الأمن من خلال الغموض
الأمن من خلال الغموض, Security through obscurity, إحدى وسائل الهندسة الأمنية، وتعني تصميم نظام أمني يعمل بتحويل دلالة العبارة إلى معنى مغاير. الأنظمة التي تعتمد على مبدأ السرية من خلال الغموض تعاني من ثغرات أمنية، من الوجهة النظرية والعملية. ويدعي أصحاب هذا المبدأ، أن المهاجم لن يستطيع اختراق النظام إلا في حالة معرفة عيوبه، وهو أمر مستبعد، حسب اعتقادهم. قد يستخدم نظام الأمن من خلال الغموض كوسيلة للدفاع في قياس العمق، في حين سيتم التخفيف من نقاط الضعف الأمنية المعروفة من خلال تدابير أخرى، الكشف العلني عن المنتجات والإصدارات في الاستخدام يجعل منها هدفا مبكرا لنقاط الضعف المكتشفة حديثا في تلك المنتجات والإصدارات. الخطوة الأولى للمهاجمين هو عادة جمع المعلومات، هذه الخطوة يتم تأخيرها من قبل الأمن من خلال الغموض. هذه التقنية تقف في مقابل الأمن من خلال التصميم security by design والأمن المفتوح open security، على الرغم من ذلك فالعديد من المشاريع في العالم الحقيقي تشمل عناصر من جميع هذه الاستراتيجيات. لم ينجح الأمن من خلال الغموض قط، في قبول الهندسة كمنهج لتأمين النظام، وذلك لتعارضها مع مبدأ «ابقه بسيطا» "Keep it simple, stupid" انظر،KISS principle. يوصي معهد الولايات المتحدة الوطني للمعايير والتكنولوجيا National Institute of Standards and Technology باقتراحات محددة ضد الأمن من خلال الغموض في أكثر من وثيقة واحدة. نقلا عن إحداها، «يجب أن لا يعتمد أمن النظام على سرية تنفيذه أو مكوناته».[1] , طبقا لمبادئ كيرشوف فإن ذلك يشبه القول «يمكن لصاحب البيت أن يترك الباب الخلفي مفتوحا، لأن اللص لن يراه».
المراجع
- "Guide to General Server Security" (PDF)، National Institute of Standards and Technology، يوليو 2008، مؤرشف من الأصل في 9 أغسطس 2017، اطلع عليه بتاريخ 02 أكتوبر 2011.
انظر أيضا
- ستيغانوغرافي ستيغانوغرافي
- Code morphing
- مبادئ كيرشوف Kerckhoffs' principle
- Need to know
- Obfuscated code
- Presumed security
- Secure by design
- AACS encryption key controversy
- بوابة أمن المعلومات
- بوابة تعمية