的傳輸來檢測衝突。當檢測到這種衝突情況時,該站停止發送該幀,發送一個阻塞信號,然後等待一個隨機時間間隔,然後再嘗試重新發送該幀。” (維基百科

資料來源: Wentz Wu QOTD-20210628

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

錯誤接受率 (FAR) 和錯誤拒絕率 (FRR)

https://ithelp.ithome.com.tw/upload/images/20210719/20132160vWTGlq7gNh.png
-來源:(ISC)² 社區
在基於生物識別的系統中,靈敏度/閾值和 CER/EER 通常可以互換使用。交叉錯誤率 (CER) 或等錯誤率 (EER) 越低,生物識別系統犯的錯誤就越少。
更改(降低或提高)CER 或 EER 意味著更換(未配置)生物識別系統/機器。CER 或 EER 不能由客戶“配置”。客戶可以根據自己的安全需要調整或配置“靈敏度”或“閾值”來改變FAR/FRR。
. 降低靈敏度/閾值意味著接受更少的匹配生物特徵模式、增加 FAR 和降低 FRR,以及更多便利。
. 提高靈敏度/閾值意味著需要更多匹配的生物識別模式,增加 FRR 並降低 FAR,從而提高安全性。

資料來源: Wentz Wu QOTD-20210624

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

存取令牌(Access Token)

. “斷言”( Assertion)是 SAML(安全斷言標記語言)中使用的術語,相當於 OIDC(OpenID Connect)中的“聲明”。OIDC 將 ID Token(用於身份驗證)與 Access Token(用於授權)區分開來。OAuth2 中使用的存取令牌是“承載”令牌。擁有存取令牌作為不記名令牌的任何一方都可以存取相關資源。
. XACML 用於授權,它基於 XML,非常適合 SAML。
. 存取令牌和不記名令牌通常可以互換使用。但是,存取令牌字面上表示存取控製或授權的概念。不記名令牌是令牌的一種,它強調令牌的匿名性。

RFC 6750,OAuth 2.0 Bearer Token Usage,是一個規範,“描述瞭如何在 HTTP 請求中使用不記名令牌來存取 OAuth 2.0 受保護的資源。擁有不記名令牌(“持有者”)的任何一方都可以使用它來存取相關資源(無需證明擁有加密密鑰)。為了防止濫用,需要保護不記名代幣在存儲和運輸過程中不被洩露。”
但是,它也使用術語“存取令牌”描述了客戶端和資源服務器之間的通信,如下圖所示:
https://ithelp.ithome.com.tw/upload/images/20210718/20132160FnRDal2e90.png

參考
刷新令牌:何時使用它們以及它們如何與 JWT 交互

資料來源: Wentz Wu QOTD-20210623

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文