Zapytaj eksperta
Aby wybrać odpowiednie rozwiązanie, należy poznać cele bezpieczeństwa swojego projektu. Skorzystaj ze wskazówek ekspertów firmy Kingston.
Zapytaj ekspertaSzyfrowanie to metoda przekształcania danych w taki sposób, aby nie zostały przed nikogo odczytane, z wyjątkiem osób upoważnionych. Proces szyfrowania konwertuje zwykły tekst do tekstu szyfrowanego za pomocą klucza kryptograficznego. Klucz kryptograficzny jest zbiorem wartości liczbowych znanych i ustalanych przez jego nadawcę i odbiorcę.
Odszyfrowanie (lub translacja) zaszyfrowanych danych jest możliwe dla każdego, kto taki klucz posiada. To dlatego specjaliści ds. kryptografii nieustannie rozwijają coraz to nowsze i bardziej skomplikowane klucze. Bardziej skuteczne szyfrowanie wykorzystuje klucze o tak wysokiej złożoności, że proces odszyfrowania (przy użyciu metody brute force, tj. siłowej) staje się praktycznie niemożliwy.
Dane można zaszyfrować, gdy są w spoczynku (przechowywane) lub „w drodze” (przesyłane). Istnieją dwie główne klasyfikacje szyfrowania: symetryczna i asymetryczna.
Prywatność: tylko właściciel i odbiorca danych może je odczytać, co uniemożliwia hakerom, usługodawcy internetowemu, a nawet organom rządowym przechwycenie wrażliwych danych.
Bezpieczeństwo: szyfrowanie pozwala zapobiec naruszeniu integralności danych; jeśli dojdzie do utraty urządzenia służbowego, ale jego zawartość będzie zaszyfrowana, dane pozostaną bezpieczne.
Integralność danych: szyfrowanie zapobiega także szkodliwym działaniom, jak ataki „on-path”, czyli przechwytujące przesyłane informacje; wówczas zaszyfrowanych danych nie można wyświetlić ani zmodyfikować w trakcie tego procesu.
Przepisy: zgodnie z wieloma przepisami krajowymi i branżowymi, takimi jak ustawa HIPAA, norma PCI-DSS czy RODO, firmy mają obowiązek szyfrować dane użytkowników. Agencje rządowe Stanów Zjednoczonych oraz wykonawcy muszą korzystać ze standardów FIPS (ang. Federal Information Processing Standards).
Algorytm szyfrowania określa sposób konwersji danych na zaszyfrowany tekst. Klucz szyfrujący jest używany przez algorytm do spójnej modyfikacji danych w taki sposób, że chociaż wydaje się to losowe, klucz deszyfrujący może z łatwością skonwertować dane z powrotem na zwykły tekst. Do powszechnych algorytmów szyfrowania należą AES, 3-DES, SNOW (wszystkie symetryczne), techniki kryptografii krzywych eliptycznych oraz RSA (oba asymetryczne).
Podobnie jak wszystkie metody szyfrowania asymetrycznego, tak też RSA wykorzystuje faktoryzację liczb całkowitych (mnożenie dwóch bardzo dużych liczb całkowitych). Złamanie takiego szyfru jest bardzo trudne, ponieważ należy ustalić pierwotnie użyte liczby całkowite, co jest wymagającym procesem obliczeniowym. Metoda siłowa (ang. brute force) jest praktycznie bezskuteczna w przypadku szyfrowania z użyciem klucza RSA.
Jeśli komputer wykonuje miliony lub nawet miliardy prób złamania hasła lub klucza deszyfrującego, mowa jest o ataku typu brute force, czyli siłowym. Współczesne komputery potrafią wykonywać takie obliczenia niezwykle szybko. Obecne metody szyfrowania muszą być odporne na tego rodzaju atak. Kryptografia jest polem nieustannej rywalizacji między tymi, którzy opracowują szybsze sposoby łamania zabezpieczeń, oraz tymi, którzy wymyślają bardziej złożone metody szyfrowania.
Szyfrowanie danych w chmurze: dane lub tekst są przekształcane za pomocą algorytmów szyfrowania, a następnie umieszczane w chmurze. Podobnie jak w przypadku szyfrowania w firmie, z taką różnicą, że klient musi określić, czy różne poziomy zabezpieczeń danych (wrażliwych) oferowane przez usługodawcę odpowiadają jego potrzebom.
Szyfrowanie zaprzeczalne: szyfrowanie, które obejmuje wiele sposobów szyfrowania, wykorzystywane do celów dezinformacji osób, które mogłyby chcieć przechwycić te dane podczas ich przesyłania.
FDE (szyfrowanie całego dysku): szyfrowanie sprzętowe. Dane na dysku twardym są automatycznie szyfrowanie i nie można ich odczytać, nie posiadając odpowiedniego klucza uwierzytelniającego. Dysk twardy jest bezużyteczny bez takiego klucza, niezależnie od komputera użytkownika.
BYOE (Bring Your Own Encryption): model zabezpieczenia danych obliczeniami w chmurze, za pomocą którego użytkownik może wyświetlać wirtualną instancję własnego oprogramowania szyfrującego wraz z hostowaną przez chmurę aplikacją. Znany również jako BYOK (Bring Your Own Key).
EaaS (Encryption as a Service, tj. szyfrowanie jako usługa): usługa subskrypcyjna dla użytkowników chmury, którzy nie mogą zarządzać własnym szyfrowaniem. Obejmuje szyfrowanie całego dysku, bazy danych lub plików.
E2EE (End to End Encryption): chroni przesyłane dane. Wiadomości w aplikacjach typu WhatsApp są szyfrowane przez klienta oprogramowania, przekazywane do klienta usługi sieciowej, a następnie odszyfrowywane przez odbiorcę.
Szyfrowanie na poziome pola: dane w określonych polach strony internetowej są szyfrowane (np. numery SSN, numery karty kredytowej, dane finansowe lub ubezpieczeniowe). Wszystkie dane znajdujące się w wybranym polu zostaną automatycznie zaszyfrowane.
Szyfrowanie na poziomie kolumny: podejście, w ramach którego wszystkie komórki tej samej kolumny są zabezpieczone jednym hasłem umożliwiającym uzyskanie dostępu i odczyt/zapis.
Szyfrowanie na poziomie łącza: szyfruje dane, gdy opuszczają hosta, odszyfrowując dane przy kolejnym łączu, a następnie szyfrując je ponownie, gdy zostaną ponownie wysłane. Łącza w tym procesie nie muszą być zabezpieczone tym samym kluczem/algorytmem.
Szyfrowanie na poziomie sieci: usługi szyfrowania na poziomie transferu w sieci, wdrażane za pomocą protokołu Internet Protocol Security (IPSec), który tworzy prywatną platformę do komunikacji za pomocą sieci IP.
Szyfrowanie homomorficzne: konwersja danych w szyfrowany tekst, który nadal umożliwia analizę i działa tak, jakby nie został zaszyfrowany. Metoda przydatna do obliczeń matematycznych, które można wykonywać bez łamania szyfrowania.
HTTPS: zapewnia szyfrowanie na poziomie witryny poprzez wykonanie poleceń HTTP z użyciem protokołu TLS. Aby serwer internetowy szyfrował przesyłane dane, należy zainstalować publiczny klucz.
Kryptografia kwantowa: oparta na mechanice kwantowej metoda ochrony danych. Danych zaszyfrowanych kwantowo nie można zmierzyć bez zmiany wartości tych właściwości (lokalizacja i pęd). Wszelkie próby skopiowania lub otwarcia danych spowodują także ich zmianę, ostrzegając upoważnione osoby o przeprowadzanym ataku.
Strategie cyberbezpieczeństwa muszą wykorzystywać szyfrowanie danych, tym bardziej dlatego, że coraz więcej firm przechodzi na usługi chmurowe. Istnieje wiele sposobów wsparcia działań firmy przez szyfrowanie.
Szyfrowanie poczty e-mail: jako że poczta e-mail jest podstawowym narzędziem do komunikacji w firmach i służącym do działań biznesowych, hakerzy próbują ją atakować lub ujawniać zawarte w niej dane. Ochrona danych w takich branżach jak finanse czy ochrona zdrowia jest ściśle regulowana, ale wyegzekwowanie tych zasad może być trudnym zadaniem, szczególnie w przypadku poczty e-mail, której użytkownicy niechętnie zmieniają standardowe procedury. Można ulepszyć systemy operacyjne i powszechnie używane klienty poczty e-mail za pomocą narzędzi szyfrujących tak, aby wysyłanie zaszyfrowanej wiadomości było tak proste, jak tej bez szyfrowania.
Wielkie zbiory danych: ciągła ochrona danych dla zachowania zgodności z przepisami ochrony prywatności, bezpieczna analiza obliczeń w chmurze oraz technologie szyfrowania i tokenizacji dla transferu danych w chmurze mogą uprościć działania firm w wielu chmurach, centralizując funkcje ochrony danych. Gdy tylko wrażliwe dane są przesyłane do środowiska wielochmurowego, obejmuje je szyfrowanie z użyciem wymienionych metod.
Bezpieczeństwo płatności: sprzedawcy, podmioty przetwarzające płatności, jak i same przedsiębiorstwa muszą stawiać czoła wielkim wyzwaniom, zabezpieczając cenne dane wrażliwe, jak dane właścicieli kart płatniczych, tak aby spełniać wymagania normy PCI DSS (ang. Payment Card Industry Data Security Standard) oraz przepisy ochrony prywatności danych. Narzędzia szyfrujące mogą jednak chronić placówki handlowe, witryny oraz transakcje z użyciem urządzeń przenośnych.
Oprócz powyższych usługi i metod ochrony oferowanych przez szyfrowanie, zapewniają poufność (szyfrowanie treści wiadomości), uwierzytelnienie (potwierdzając pochodzenie wiadomości), niepodważalność (zapobiegając odmowie potwierdzenia wysłania zaszyfrowanej wiadomości) oraz integralność (chroniąc zawartość wiadomości przed modyfikacją).
Szyfrowanie ma na celu ochronę danych przed dostępem niepowołanych osób czy podmiotów. W niektórych sytuacjach może to jednak oznaczać blokadę dostępu dla właściciela danych. Zarządzanie kluczami bywa skomplikowane dla firm, ponieważ pracownicy prowadzą także życie prywatne, a hakerzy na ogół to wykorzystują. Zarządzanie kluczami zwiększa złożoność metod tworzenia kopii zapasowych i przywracania danych, ponieważ w razie katastrofy, odzyskanie klucza i dodanie serwerów kopii zapasowych jest czasochłonne. Administratorzy muszą mieć plan ochrony systemu zarządzenia kluczami, np. osobną kopię zapasową, którą można łatwo odzyskać, jeśli dojdzie do katastrofy na większą skalę.
Istnieje oprogramowanie, które ułatwia zarządzanie kluczami, takie jak „key wrapping” (dosł. owijanie kluczy). Szyfruje ono klucze szyfrujące firmy, indywidualnie lub masowo. Klucze można w razie potrzeby odszyfrować, na ogół za pomocą szyfrowania symetrycznego.
Chociaż ataki brute force nie są zbyt skuteczne w łamaniu kluczy opartych na wielobitowych algorytmach, istnieją pewne luki. W wielu przypadkach dostęp do kluczy hakerzy próbują uzyskać za pomocą inżynierii społecznej. To znaczy, nie atakują samego systemu, tylko osoby, które nim zarządzają lub po prostu mają z nim styczność. Ataki phishingowe, szkodliwe oprogramowanie czy BadUSB: istnieje wiele metod, za pomocą których hakerzy mogą obejść zabezpieczenia mające na celu ochronę sieci przed intruzami, wykorzystując ułomność człowieka.
Szyfrowanie programowe jest również traktowane jako mniej skutecznie od szyfrowania sprzętowego. Szyfrowanie programowe jest nazywane szyfrowaniem usuwalnym, ponieważ hakerzy dokonujący ataków siłowych są w stanie je obejść. Szyfrowanie sprzętowe jest często postrzegane jako bardziej bezpieczne, ponieważ obejmuje fizyczne środki ochrony przed naruszeniem integralności danych.
#KingstonIsWithYou #KingstonIronKey
Aby wybrać odpowiednie rozwiązanie, należy poznać cele bezpieczeństwa swojego projektu. Skorzystaj ze wskazówek ekspertów firmy Kingston.
Zapytaj eksperta