अस्पष्टता के माध्यम से सुरक्षा

अस्पष्टता के माध्यम से सुरक्षा (या अस्पष्टता द्वारा सुरक्षा) किसी सिस्टम या घटक को सुरक्षा प्रदान करने की मुख्य विधि के रूप में डिजाइन या कार्यान्वयन गोपनीयता पर सुरक्षा इंजीनियरिंग में निर्भरता है।

इतिहास
अस्पष्टता के माध्यम से सुरक्षा का प्रारंभिक विरोधी ताला बनाने वाला अल्फ्रेड चार्ल्स हॉब्स था, जिसने 1851 में जनता को दिखाया कि अत्याधुनिक ताले कैसे तोड़े जा सकते हैं। इस चिंता के उत्तर में कि तालों के डिज़ाइन में सुरक्षा कमियों को उजागर करने से वे अपराधियों के प्रति अधिक संवेदनशील हो सकते हैं, उन्होंने कहा: दुष्ट अपने व्यवसाय में बहुत उत्सुक होते हैं, और जितना हम उन्हें सिखा सकते हैं उससे कहीं अधिक वे पहले से ही जानते हैं।

अस्पष्टता के माध्यम से सुरक्षा के उद्देश्य पर बहुत कम औपचारिक साहित्य है। सुरक्षा इंजीनियरिंग पर किताबें 1883 से केरखॉफ्स सिद्धांत का संकेत देती हैं, यदि वे कुछ भी उद्धृत करते हैं। उदाहरण के लिए, परमाणु कमान और नियंत्रण में गोपनीयता और संग्राहकता के बारे में चर्चा: पीटर स्वियर ने इस धारणा के बीच ट्रेड-ऑफ के बारे में लिखा है कि अस्पष्टता के माध्यम से सुरक्षा भ्रम है और सैन्य धारणा है कि लूस लिप्स जहाजों को डुबो देते हैं, साथ ही यह भी कि प्रतिस्पर्धा प्रकटीकरण के प्रोत्साहन को कैसे प्रभावित करती है।

इस शब्द की उत्पत्ति के बारे में परस्पर विरोधी कहानियाँ हैं। एमआईटी के इंकंपैटिबल टाइमशेयरिंग सिस्टम (आईटीएस) के प्रशंसकों का कहना है कि इसे हॉल के नीचे मॉलटिक्स  उपयोगकर्ताओं के विरोध में तैयार किया गया था, जिनके लिए सुरक्षा आईटीएस की तुलना में कहीं अधिक उद्देश्य थे। आईटीएस संस्कृति में इस शब्द का तात्पर्य, सेल्फ-मोकिंग्ली, दस्तावेज़ीकरण की खराब कवरेज और कई आदेशों की अस्पष्टता से है, और उस दृष्टिकोण से है कि जब तक पर्यटक को पता चलता है कि परेशानी कैसे उत्पन्न की जाती है, तब तक वह सामान्यतः इस आग्रह पर दक्षता प्राप्त कर चुका होता है। सफलतापूर्वक, क्योंकि वह समुदाय का भाग अनुभव करता था। आईटीएस पर अस्पष्टता के माध्यम से संकल्पपूर्वक सुरक्षा का उदाहरण नोट किया गया है: चल रहे आईटीएस सिस्टम (अल्टमोड अल्टमोड कंट्रोल-आर) को पैच करने की अनुमति देने का आदेश   के रूप में प्रतिध्वनित होता है। Alt Alt कंट्रोल-डी टाइप करने से ध्वज सेट होता है जो सिस्टम को पैच करने से रोकेगा, तथापि उपयोगकर्ता ने बाद में इसे सही कर लिया हो।

जनवरी 2020 में, एनपीआर ने बताया कि आयोवा डेमोक्रेटिक पार्टी ने शैडो_इंक. आयोवारिपोर्टरऐप की सुरक्षा के संबंध में जानकारी साझा करने से अस्वीकार कर दिया, जिससें यह सुनिश्चित किया जा सके कि हम ऐसी जानकारी प्रसारित नहीं कर रहे हैं जिसका उपयोग हमारे विरुद्ध किया जा सकता है। साइबर सुरक्षा विशेषज्ञों ने उत्तर दिया कि इसके ऐप के विधिक विवरण को छुपाने से सिस्टम की सुरक्षा के लिए बहुत कुछ नहीं होता है।

आलोचना
केवल अस्पष्टता के आधार पर सुरक्षा को हतोत्साहित किया जाता है और मानक निकायों द्वारा इसकी अनुशंसा नहीं की जाती है। संयुक्त राज्य अमेरिका में राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (एनआईएसटी) कभी-कभी इस प्रथा के विरुद्ध पक्षसमर्थन करता है.

यह विधि डिज़ाइन द्वारा सुरक्षा और खुली सुरक्षा के विपरीत है, चूँकि कई वास्तविक दुनिया की परियोजनाओं में सभी रणनीतियों के तत्व सम्मिलित हैं।

वास्तुकला बनाम विधि में अस्पष्टता
सिस्टम कैसे बनाया जाता है इसका ज्ञान संवृति और छलावरण से भिन्न होता है। संचालन सुरक्षा में अस्पष्टता की प्रभावशीलता इस बात पर निर्भर करती है कि क्या अस्पष्टता अन्य अच्छी सुरक्षा प्रथाओं के शीर्ष पर रहती है, या यदि इसका उपयोग अकेले किया जा रहा है। जब स्वतंत्र परत के रूप में उपयोग किया जाता है, तो अस्पष्टता को वैध सुरक्षा उपकरण माना जाता है।

वर्तमान में, अस्पष्टता के माध्यम से सुरक्षा के अधिक उन्नत संस्करणों ने मूविंग टारगेट डिफेंस और डिसेप्शन विधि के माध्यम से साइबर सुरक्षा में पद्धति के रूप में समर्थन प्राप्त किया है। एनआईएसटी का साइबर प्रतिरोधक्षमता फ्रेमवर्क, 800-160 वॉल्यूम 2, लचीले और सुरक्षित कंप्यूटिंग वातावरण के पूरक भाग के रूप में अस्पष्टता के माध्यम से सुरक्षा के उपयोग की पक्षसमर्थन करता है।

यह भी देखें

 * स्टेग्नोग्राफ़ी
 * कोड मॉर्फिंग
 * केर्कहॉफ़्स का सिद्धांत
 * नीड टु नो
 * अस्पष्ट कोड
 * अनुमानित सुरक्षा
 * डिज़ाइन द्वारा सुरक्षित
 * एएसीएस एन्क्रिप्शन की कंट्रोवरसी
 * जीरो डे (कंप्यूटिंग)
 * कोड टॉकर
 * अस्पष्टता

बाहरी संबंध

 * Eric Raymond on Cisco's IOS source code 'release' v Open Source
 * Computer Security Publications: Information Economics, Shifting Liability and the First Amendment by Ethan M. Preston and John Lofton
 * by Jay Beale
 * Secrecy, Security and Obscurity & The Non-Security of Secrecy by Bruce Schneier
 * "Security through obsolescence", Robin Miller, linux.com, June 6, 2002