kamagra paypal


முகப்பு » கட்டுரை, கணினித் துறை, தொழில் நுட்பம்- இன்றே இப்பொழுதே

கருவிகளின் இணையம் – பாதுகாப்புப் பிரச்னைகள்: பகுதி- 20

பாதுகாப்புப் பிரச்னைகள் மற்றும் குறைகளைப் பற்றி நிறைய சொல்லிவிட்டோம். எப்படி வடிவமைத்தால், இவ்வகை தெரிந்த பாதுகாப்புப் பிரச்னைகளைத் தவிர்க்கலாம் என்று பார்ப்போம். கருவிகளின் வடிவமைப்பு அணுகுமுறை மாறுவது அவசியம். நல்ல வேளையாக இவ்வகை முயற்சிகள் உலகெங்கும் பல அமைப்புகளால் முன்வைக்கப்பட்டுள்ளன. இன்னும் சில ஆண்டுகளில், பெரும்பாண்மைத் தயாரிப்பாளர்கள் இந்த பரிந்துரைகளைப் பின்பற்றத் தொடங்குவார்கள் என்று நம்பலாம். இல்லையேல், இந்தத் துறையே வாங்குவோரின்றி முடங்க வாய்ப்புண்டு.

பாதுகாப்பு வடிவமைப்புக் குறிக்கோள்கள்

1

சில முக்கிய வடிவமைப்பு அணுகுமுறைகளைப் பார்ப்போம்.

  1. வரும்வரை காத்திராமல் வடிவமைப்பில் பாதுகாப்பை முன்வைக்க வேண்டும். கருவிகளை வடிவமைக்கும் பொழுது, தரவுகளை விஷமிகள் திருடுவார்கள், கருவிகளையே திருடக்கூடும், தரவுகளை மாற்றி, முடிவுகளைத் திசை திருப்ப முயல என்ன வழிகளைக் கையாள்வார்கள் என்று பல சாத்தியங்களை ஆராய்ந்து கருவிகளை உருவாக்க வேண்டும். இப்படிச் செய்தாலே, விஷமிகள் புதிய வழிகளைக் கண்டுபிடித்து விடுகிறார்கள். இவ்வாறு செய்தால், குறைந்த பட்சம், சாதாரண இணையத் தாக்குதல்களைத் தவிர்க்கலாம். தீவிரத் தாக்குதல்களைக் கடினமாக்கலாம்
  2. அந்தரங்கம் பற்றிய கவலை எதுவும் இல்லாமல் பொருட்களை வடிவமைப்பது கணினி தொழிலில் ஒரு பழக்கமாகி விட்டது. பிரச்னை வந்தால் பார்த்துக் கொள்ளலாம் என்ற பழைய பல்லவி கருவி இணைய உலகில் உதவாது. பயன்பாட்டாளர்களின் அந்தரங்கம் ஆரம்பத்திலிருந்தே ஒரு வடிவமைப்புக் குறிக்கோளாக அமைய வேண்டும்
  3. இன்னொரு முக்கிய கொள்கை, ’என்னுடைய பங்கைச் சரியாக செய்து விடுவேனாக்கும்!’ போன்ற பழைய அலட்டல்கள் கருவி இணைய உலகில் வேகாது. இணைக்கப்பட்டுள்ள அத்தனை பாகங்களில் ஒன்று பாதுகாப்பற்று இருந்தால், மொத்த முயற்சியும் வீண்தான்.
  4. முக்கியமாக, கருவி இணைய உலகில் தரவுப் பாதுகாப்பு மிகவும் முக்கியமானது. சாதாரண கணினி உலகை விட இது மிகவும் மாறுபட்டது. அதாவது, சேகரிக்கப்படும் ஒவ்வொரு தரவும், அதன் சேகரிப்பு நேரத்திலிருந்து, அழிக்கப்படும் நேரம் வரை எப்படிப் பாதுகாக்கப்பட வேண்டும் என்று சிந்தித்து வடிவமைக்கப்பட வேண்டும். இங்குதான் பல மறைமுக கோளாறுகள் நேர்கின்றன. ‘நாங்கள் உயர்தர பாதுகாப்பு முறைகளை மேக சேமிப்பில் பயன்படுத்துகிறோம்’ என்று அலட்டிக் கொள்ளும் ஒவ்வொரு நிறுவனமும், தரவின் பயன் முடிந்தவுடன் என்ன செய்கின்றன என்று ஆராய்ந்தால், எந்த நிறுவனமும் தேறாது.

2

 

பாதுகாப்பு வடிவமைப்பு முறைகள்

குறிக்கோள்கள் எல்லாம் சரி – இனி, பாதுகாப்பான கருவி இணைய முயற்சி ஒன்று  எப்படி இருக்கும் என்று பார்ப்போம். அவரசரமாக காசாக்க வேண்டும் என்ற துடிப்பு அதிகம் தேவையில்லாத ஒரு நேர்மையான நிறுவனம் ஒன்று இதை உருவாக்குகிறது என்று மனதில் நினைத்துக் கொள்வோம்.

3

  1. முதல் படி – எப்படி எல்லாம் பாதுகாப்புக்கு சமரசம் ஏற்படலாம் (threat assessment) என்பதை முழுவதுமாக அலச வேண்டும்.
    1. பொருள் சார்ந்த பாதுகாப்பு சமரசங்களைத் தவிர்ப்பது எப்படி என்பதை முதலில் ஆராய வேண்டும்.
    2. கருவி இணைய கட்டமைப்பின் ஆரம்ப அமைப்பு – யார், எதனை, எதற்காக, எப்படி, எங்கு பயன்படுத்துவார்கள் என்பதை முழுவதும் புரிந்த கொள்ள உதவும் படி இது.
    3. கருவி இணைய அமைப்பைத் தனித்தனியாகப் பிரித்து, எப்படி தரவுகள் அங்கு பயணிக்கின்றன, தேக்கப்படுகின்றன என்று பாதுகாப்பு கோணத்தில் ஆராய வேண்டும்
    4. எந்த ஒரு வடிவமைப்பிலும் குறைகள் இருக்கவே செய்யும். உருவாக்கப்பட்டக் கட்டமைப்பில் உள்ள பாதுகாப்பு குறைகள் என்னென்ன என்று பட்டியலிடப்பட வேண்டும்
    5. பட்டியலிடப்பட்ட பாதுகாப்புக் குறைகளில் அதிகமான தாக்கம் உள்ள குறை எது, அடுத்தபடி உள்ள குறை என்ன என்று ஒரு மதிப்பீடு தரப்பட வேண்டும். இப்படிச் செய்வதால், குறைந்தபட்சம் பாதுகாப்புக் குறைகளில் முதல் மூன்று அல்லது ஐந்து விஷயங்களையாவது தயாரிப்பாளர்கள் அல்லது நிரலர்கள் தங்களுடைய வடிவமைப்பில் நிவர்த்தி செய்ய முயற்சிப்பாளர்கள்4
  2. இரண்டாம் படி – பாதுகாப்பு எங்கும் நிறைந்திருக்கும் தயாரிப்பு அல்லது நிரலாக்கம். (secure development)
    1. பயன்பாட்டு சான்றளிப்பு மிகவும் பாதுகாப்பான ஒன்றாக இருக்க வேண்டும்
    2. மறைகுறியாக்க முறைகள், தரவுகளை தேக்கவும், அனுப்பவும் பயன்படுத்தப்பட வேண்டும்
    3. மற்ற பங்காளிகளின் தயாரிப்புடன் ஒரு கருவி இணைய முயற்சியை வெளிக் கொண்டு வரும் பொழுது, ஆரம்பத்திலிருந்து, கடைசிவரை பாதுகாப்பான தரவுப் போக்குவரத்திற்கு வழி வகுக்க வேண்டும். இன்று நடப்பது போல, சாக்கு போக்கு சொல்லித் தப்ப முயற்சிக்கக் கூடாது
  3. முன் பகுதியில் பார்த்தது போல, உருவாக்கப்படும் கருவி இணைய சேவையில் பல அடுக்களிலும் பாதுகாப்பு சரியாக அமைவதோடு, சோதனையும் செய்து பார்க்க வேண்டும்.
    1. வலையமைப்புப் பாதுகாப்பு மிகவும் முக்கிய விஷயம். விளிம்பில் இருக்கும் கருவிகளைத் தவிர்த்து, உள்ளே நிறுவனத்தை பாதுகாப்பது பயன் தராது
    2. பயன்பாட்டுப் பாதுகாப்பு என்பது சிக்கலான பிரச்னை. இதில் தரவுப் பாதுகாப்பும் அடங்கும்
    3. மனிதப் பயன்பாடு சார்ந்த பாதுகாப்பும் மிகவும் முக்கியம். கருவி இணையம் என்றவுடன், மனிதர்களுக்கு என்ன வேலை என்று விட்டு விட முடியாது. முக்கிய பாதுகாப்பு சமரசத்திற்கு மனிதர்களே காரணமாக உள்ளார்கள்
    4. விளிம்பில் உள்ள உணர்விப் பாதுகாப்பு இன்னொரு முக்கிய விஷயம். உணர்வி உருவாக்கும் தரவுகள் பாதுகாப்பாக மையத் தேக்கத்திற்குச் சென்றடைய வேண்டும். இதற்கான கட்டுப்பாடுகள்/வசதிகள் தயாரிப்புப் படியிலே மேற்கொள்ளப்பட வேண்டும்
    5. 5
  4. நான்காம் படி – தரவுப் பாதுகாப்பு. மிகவும் நம்பகமான குறிமுறையாக்க முறைகள் (Elliptic Curve Diffie Hellman – ECDH) மற்றும் டிஜிட்டல் கையொப்ப முறைகள் பயன்படுத்தப்பட வேண்டும். தரவு என்றவுடன் இதை ஐந்து வகையாகப் பிரிக்கலாம்
    1. அசையா தரவின் பாதுகாப்பு (Data at rest security) – கருவிகளால் உருவாக்கப்படும் தரவுகள் குறிமுறையாக்க முறைகளால், பாதுகாக்கப்பட வேண்டும். மேலும், சரியான சான்றளிப்பில்லாமல், இந்த தரவுகளை யாராலும் புரிந்து கொள்ள முடியாதபடி செய்தல் வேண்டும்
    2. அசையும் தரவின் பாதுகாப்பு (data in transit security) – சரியான டிஜிட்டல் கையொப்பமின்றி தரவுகள் அனுப்பப்படக் கூடாது. இதைச் சரியாகச் செய்யவில்லையானால், அசையா தரவின் பாதுகாப்பு அர்த்தமில்லாமல் போய்விடும்
    3. பயனில் உள்ள தரவின் பாதுகாப்பு (data in use security) – பாதுகாப்பான சூழ்நிலையை கருவிகளுக்குள் அமைப்பது அவசியம். மைய தேக்கியிலிருந்து அனுப்பப்படும் தரவுகளைப் பயன்படுத்தும்பொழுது, கருவியின் நினைவகத்திலிருந்து எளிதாக தரவுகளை தவறாகப் பயன்படுத்தும் முயற்சிகளைத் தடுக்கவே இந்த வடிவமைப்பு. பல உயர்தர பயன்பாடுகள் இது போன்ற அமைப்புகளை உருவாக்கினாலும் (உதாரணம், ராணுவப் பயன்பாடுகள்), சாதாரணப் பயன்பாடுகள் செலவைக் குறைக்க இந்த வடிவமைப்பை சீரியஸாக எடுத்துக் கொள்வார்கள் என்று சொல்ல முடியாது
    4. தரவு நஷ்டப் பாதுகாப்பு (data loss prevention) – எந்த ஒரு கருவி இணைய அமைப்பும், புதிய உணர்விகள் சேர்த்த வண்ணம் இருக்கும் என்று நம்பலாம். புதிய உணர்விகளைச் சேர்த்தவுடன், பழைய கருவிகள் அனுப்பும் தரவுகள் தொலைந்து போகாமல் பார்த்துக் கொள்ள வேண்டும். ஒவ்வொரு கருவி அனுப்பும் தரவும், இன்ன கருவி அனுப்பியது என்று சரியாகச் சொல்லும் வழி இருப்பது அவசியம்
    5. தரவுத் திரள்வுப் பாதுகாப்பு (data aggregation security) – கருவி இணைய உலகில் மிகவும் முக்கியமான பாதுகாப்பு விஷயம் இது. தொழில்நுட்பப் பகுதியில் பார்த்தது போல, உணர்விகள் சேகரிக்கும் அத்தனை தரவுகளையும் மைய தேக்கத்திற்கு சிலப் பயன்பாடுகள் அனுப்புவதில்லை. மையத் தேக்கத்துடன் தொடர்பில் இருக்கும் மின்பரப்பி/வாங்கி, தரவுகளை திரட்டி, ஒரு குறிப்பிட்ட நேரத்தில், தரவுத் திரள்வை அனுப்பும். இத்தகைய திரள்வுப் பாதுகாப்பாக அனுப்பப்பட வேண்டும். குறிமுறையாக்க முறைகள் இதிலும் பின்பற்றப்பட வேண்டும், அதிகம் கவனமில்லாமல் செய்யப்படும் பாதுகாப்பு விஷயம், கருவி இணைய உலகில், தரவுத் திரள்களைக் கையாளும் முறைகள்.

 

இவ்வாறு பல வடிவமைப்பு முறைகள் இருக்கத்தான் செய்கின்றன. சற்றும் இதைப் பற்றி கவலையில்லாமல், பயன்பாட்டை மட்டுமே முன்வைக்கும் நிறுவனங்கள் இருக்கத்தான் செய்கின்றன. நுகர்வோரை வெறும் விற்பனைத் தந்திரங்கள் கொண்டு வசியம் செய்யும் நிறுவனங்கள் இருக்கத்தான் செய்யும். இப்பொருட்களை வாங்கும் நுகர்வோர், தகுந்த பாதுகாப்பு கேள்விகளை கேட்டால்தான் நிலமை சரியாகும். சந்தேகத்துடன் இந்தத் துறையில் வாங்குவது ஒரு நல்ல விஷயம் என்றே சொல்ல வேண்டும்.

 

நாம் தொழிநுட்பப் பகுதியில் பார்த்த சில கம்பியில்லா முறைகள் எந்த வகை பாதுகாப்பை அளிக்கிறது என்று பார்ப்போம்.

 

கம்பியில்லாத் தொழில்நுட்பம் பாதுகாப்பு முறைகள் கருத்துரை
CoAP –    முன் பங்கு சாவிகள் (preshared key)

–    அடிப்படைப் பொது சாவிகள் (raw public key)

–    சான்றிதழ்கள் (certificate)

பலவித பாதுகாப்பு அமைப்புகள் கொண்ட நுட்பம். கருவிகளின் உரையாடல்களை பாதுகாப்பாக அனுப்பும் நுட்பம்
Zigbee –    முன் பங்கு சாவிகள் (preshared key) ஜிக்பீ நுட்பம், வலையமைப்பு மற்றும் பயன்பாட்டு அளவில் சான்றிதழ்கள் மற்றும் குறிமறையாக்க முறைகளை அளிக்கிறது
Bluetooth –    பங்கு சாவிகள் (shared key) மிகவும் பாதுகாப்பற்ற நுட்பம் இது. வெறும் பின்களை மட்டுமே நம்பும் முறை இது. இதை பேரிங் என்று அழைக்கிறார்கள். பல புளூடூத் கருவிகள் எந்த பின்னும் இல்லாமல் இன்றும் பேரிங் செய்கின்றன
Bluetooth LE –    தொடர்பு கையொப்பச் சாவி (Connection signature resolving key)

–    கருவி அடையாளச் சாவி (identity resolving key)

சாதாரண புளூடூத் முறையை விடப் பாதுகாப்பானது. ஆனால், தொடர்பு கையொப்பச் சாவிகள் எந்த குறிமுறையாக்க முறைகளையும் பின்பற்றுவதில்லை. சில கருவிகள் ECDH முறைகளைப் பின்பற்றி, சாவிகளை மாற்றிக் கொள்ளும் திறமையுடன் வருகின்றன

பல சாக்கு போக்குகளைத் தயாரிப்பாளர்கள் சொல்லி வருகிறார்கள். இதில் மிக முக்கியமான சாக்கு இதுதான் – கருவிகள் பல வருடங்கள் வேலை செய்ய மிக குறைந்த மின்கல சக்தியைக் கொண்டு செயல்பட வேண்டும். இவ்வாறு செயல்பட, அதிக மின் சக்தியை உறிஞ்சாத செயலிகள் தேவை. அதிக மின் சக்தியை உறிஞ்சாத செயலிகள் அதிக சக்தி வாய்ந்தவையும் அல்ல. குறிமுறையாக்க முறைகளுக்கு ஏராளமான செயலித் திறன் தேவைப்படுகிறது. மின்கல கருவி வாழ்வா அல்லது பாதுகாப்பா என்ற கேள்விக்கு பதில், இந்தத் தொடரைப் படிக்கும் ஒவ்வொரு வாசகருக்கும் புரிந்திருக்கும். நல்ல வேளை, குறைந்த சக்தியுள்ள செயலிகளில் சிக்கனமாக வேலை செய்யும் குறிமுறையாக்க வழிகளை ஆராய்ச்சியாளர்கள் உருவாக்கி வருகிறார்கள். இதைப் பற்றி பின் வரும் பகுதிகளில் பார்ப்போம்.

***

Series Navigationகருவிகளின் இணையம் – பாதுகாப்புப் பிரச்னைகள் – பகுதி 19கருவிகளின் இணையம் – வாய்ப்புகள் – பகுதி 21

Leave your response!

Add your comment below, or trackback from your own site. You can also subscribe to these comments via RSS.

Be nice. Keep it clean. Stay on topic. No spam.

You can use these tags:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

This is a Gravatar-enabled weblog. To get your own globally-recognized-avatar, please register at Gravatar.

CAPTCHA * Time limit is exhausted. Please reload CAPTCHA.