பாதுகாப்புப் பிரச்னைகள்-கருவிகளின் இணையம் – பகுதி 21

பாதுகாப்புப் பிரச்னைகள் மற்றும் குறைகளைப் பற்றி நிறைய சொல்லிவிட்டோம். எப்படி வடிவமைத்தால், இவ்வகை தெரிந்த பாதுகாப்புப் பிரச்னைகளைத் தவிர்க்கலாம் என்று பார்ப்போம். கருவிகளின் வடிவமைப்பு அணுகுமுறை மாறுவது அவசியம். நல்ல வேளையாக இவ்வகை முயற்சிகள் உலகெங்கும் பல அமைப்புகளால் முன்வைக்கப்பட்டுள்ளன. இன்னும் சில ஆண்டுகளில், பெரும்பாண்மைத் தயாரிப்பாளர்கள் இந்த பரிந்துரைகளைப் பின்பற்றத் தொடங்குவார்கள் என்று நம்பலாம். இல்லையேல், இந்தத் துறையே வாங்குவோரின்றி முடங்க வாய்ப்புண்டு.

பாதுகாப்பு வடிவமைப்புக் குறிக்கோள்கள்

 

1சில முக்கிய வடிவமைப்பு அணுகுமுறைகளைப் பார்ப்போம்.

  1. வரும்வரை காத்திராமல் வடிவமைப்பில் பாதுகாப்பை முன்வைக்க வேண்டும். கருவிகளை வடிவமைக்கும் பொழுது, தரவுகளை விஷமிகள் திருடுவார்கள், கருவிகளையே திருடக்கூடும், தரவுகளை மாற்றி, முடிவுகளைத் திசை திருப்ப முயல என்ன வழிகளைக் கையாள்வார்கள் என்று பல சாத்தியங்களை ஆராய்ந்து கருவிகளை உருவாக்க வேண்டும். இப்படிச் செய்தாலே, விஷமிகள் புதிய வழிகளைக் கண்டுபிடித்து விடுகிறார்கள். இவ்வாறு செய்தால், குறைந்த பட்சம், சாதாரண இணையத் தாக்குதல்களைத் தவிர்க்கலாம். தீவிரத் தாக்குதல்களைக் கடினமாக்கலாம்
  2. அந்தரங்கம் பற்றிய கவலை எதுவும் இல்லாமல் பொருட்களை வடிவமைப்பது கணினி தொழிலில் ஒரு பழக்கமாகி விட்டது. பிரச்னை வந்தால் பார்த்துக் கொள்ளலாம் என்ற பழைய பல்லவி கருவி இணைய உலகில் உதவாது. பயன்பாட்டாளர்களின் அந்தரங்கம் ஆரம்பத்திலிருந்தே ஒரு வடிவமைப்புக் குறிக்கோளாக அமைய வேண்டும்
  3. இன்னொரு முக்கிய கொள்கை, ’என்னுடைய பங்கைச் சரியாக செய்து விடுவேனாக்கும்!’ போன்ற பழைய அலட்டல்கள் கருவி இணைய உலகில் வேகாது. இணைக்கப்பட்டுள்ள அத்தனை பாகங்களில் ஒன்று பாதுகாப்பற்று இருந்தால், மொத்த முயற்சியும் வீண்தான்.
  4. முக்கியமாக, கருவி இணைய உலகில் தரவுப் பாதுகாப்பு மிகவும் முக்கியமானது. சாதாரண கணினி உலகை விட இது மிகவும் மாறுபட்டது. அதாவது, சேகரிக்கப்படும் ஒவ்வொரு தரவும், அதன் சேகரிப்பு நேரத்திலிருந்து, அழிக்கப்படும் நேரம் வரை எப்படிப் பாதுகாக்கப்பட வேண்டும் என்று சிந்தித்து வடிவமைக்கப்பட வேண்டும். இங்குதான் பல மறைமுக கோளாறுகள் நேர்கின்றன. ‘நாங்கள் உயர்தர பாதுகாப்பு முறைகளை மேக சேமிப்பில் பயன்படுத்துகிறோம்’ என்று அலட்டிக் கொள்ளும் ஒவ்வொரு நிறுவனமும், தரவின் பயன் முடிந்தவுடன் என்ன செய்கின்றன என்று ஆராய்ந்தால், எந்த நிறுவனமும் தேறாது.

2

 

பாதுகாப்பு வடிவமைப்பு முறைகள்

குறிக்கோள்கள் எல்லாம் சரி – இனி, பாதுகாப்பான கருவி இணைய முயற்சி ஒன்று  எப்படி இருக்கும் என்று பார்ப்போம். அவரசரமாக காசாக்க வேண்டும் என்ற துடிப்பு அதிகம் தேவையில்லாத ஒரு நேர்மையான நிறுவனம் ஒன்று இதை உருவாக்குகிறது என்று மனதில் நினைத்துக் கொள்வோம்.3

 

  1. முதல் படி – எப்படி எல்லாம் பாதுகாப்புக்கு சமரசம் ஏற்படலாம் (threat assessment) என்பதை முழுவதுமாக அலச வேண்டும்.
    1. பொருள் சார்ந்த பாதுகாப்பு சமரசங்களைத் தவிர்ப்பது எப்படி என்பதை முதலில் ஆராய வேண்டும்.
    2. கருவி இணைய கட்டமைப்பின் ஆரம்ப அமைப்பு – யார், எதனை, எதற்காக, எப்படி, எங்கு பயன்படுத்துவார்கள் என்பதை முழுவதும் புரிந்த கொள்ள உதவும் படி இது.
    3. கருவி இணைய அமைப்பைத் தனித்தனியாகப் பிரித்து, எப்படி தரவுகள் அங்கு பயணிக்கின்றன, தேக்கப்படுகின்றன என்று பாதுகாப்பு கோணத்தில் ஆராய வேண்டும்
    4. எந்த ஒரு வடிவமைப்பிலும் குறைகள் இருக்கவே செய்யும். உருவாக்கப்பட்டக் கட்டமைப்பில் உள்ள பாதுகாப்பு குறைகள் என்னென்ன என்று பட்டியலிடப்பட வேண்டும்
    5. பட்டியலிடப்பட்ட பாதுகாப்புக் குறைகளில் அதிகமான தாக்கம் உள்ள குறை எது, அடுத்தபடி உள்ள குறை என்ன என்று ஒரு மதிப்பீடு தரப்பட வேண்டும். இப்படிச் செய்வதால், குறைந்தபட்சம் பாதுகாப்புக் குறைகளில் முதல் மூன்று அல்லது ஐந்து விஷயங்களையாவது தயாரிப்பாளர்கள் அல்லது நிரலர்கள் தங்களுடைய வடிவமைப்பில் நிவர்த்தி செய்ய முயற்சிப்பாளர்கள்4
  2. இரண்டாம் படி – பாதுகாப்பு எங்கும் நிறைந்திருக்கும் தயாரிப்பு அல்லது நிரலாக்கம். (secure development)
    1. பயன்பாட்டு சான்றளிப்பு மிகவும் பாதுகாப்பான ஒன்றாக இருக்க வேண்டும்
    2. மறைகுறியாக்க முறைகள், தரவுகளை தேக்கவும், அனுப்பவும் பயன்படுத்தப்பட வேண்டும்
    3. மற்ற பங்காளிகளின் தயாரிப்புடன் ஒரு கருவி இணைய முயற்சியை வெளிக் கொண்டு வரும் பொழுது, ஆரம்பத்திலிருந்து, கடைசிவரை பாதுகாப்பான தரவுப் போக்குவரத்திற்கு வழி வகுக்க வேண்டும். இன்று நடப்பது போல, சாக்கு போக்கு சொல்லித் தப்ப முயற்சிக்கக் கூடாது
  3. முன் பகுதியில் பார்த்தது போல, உருவாக்கப்படும் கருவி இணைய சேவையில் பல அடுக்களிலும் பாதுகாப்பு சரியாக அமைவதோடு, சோதனையும் செய்து பார்க்க வேண்டும்.
    1. வலையமைப்புப் பாதுகாப்பு மிகவும் முக்கிய விஷயம். விளிம்பில் இருக்கும் கருவிகளைத் தவிர்த்து, உள்ளே நிறுவனத்தை பாதுகாப்பது பயன் தராது
    2. பயன்பாட்டுப் பாதுகாப்பு என்பது சிக்கலான பிரச்னை. இதில் தரவுப் பாதுகாப்பும் அடங்கும்
    3. மனிதப் பயன்பாடு சார்ந்த பாதுகாப்பும் மிகவும் முக்கியம். கருவி இணையம் என்றவுடன், மனிதர்களுக்கு என்ன வேலை என்று விட்டு விட முடியாது. முக்கிய பாதுகாப்பு சமரசத்திற்கு மனிதர்களே காரணமாக உள்ளார்கள்
    4. விளிம்பில் உள்ள உணர்விப் பாதுகாப்பு இன்னொரு முக்கிய விஷயம். உணர்வி உருவாக்கும் தரவுகள் பாதுகாப்பாக மையத் தேக்கத்திற்குச் சென்றடைய வேண்டும். இதற்கான கட்டுப்பாடுகள்/வசதிகள் தயாரிப்புப் படியிலே மேற்கொள்ளப்பட வேண்டும்5
  4. நான்காம் படி – தரவுப் பாதுகாப்பு. மிகவும் நம்பகமான குறிமுறையாக்க முறைகள் (Elliptic Curve Diffie Hellman – ECDH) மற்றும் டிஜிட்டல் கையொப்ப முறைகள் பயன்படுத்தப்பட வேண்டும். தரவு என்றவுடன் இதை ஐந்து வகையாகப் பிரிக்கலாம்
    1. அசையா தரவின் பாதுகாப்பு (Data at rest security) – கருவிகளால் உருவாக்கப்படும் தரவுகள் குறிமுறையாக்க முறைகளால், பாதுகாக்கப்பட வேண்டும். மேலும், சரியான சான்றளிப்பில்லாமல், இந்த தரவுகளை யாராலும் புரிந்து கொள்ள முடியாதபடி செய்தல் வேண்டும்
    2. அசையும் தரவின் பாதுகாப்பு (data in transit security) – சரியான டிஜிட்டல் கையொப்பமின்றி தரவுகள் அனுப்பப்படக் கூடாது. இதைச் சரியாகச் செய்யவில்லையானால், அசையா தரவின் பாதுகாப்பு அர்த்தமில்லாமல் போய்விடும்
    3. பயனில் உள்ள தரவின் பாதுகாப்பு (data in use security) – பாதுகாப்பான சூழ்நிலையை கருவிகளுக்குள் அமைப்பது அவசியம். மைய தேக்கியிலிருந்து அனுப்பப்படும் தரவுகளைப் பயன்படுத்தும்பொழுது, கருவியின் நினைவகத்திலிருந்து எளிதாக தரவுகளை தவறாகப் பயன்படுத்தும் முயற்சிகளைத் தடுக்கவே இந்த வடிவமைப்பு. பல உயர்தர பயன்பாடுகள் இது போன்ற அமைப்புகளை உருவாக்கினாலும் (உதாரணம், ராணுவப் பயன்பாடுகள்), சாதாரணப் பயன்பாடுகள் செலவைக் குறைக்க இந்த வடிவமைப்பை சீரியஸாக எடுத்துக் கொள்வார்கள் என்று சொல்ல முடியாது
    4. தரவு நஷ்டப் பாதுகாப்பு (data loss prevention) – எந்த ஒரு கருவி இணைய அமைப்பும், புதிய உணர்விகள் சேர்த்த வண்ணம் இருக்கும் என்று நம்பலாம். புதிய உணர்விகளைச் சேர்த்தவுடன், பழைய கருவிகள் அனுப்பும் தரவுகள் தொலைந்து போகாமல் பார்த்துக் கொள்ள வேண்டும். ஒவ்வொரு கருவி அனுப்பும் தரவும், இன்ன கருவி அனுப்பியது என்று சரியாகச் சொல்லும் வழி இருப்பது அவசியம்
    5. தரவுத் திரள்வுப் பாதுகாப்பு (data aggregation security) – கருவி இணைய உலகில் மிகவும் முக்கியமான பாதுகாப்பு விஷயம் இது. தொழில்நுட்பப் பகுதியில் பார்த்தது போல, உணர்விகள் சேகரிக்கும் அத்தனை தரவுகளையும் மைய தேக்கத்திற்கு சிலப் பயன்பாடுகள் அனுப்புவதில்லை. மையத் தேக்கத்துடன் தொடர்பில் இருக்கும் மின்பரப்பி/வாங்கி, தரவுகளை திரட்டி, ஒரு குறிப்பிட்ட நேரத்தில், தரவுத் திரள்வை அனுப்பும். இத்தகைய திரள்வுப் பாதுகாப்பாக அனுப்பப்பட வேண்டும். குறிமுறையாக்க முறைகள் இதிலும் பின்பற்றப்பட வேண்டும், அதிகம் கவனமில்லாமல் செய்யப்படும் பாதுகாப்பு விஷயம், கருவி இணைய உலகில், தரவுத் திரள்களைக் கையாளும் முறைகள்.

 

இவ்வாறு பல வடிவமைப்பு முறைகள் இருக்கத்தான் செய்கின்றன. சற்றும் இதைப் பற்றி கவலையில்லாமல், பயன்பாட்டை மட்டுமே முன்வைக்கும் நிறுவனங்கள் இருக்கத்தான் செய்கின்றன. நுகர்வோரை வெறும் விற்பனைத் தந்திரங்கள் கொண்டு வசியம் செய்யும் நிறுவனங்கள் இருக்கத்தான் செய்யும். இப்பொருட்களை வாங்கும் நுகர்வோர், தகுந்த பாதுகாப்பு கேள்விகளை கேட்டால்தான் நிலமை சரியாகும். சந்தேகத்துடன் இந்தத் துறையில் வாங்குவது ஒரு நல்ல விஷயம் என்றே சொல்ல வேண்டும்.

 

நாம் தொழிநுட்பப் பகுதியில் பார்த்த சில கம்பியில்லா முறைகள் எந்த வகை பாதுகாப்பை அளிக்கிறது என்று பார்ப்போம்.

 

கம்பியில்லாத் தொழில்நுட்பம் பாதுகாப்பு முறைகள் கருத்துரை
CoAP –    முன் பங்கு சாவிகள் (preshared key)–    அடிப்படைப் பொது சாவிகள் (raw public key)

–    சான்றிதழ்கள் (certificate)

பலவித பாதுகாப்பு அமைப்புகள் கொண்ட நுட்பம். கருவிகளின் உரையாடல்களை பாதுகாப்பாக அனுப்பும் நுட்பம்
Zigbee –    முன் பங்கு சாவிகள் (preshared key) ஜிக்பீ நுட்பம், வலையமைப்பு மற்றும் பயன்பாட்டு அளவில் சான்றிதழ்கள் மற்றும் குறிமறையாக்க முறைகளை அளிக்கிறது
Bluetooth –    பங்கு சாவிகள் (shared key) மிகவும் பாதுகாப்பற்ற நுட்பம் இது. வெறும் பின்களை மட்டுமே நம்பும் முறை இது. இதை பேரிங் என்று அழைக்கிறார்கள். பல புளூடூத் கருவிகள் எந்த பின்னும் இல்லாமல் இன்றும் பேரிங் செய்கின்றன
Bluetooth LE –    தொடர்பு கையொப்பச் சாவி (Connection signature resolving key)–    கருவி அடையாளச் சாவி (identity resolving key) சாதாரண புளூடூத் முறையை விடப் பாதுகாப்பானது. ஆனால், தொடர்பு கையொப்பச் சாவிகள் எந்த குறிமுறையாக்க முறைகளையும் பின்பற்றுவதில்லை. சில கருவிகள் ECDH முறைகளைப் பின்பற்றி, சாவிகளை மாற்றிக் கொள்ளும் திறமையுடன் வருகின்றன

பல சாக்கு போக்குகளைத் தயாரிப்பாளர்கள் சொல்லி வருகிறார்கள். இதில் மிக முக்கியமான சாக்கு இதுதான் – கருவிகள் பல வருடங்கள் வேலை செய்ய மிக குறைந்த மின்கல சக்தியைக் கொண்டு செயல்பட வேண்டும். இவ்வாறு செயல்பட, அதிக மின் சக்தியை உறிஞ்சாத செயலிகள் தேவை. அதிக மின் சக்தியை உறிஞ்சாத செயலிகள் அதிக சக்தி வாய்ந்தவையும் அல்ல. குறிமுறையாக்க முறைகளுக்கு ஏராளமான செயலித் திறன் தேவைப்படுகிறது. மின்கல கருவி வாழ்வா அல்லது பாதுகாப்பா என்ற கேள்விக்கு பதில், இந்தத் தொடரைப் படிக்கும் ஒவ்வொரு வாசகருக்கும் புரிந்திருக்கும். நல்ல வேளை, குறைந்த சக்தியுள்ள செயலிகளில் சிக்கனமாக வேலை செய்யும் குறிமுறையாக்க வழிகளை ஆராய்ச்சியாளர்கள் உருவாக்கி வருகிறார்கள். இதைப் பற்றி பின் வரும் பகுதிகளில் பார்ப்போம்.

சொல்வனம் – ஜூலை 2016

 

Advertisements

மறுமொழியொன்றை இடுங்கள்

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / மாற்று )

Twitter picture

You are commenting using your Twitter account. Log Out / மாற்று )

Facebook photo

You are commenting using your Facebook account. Log Out / மாற்று )

Google+ photo

You are commenting using your Google+ account. Log Out / மாற்று )

Connecting to %s