در این پست چه چیزهایی خواهیم اموخت:
اشنایی با CIA Triad
اشنایی با Public Key و Private Key
انواع Encryption
User Authentication و Server Authentication
فرض کنیم در مورد security یک web site میخواهیم صحبت کنیم .
مثلث زیر به نام CIA Triad و یا مثلث امنیت را در نظر بگیریم که 3 ضلع تشکیل دهنده ی ان Confidentiality,integraty و Aavailability است .
از Availability شروع کنیم:
به زبان ساده Availability به این معناست که یک website همیشه در دسترس باشد و کاربران بتوانند ان را Visit کنند.
سوال :چه چیزی ممکن است اتفاق بیفتد تا این راس از مثلث CIA محقق نشود؟
- Attach های Dos-DDos
- Single Point Of Failure بودن
زمانی که میگوییم Single Point Of Failure بودن , به این معناست که تنها یک WebServer برای یک Website داشته باشیم و در صورت نبود ان Webserver وب سایت ما Visit نخواهد شد .
Integraty:
فرض کنیم از Digiboy اپلیکیشن ای را دانلود کردیم ,همان Application ای است که در Digiboy بود و یا کسانی که بستر تبادل اطلاعات را فراهم کرده اند در ترافیک تبادلی دست برده اند؟
Integraty به این معناست که این وسط دست در ترافیک تبادلی برده شده است یا خیر .
حتما مکانیزمی وجود دارد تا بگوییم با توجه به این مکانیزمی که وجود دارد اطمینان داریم که چیزی که Download کردیم همان چیزی است که در Digiboy بود.
Confidentiality:
Confidentiality به این معناست که کسانی که بستر تبادلات اطلاعات را فراهم میکنند متوجه ترافیک تبادلی نشوند .
سوال :برای پیاده سازی Confidentiality باید چکار کنیم ؟
حواسمان به این موضوع باشد که Confidentiality و Integraty یکدیگر را پوشش نمیدهند .به بیان دیگر Confidentiality ان Integraty را در برنمیگیرد .کسانی که بستر تبادلات اطلاعات را فراهم میکنند متوجه نمیشوند که چه چیزی در حال تبادل است اما میتوانند تغییرات ایجاد کنند در چیزی که در حال تبادل است .
Confidentiality در خصوص محتوای ترافیک تبادلی است .
حال به پاسخ پرسش پیشین بپردازیم :
Confidentiality با Encryption به علاوه ی Authentication محقق می شود .
شاهدی گرفته ام برای بودن در روز موعود
