Suponga que está intentando almacenar los datos de la forma más segura posible, incluida la división en varias máquinas (cifradas de manera que sean ilegibles a menos que se recuperen todos los fragmentos de datos). Si el atacante conoce su algoritmo y compromete a todas de sus máquinas, siempre pueden recuperar los datos, por lo que siempre existe una probabilidad distinta de que esto suceda. Pero desea reducir la probabilidad tanto como sea posible.
Parece que la estrategia sería cifrar los datos con una clave y luego dividir la clave en varias máquinas, de modo que todas las máquinas (la máquina de almacenamiento de datos y las máquinas de almacenamiento de claves) sean lo más físicamente independientes posible < em> y ejecutan sistemas operativos diferentes (con cada sistema operativo aplicando siempre los últimos parches disponibles).
Ejecutar diferentes sistemas operativos significa que la probabilidad de comprometer una máquina es más independiente de la probabilidad de comprometer las otras máquinas. Si tiene tres máquinas y todas están ejecutando Windows Server, y en un período de tiempo dado tiene un 10% de posibilidades de encontrar una vulnerabilidad en Windows Server que le dé acceso de lectura a la máquina, tiene un 10% de riesgo. Todo el sistema porque entonces tendrás las tres máquinas. Pero si hay tres máquinas, cada una con un sistema operativo diferente, y para cada sistema operativo tiene un 10% de encontrar una vulnerabilidad en ese sistema operativo, y las probabilidades son independientes para cada sistema operativo, entonces tiene un 0,1% de probabilidad de comprometer el conjunto. sistema.
También puede volver a cifrar los datos periódicamente con una nueva clave y luego dividir la nueva clave. Luego, el atacante solo supera al sistema si compromete a todas las máquinas en el mismo período de tiempo antes de volver a cifrarlas.
Ahora, esto también significa que si falla alguna de las máquinas, se pierden todos los datos, pero se puede hacer una copia de seguridad del fragmento de la clave de cada máquina en otra máquina. Y en este caso, si bien la máquina de respaldo aún debe estar físicamente separada para reducir la posibilidad de que ambos se pierdan a la vez, podría estar ejecutando el mismo sistema operativo que la máquina de la que está haciendo copia de seguridad. La idea es que si se realiza una copia de seguridad de A1 en A2, entonces el atacante compromete la misma cantidad de datos, ya sea que pirateen A1 o A2 o , por lo que no hay razón para que A1 y A2 no puede ejecutar el mismo sistema operativo (con las mismas vulnerabilidades potenciales).
Sin embargo, nunca he oído hablar de un principio de seguridad como "división de datos confidenciales en máquinas que ejecutan diferentes sistemas operativos". ¿Acabo de re-descubrir algo conocido y obvio que ya tiene un nombre? ¿O hay alguna razón por la que toda la lógica es defectuosa (y es por eso que no tiene un nombre)?