अस्पष्टता के माध्यम से सुरक्षा

अस्पष्टता के माध्यम से सुरक्षा (या अस्पष्टता द्वारा सुरक्षा) किसी सिस्टम या घटक को सुरक्षा प्रदान करने की मुख्य विधि के रूप में डिजाइन या कार्यान्वयन गोपनीयता पर सुरक्षा इंजीनियरिंग में निर्भरता है।

इतिहास
अश्लीलता के माध्यम से सुरक्षा का प्रारंभिक विरोधी ताला बनाने वाला अल्फ्रेड चार्ल्स हॉब्स था, जिसने 1851 में जनता को दिखाया कि अत्याधुनिक ताले कैसे तोड़े जा सकते हैं। इस चिंता के जवाब में कि तालों के डिज़ाइन में सुरक्षा खामियों को उजागर करने से वे अपराधियों के प्रति अधिक संवेदनशील हो सकते हैं, उन्होंने कहा: दुष्ट अपने पेशे में बहुत उत्सुक होते हैं, और जितना हम उन्हें सिखा सकते हैं उससे कहीं अधिक वे पहले से ही जानते हैं। अस्पष्टता के माध्यम से सुरक्षा के मुद्दे पर बहुत कम औपचारिक साहित्य है। सुरक्षा इंजीनियरिंग पर किताबें 1883 से केरखॉफ्स सिद्धांत|केरखॉफ्स सिद्धांत का हवाला देती हैं, अगर वे कुछ भी उद्धृत करते हैं। उदाहरण के लिए, परमाणु कमान और नियंत्रण में गोपनीयता और खुलेपन के बारे में चर्चा में: [टी]आकस्मिक युद्ध की संभावना को कम करने के लाभों को गोपनीयता के संभावित लाभों से अधिक माना जाता था। यह केरखॉफ्स के सिद्धांत का एक आधुनिक पुनर्जन्म है, जिसे पहली बार उन्नीसवीं सदी में सामने रखा गया था, कि किसी प्रणाली की सुरक्षा उसकी कुंजी पर निर्भर होनी चाहिए, न कि उसके डिजाइन के अस्पष्ट रहने पर। 

पीटर स्वियर ने इस धारणा के बीच व्यापार-बंद के बारे में लिखा है कि अस्पष्टता के माध्यम से सुरक्षा एक भ्रम है और सैन्य धारणा है कि ढीले होंठ जहाजों को डुबो देते हैं, साथ ही यह भी कि प्रतिस्पर्धा प्रकटीकरण के प्रोत्साहन को कैसे प्रभावित करती है।

इस शब्द की उत्पत्ति के बारे में परस्पर विरोधी कहानियाँ हैं। एमआईटी के असंगत टाइमशेयरिंग सिस्टम (आईटीएस) के प्रशंसकों का कहना है कि इसे हॉल के नीचे मॉलटिक्स  उपयोगकर्ताओं के विरोध में गढ़ा गया था, जिनके लिए सुरक्षा आईटीएस की तुलना में कहीं अधिक एक मुद्दा थी। आईटीएस संस्कृति में इस शब्द का तात्पर्य, आत्म-मजाकिया ढंग से, दस्तावेज़ीकरण की खराब कवरेज और कई आदेशों की अस्पष्टता से है, और उस दृष्टिकोण से है कि जब तक एक पर्यटक को पता चलता है कि परेशानी कैसे पैदा की जाती है, तब तक वह आम तौर पर इस आग्रह पर काबू पा चुका होता है। इसे बनाएं, क्योंकि वह समुदाय का हिस्सा महसूस करता था। ITS पर अस्पष्टता के माध्यम से जानबूझकर सुरक्षा का एक उदाहरण नोट किया गया है: चल रहे ITS सिस्टम (altmode altmode control-R) को पैच करने की अनुमति देने का आदेश इस प्रकार प्रतिध्वनित हुआ. Alt Alt कंट्रोल-डी टाइप करने से एक ध्वज सेट होता है जो सिस्टम को पैच करने से रोकेगा, भले ही उपयोगकर्ता ने बाद में इसे सही कर लिया हो। जनवरी 2020 में, एनपीआर ने बताया कि आयोवा डेमोक्रेटिक पार्टी ने शैडो_इंक.#आयोवारिपोर्टरऐप की सुरक्षा के संबंध में जानकारी साझा करने से इनकार कर दिया, ताकि यह सुनिश्चित किया जा सके कि हम ऐसी जानकारी प्रसारित नहीं कर रहे हैं जिसका इस्तेमाल हमारे खिलाफ किया जा सकता है। साइबर सुरक्षा विशेषज्ञों ने उत्तर दिया कि इसके ऐप के तकनीकी विवरण को छुपाने से सिस्टम की सुरक्षा के लिए बहुत कुछ नहीं होता है।

आलोचना
केवल अस्पष्टता के आधार पर सुरक्षा को हतोत्साहित किया जाता है और मानक निकायों द्वारा इसकी अनुशंसा नहीं की जाती है। संयुक्त राज्य अमेरिका में राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (एनआईएसटी) कभी-कभी सिफारिश करता हैइस प्रथा के ख़िलाफ़.

यह तकनीक डिज़ाइन द्वारा सुरक्षा और खुली सुरक्षा के विपरीत है, हालांकि कई वास्तविक दुनिया की परियोजनाओं में सभी रणनीतियों के तत्व शामिल हैं।

वास्तुकला बनाम तकनीक में अस्पष्टता
सिस्टम कैसे बनाया जाता है इसका ज्ञान छिपाव और छलावरण से भिन्न होता है। संचालन सुरक्षा में अस्पष्टता की प्रभावशीलता इस बात पर निर्भर करती है कि क्या अस्पष्टता अन्य अच्छी सुरक्षा प्रथाओं के शीर्ष पर रहती है, या यदि इसका उपयोग अकेले किया जा रहा है। जब एक स्वतंत्र परत के रूप में उपयोग किया जाता है, तो अस्पष्टता को एक वैध सुरक्षा उपकरण माना जाता है। हाल के वर्षों में, अस्पष्टता के माध्यम से सुरक्षा के अधिक उन्नत संस्करणों ने मूविंग टारगेट डिफेंस और डिसेप्शन तकनीक के माध्यम से साइबर सुरक्षा में एक पद्धति के रूप में समर्थन प्राप्त किया है। एनआईएसटी का साइबर लचीलापन ढांचा, 800-160 वॉल्यूम 2, एक लचीले और सुरक्षित कंप्यूटिंग वातावरण के पूरक भाग के रूप में अस्पष्टता के माध्यम से सुरक्षा के उपयोग की सिफारिश करता है।

यह भी देखें

 * स्टेग्नोग्राफ़ी
 * कोड मॉर्फिंग
 * केर्कहॉफ़्स का सिद्धांत
 * पता करने की जरूरत
 * अस्पष्ट कोड
 * अनुमानित सुरक्षा
 * डिज़ाइन द्वारा सुरक्षित
 * AACS एन्क्रिप्शन कुंजी विवाद
 * शून्य दिवस (कंप्यूटिंग)
 * कोड टॉकर
 * अस्पष्टता

बाहरी संबंध

 * Eric Raymond on Cisco's IOS source code 'release' v Open Source
 * Computer Security Publications: Information Economics, Shifting Liability and the First Amendment by Ethan M. Preston and John Lofton
 * by Jay Beale
 * Secrecy, Security and Obscurity & The Non-Security of Secrecy by Bruce Schneier
 * "Security through obsolescence", Robin Miller, linux.com, June 6, 2002