隐晦式安全

隐晦式安全（Security through obscurity）是指用设计的隐晦（英语：Secrecy）或是实现细节的隐晦，来达成系统或是元件的安全性（security），是一种安全工程（security engineering）的设计方式。

历史

锁匠阿尔弗雷德·查尔斯·霍布斯（英语：Alfred Charles Hobbs）曾反对用隐晦来达到安全性，他在1851年示范如何撬开当时最先进的锁。有人认为，若公开锁的设计缺陷，会让罪犯更容易破坏锁，霍布斯的回应是：“盗贼对他们的专业非常热衷，他们知道的已经比我们可以教他们的多太多了。”^[1]

正式文件中很少提到隐晦式安全。有安全工程的书藉在1883年时记录了柯克霍夫原则。例如在一个有关核子指挥与控制安全性和开放性的讨论中曾提到：

减少意外战争可能性的好处远大于秘密的可能好处。这是柯克霍夫原则的现代强化版，柯克霍夫原则最早在十九世纪提出，其中认为系统的安全性应该是基于其锁匙，而不是其设计的隐密性。^[2]

彼得·施维尔（英语：Peter Swire）曾著文探讨“隐晦式安全只是想像”以及军队中loose lips sink ships（英语：loose lips sink ships）口号之间的权衡^[3]，也提到竞争对于是否要公开的影响^{[4][需要更深入解释]}。

美国的全国公共广播电台在2020年1月时报导爱荷华州的民主党官员拒绝分享有关caucus应用程序的安全性资讯，为了“确保我们不会传递对我们不利的资讯。”。网络安全专家的回应是“保留应用程序的技术细节不公开，无法保护整个系统。”^[5]。

批评

标准组织不鼓励单单只用隐晦式安全作为安全措施。美国的国家标准技术研究所（NIST）曾针对此作法提出建议：“系统的安全性不能只靠实现方式的保密或是元件的保密来达成。”^[6]

此技术和基于安全的设计及Open security（英语：Open security）的概念是相反的，不过真实世界中的专案有许多不同的元件组成，也有各自的安全策略，也不排除同一个专案中同时有不同安全策略的元件。

架构上的隐晦以及技术上的隐晦

若考虑运行安全性（英语：operations security），隐晦式安全的效果会和是否配合其他良好安全实务一起进行有关^[7]。若隐晦式安全是独立的技术，配合其他实务使用，则隐晦可视为是有效的安全工具^[8]。

近些年来，由于移动目标防御（Moving Target Defense）以及欺敌技术（英语：Deception technology）的实施，越来越多人支持用隐晦式安全作为网络安全（cybersecurity）的方法论之一^[9]。NIST的网络防卫评估架构800-160 Volume 2建议在建立有韧性而且安全运算环境时，以隐晦式安全作为其安全措施中的一部分^[10]。

相关条目

• 隐写术
• 代码变形（英语：Code morphing）
• 柯克霍夫原则
• Need to know（英语：Need to know）
• 代码混淆
• 假定安全（英语：Presumed security）
• 基于安全的设计
• AACS加密密钥争议（英语：AACS encryption key controversy）
• 零日攻击
• 解码员（英语：Code talker）
• 混淆（英语：Obfuscation）