#物聯網IoT #嵌入式系統 #資安 #微控制器MCU #身份驗證
【安全三部曲:機密性、完整性、身份驗證】
具資安能力的設備除了表明身份,還需要進行「驗證」。其中,「不可否認性」(non-repudiation) 是一種強大的身份驗證形式,能證明報文或數據的特定來源;而「證明」(attestation) 也是一種身份驗證形式,常用於安全引導和韌體更新以確保代碼未經篡改,有本地/遠程兩種形式。
為便於記憶,業界將安全三部曲——機密性、完整性和身份驗證,取其字首簡稱為 CIA,在網路安全代表可用性、在硬體嵌入式安全為身份驗證,而在密碼學的實際應用則是:對報文進行身份驗證、檢查完整性,最後透過某種方式打亂報文來實現機密性。那麼,亂碼是否為必要步驟?
專家認為,真正的安全性通常僅透過身份驗證和完整性實現,機密性則是可選項。報文是否需要加密取決於有效負載是否有價值?或其安全性是否受到任何威脅?若答案是肯定的,就須將報文以亂碼呈現,以免遭到窺探,但加密只是安全措施之一。令人詫異的是:許多情況下,加密是最不重要的安全元素。
「使用加密作為身份驗證手段,一切就高枕無憂」的想法是不對的!這有曝露潛在漏洞的危險。無論在協定中的哪個區段使用加密,都只能保護對應層及其以下的層級內容。過於依賴通訊層安全和傳輸層安全 (TLS) 實現應用安全性並不恰當,因為 TLS 只能保護動態數據、無法保護應用層。一旦有人發起攻擊,就能訪問明文數據。
演示視頻:
《Microchip安全加密技術入門教程——第二部分:身份驗證、完整性和機密性》
http://compotechasia.com/a/CTOV/2020/0420/44521.html
https://www.youtube.com/watch?v=LnhQXa5HLv4&feature=emb_logo
#微芯科技Microchip #CryptoMemory #CryptoRF
P.S.《COMPOTECHAsia 電子與電腦》在 YouTube 也有專屬頻道哦!歡迎各位朋友訂閱+開啟小鈴鐺。
https://www.youtube.com/user/compotechasia/videos
同時也有10000部Youtube影片,追蹤數超過2,910的網紅コバにゃんチャンネル,也在其Youtube影片中提到,...
「non-repudiation」的推薦目錄:
- 關於non-repudiation 在 COMPOTECHAsia電子與電腦 - 陸克文化 Facebook 的精選貼文
- 關於non-repudiation 在 蔡至誠。PG財經筆記Simple Is The Best Facebook 的最讚貼文
- 關於non-repudiation 在 コバにゃんチャンネル Youtube 的最佳貼文
- 關於non-repudiation 在 大象中醫 Youtube 的精選貼文
- 關於non-repudiation 在 大象中醫 Youtube 的精選貼文
- 關於non-repudiation 在 Non-Repudiation - CompTIA Security+ SY0-401: 6.1 - YouTube 的評價
- 關於non-repudiation 在 What is the difference between authenticity and non ... 的評價
- 關於non-repudiation 在 Non-Repudiation with WebCrypto - Stack Overflow 的評價
non-repudiation 在 蔡至誠。PG財經筆記Simple Is The Best Facebook 的最讚貼文
轉貼一位希望暱名的大大神吐槽
—
區塊鏈年度十大事實,一個區塊鏈工程師的視角
1. 大多數加密貨幣沒加密,其實應該叫密碼貨幣或簽名貨幣,它們多數只用到了數位簽章的不可否認性(non-repudiation),沒有用到密碼學的機密性(confidentiality),除了Zcash之流,有用到homomorphic encryption。
2. 大多數token的用途都是中心化的,即便這些token存在去中心化的區塊鏈上,如: 在某個還沒寫出來的網站平台跟你說會用到,但其實他們大可用DB做個酷碰點數就好,而且,沒有任何一個合作廠商會想要拿你家平台的代幣做利潤拆分,還要自己找交易所出金,吃飽太閒。
3. 部分token的功能ETH都能做,這些代幣沒有價值或微乎其微,頂多算網站平台使用費,這類型通常也炒不起來,連投機人士都不太想買帳,除非這些投資人是沒做功課的肥羊,如: VC平台、ENS平台。
4. 大多數資料上鏈的token,根本做不到驗證資料是真是假,或負責資料上鏈的單位本來就是trusted third party。區塊鏈上寫巴黎鐵塔倒了,巴黎鐵塔就真的倒了嗎? 你已經相信氣象局網站的地震資料,那氣象局跟你說他要把資料上區塊鏈,你會因此更相信它嗎? 多此一舉,只是多了一個沒用的代幣,這樣的資料上鏈根本沒有意義,如: 供應鏈、能源相關、證書相關應用、所有權上鏈和轉移,廣告分潤(先解釋怎麼阻止聘用大量人力刷假流量,不然鏈上都是假量的資料有何意義? AI? 人工智慧有100%正確嗎?)。
5. 部分token什麼也沒告訴你,只告訴你他們會漲,什麼時候能漲多少,會上那些交易所,雖然這些token沒用到極點,但個人滿佩服龐氏騙局在各個時代都能有它不同的樣貌。
6. 中國的白皮書,已經到了不騙人還不行的地步,投資人會說你這寫的太誠實了,不能炒,他們不買帳。
7. 這年頭說自己一個區塊鏈或應用已經被證明可以跨多個公有鏈的都是瞎扯,問問知名區塊鏈的核心團隊誰要配合你改共識協定或新增op code。
8. 政府和國際組織老是以為自己可以很好的監管公有鏈,就像以為可以監管太平洋的魚會不會游到大西洋一樣,怎麼不先回想一下政府自己有多少勞檢員可以實行勞動檢查,之所以政府和國際組織表現的積極,只是因為他們收不到稅急得跳腳,不過政府以為自己能透過監管中央式交易所的方式課到稅,又是另一個笑話,有聽過什麼叫場外交易嗎? 去中心化出金怎麼監管? 針對這世界上所有的匯款紀錄做調查嗎? 以後每個月房東收房租,政府都要擔心你是不是場外交易獲利出場,然後跟你要來源資料證明,這根本不可能實行,簡直荒謬,而且更多的是,部分國家的政府官員,自己都是區塊鏈的使用者。
9. 目前區塊鏈世界有明確商業模型的,只有開交易所的、做硬體錢包的、搞相關媒體的,除此之外,在高速又可證明是安全的側鏈技術完成以前(這意味著可能順便解決了跨鏈的問題),使得眾多區塊鏈代幣真的能輕鬆高速的應用在平台上達到跨境服務以前,代幣的價格都是泡沫。
10. 大部分投資人其實內心深處都理解上面的事情,但都不願意說出來。就像電影大賣空一般,"The truth is like poetry. And most people fucking hate poetry."
所以哪些代幣真的有價值和潛力阿? 別問我,我也不知道,如果你知道,可以偷偷跟我講,嘻嘻。
轉貼一位希望暱名的大大神吐槽,
知道是誰的要低調嘿嘿😁
—
區塊鏈年度十大事實,一個區塊鏈工程師的視角
1. 大多數加密貨幣沒加密,其實應該叫密碼貨幣或簽名貨幣,它們多數只用到了數位簽章的不可否認性(non-repudiation),沒有用到密碼學的機密性(confidentiality),除了Zcash之流,有用到homomorphic encryption。
2. 大多數token的用途都是中心化的,即便這些token存在去中心化的區塊鏈上,如: 在某個還沒寫出來的網站平台跟你說會用到,但其實他們大可用DB做個酷碰點數就好,而且,沒有任何一個合作廠商會想要拿你家平台的代幣做利潤拆分,還要自己找交易所出金,吃飽太閒。
3. 部分token的功能ETH都能做,這些代幣沒有價值或微乎其微,頂多算網站平台使用費,這類型通常也炒不起來,連投機人士都不太想買帳,除非這些投資人是沒做功課的肥羊,如: VC平台、ENS平台。
4. 大多數資料上鏈的token,根本做不到驗證資料是真是假,或負責資料上鏈的單位本來就是trusted third party。區塊鏈上寫巴黎鐵塔倒了,巴黎鐵塔就真的倒了嗎? 你已經相信氣象局網站的地震資料,那氣象局跟你說他要把資料上區塊鏈,你會因此更相信它嗎? 多此一舉,只是多了一個沒用的代幣,這樣的資料上鏈根本沒有意義,如: 供應鏈、能源相關、證書相關應用、所有權上鏈和轉移,廣告分潤(先解釋怎麼阻止聘用大量人力刷假流量,不然鏈上都是假量的資料有何意義? AI? 人工智慧有100%正確嗎?)。
5. 部分token什麼也沒告訴你,只告訴你他們會漲,什麼時候能漲多少,會上那些交易所,雖然這些token沒用到極點,但個人滿佩服龐氏騙局在各個時代都能有它不同的樣貌。
6. 中國的白皮書,已經到了不騙人還不行的地步,投資人會說你這寫的太誠實了,不能炒,他們不買帳。
7. 這年頭說自己一個區塊鏈或應用已經被證明可以跨多個公有鏈的都是瞎扯,問問知名區塊鏈的核心團隊誰要配合你改共識協定或新增op code。
8. 政府和國際組織老是以為自己可以很好的監管公有鏈,就像以為可以監管太平洋的魚會不會游到大西洋一樣,怎麼不先回想一下政府自己有多少勞檢員可以實行勞動檢查,之所以政府和國際組織表現的積極,只是因為他們收不到稅急得跳腳,不過政府以為自己能透過監管中央式交易所的方式課到稅,又是另一個笑話,有聽過什麼叫場外交易嗎? 去中心化出金怎麼監管? 針對這世界上所有的匯款紀錄做調查嗎? 以後每個月房東收房租,政府都要擔心你是不是場外交易獲利出場,然後跟你要來源資料證明,這根本不可能實行,簡直荒謬,而且更多的是,部分國家的政府官員,自己都是區塊鏈的使用者。
9. 目前區塊鏈世界有明確商業模型的,只有開交易所的、做硬體錢包的、搞相關媒體的,除此之外,在高速又可證明是安全的側鏈技術完成以前(這意味著可能順便解決了跨鏈的問題),使得眾多區塊鏈代幣真的能輕鬆高速的應用在平台上達到跨境服務以前,代幣的價格都是泡沫。
10. 大部分投資人其實內心深處都理解上面的事情,但都不願意說出來。就像電影大賣空一般,"The truth is like poetry. And most people fucking hate poetry."
所以哪些代幣真的有價值和潛力阿? 別問我,我也不知道,如果你知道,可以偷偷跟我講,嘻嘻。
non-repudiation 在 コバにゃんチャンネル Youtube 的最佳貼文
non-repudiation 在 大象中醫 Youtube 的精選貼文
non-repudiation 在 大象中醫 Youtube 的精選貼文
non-repudiation 在 What is the difference between authenticity and non ... 的推薦與評價
Non -repudiation is an active attempt to creat artifacts which may be used against an identified person who is denying that they are the origin ... ... <看更多>
non-repudiation 在 Non-Repudiation - CompTIA Security+ SY0-401: 6.1 - YouTube 的推薦與評價
... <看更多>