Belirsizlik yoluyla güvenlik ilkesi (İngilizce: " belirsizlik yoluyla / belirsizlik yoluyla güvenlik "), güvenliği sağlamak için ele alınan nesnenin veya sürecin yapısı, işleyişi ve uygulamasıyla ilgili bilgilerin ifşa edilmemesine dayanır. Bu, BT'nin, kriptolojinin , silahların vb. Hassas alanları için geçerlidir .
Kriptolojide, belirsizlik yoluyla güvenlik, Kerckhoffs'un herhangi bir şifreleme sisteminin güvenliğinin yalnızca anahtarın gizliliğine dayandığı ilkesine aykırıdır .
Örneğin ROT13 ile şifrelenmiş bir mesaj , ancak şifrelemede kullanılan yöntem düşman tarafından bilinmiyorsa gizli kalabilir. Saldırgan "sistemi biliyorsa" mesajı deşifre edebilecektir. Kriptologlar, kriptografik ilkellerin sürecinde ve tasarımında şeffaflığı savunurlar . Böyle bir uygulama, algoritmaların güvenliğini daha iyi değerlendirmeyi mümkün kılar.
Herhangi birinin bir programın kaynak kodunu derlenmiş (ikili) sürümden bulmasını önlemek için , bazı şirketler analizi daha zor hale getirmek için programlar kullanır. Farklı yöntemler var. Alıntı yapabiliriz:
Makine kodunun gizlenmesi :
Bir şirket , programlarının kaynak kodunu önceden gizleyerek dağıtabilir :
Şirket IBM ana yazılım geliştirdi mainframe bir de dilin oluşturulan PL / 360 olarak adlandırılan, assembler . PL / 360 kodu değil, ürünlerin kaynak versiyonlarını talep eden müşterilerine verilen bu montaj kodudur. PL / 360 talimatları sağlanan montajcı listesinde yorumlar olarak görünmesine rağmen, ne PL / 360 derleyicisi ne de dil spesifikasyonu halka sunuldu .
Geçmişte, gizli tutulan dahili ayrıntıları içeren çeşitli algoritmalar veya yazılım modülleri halka açıklanmıştı. Ek olarak, iç ayrıntılar gizli tutulmasına rağmen, güvenlik açıkları keşfedildi ve istismar edildi. Uçtan uca alınan aşağıdaki örnekler, sistemlerin ve diğer algoritmaların ayrıntılarını gizli tutmanın verimsizliği değilse de zorluğunu göstermektedir.
Güvenlik temelli bir süreç, güvenliğinin gerçek güvenilirliği hakkında yatar, en kötü ihtimalle veya en azından yalnızca gücünü en iyi şekilde gösterir. Daha sonra, bu şekilde korunan nesnenin, yapının veya işlemin tedarikçileri ile söz konusu güvenlik vizyonunda atıfta bulunulan kullanıcıları arasında kurulan basit bir güven ilişkisidir. Ciddi bir kusurun sistemde sorgulanması, tedarikçi için bir güçlük kaynağı haline gelir, çünkü sömürülen zayıflıktan kaynaklanan doğrudan sonuçlara ek olarak, kullanıcı, içinde bulunduğu sahte zarar görmezlik hissiyle kandırılmış hissedebilir.
Güvenlik açısından birçok özgür yazılımın ( Apache , Mozilla Firefox , GnuPG ) tanınan kalitesi, açmanın güvenliğe zarar vermediğinin güzel bir örneğidir.
Dan alıntı Fransız milletvekili Bernard Carayon raporunda Eşit Silah gönderilen, Başbakan içindeEkim 2006 : "Son olarak ve kaynak kodu halka açık olduğundan ve dolayısıyla denetlenebilir olduğundan , özgür yazılımın güvenliği daha iyi sağlanabilir" .