从根本上讲，是否有可能证明目前行业标准的端到端安全数据存储和传输系统？

Question

我知道我们可以设计一个超简单的系统，它被证明可以以完美的安全性执行一件事情。我们已经做到了。这被称为经过验证的系统，它是用微型内核完成的。(这种系统的一个例子是sel4)

您可以证明一个系统没有安全缺陷(当系统非常简单时，这样做要容易得多)。而且，是的，人类与一个被证明是安全的系统的交互可以很容易地通过误用来危害系统。

但是，我只是在问，从根本上说，是否有可能证明目前的行业标准端到端安全数据存储和传输系统。我意识到由于误用造成的安全缺陷，我只想知道现在是否存在端到端(生成内容、传输内容、存储内容)系统，这些系统可以通过完美的使用从根本上得到验证。

我倾向于这样一种可能性，即由于大多数发送和存储敏感数据的行业标准方法都是在未经验证的内核上执行的，我们目前无法证明我们的任何端到端系统。但这可能不是真的。也许我们的加密方法确实使我们能够以一种基本被证实的方式保护数据端到端，而不管我们是否使用经过验证的内核来执行存储和传输的加密。

Answer 1

没有这样的系统可以排除人的元素。软件和硬件开发人员都是人类，所以您所描述的这些系统可以而且很可能会有错误。此外，这些系统是由人类设计的，在最好的情况下，它们包括风险分析，这是最先进的，但没有考虑到没有人能想到的攻击或在可预见的未来被认为代价高昂的攻击。

这意味着任何基于行业标准的系统都会有这样的缺陷，并且在设计上只会保护您免受最常见的风险。即使您在部署系统之后设法排除了人工元素，它也将相当安全，但并不完全安全。