加密是指將資料打亂,沒有密鑰的人便無法讀取加密的資料。加密過程使用加密金鑰,將明文轉換成密文。加密金鑰是發送方和接收方都同意使用的一組數值。
擁有解密金鑰的任何人都可以對加密資料進行解密。這就是為什麼密碼學專家要不斷研發更精密、更複雜的金鑰。使用複雜的金鑰使加密更安全,讓駭客知道採用窮舉攻擊 (也被稱為「暴力攻擊法」) 也無法破解。
資料可以在靜態儲存於裝置時,或傳輸過程中被加密。加密類別主要分為兩種:對稱式和非對稱式。
隱私: 只有資料的所有者和接收者才能讀取,以避免攻擊者、ISP 甚至是政府單位攔截敏感資料。
安全性: 加密有助於防止資料外洩,如果公司設備遺失或被盜,資料因被加密仍安全無虞。
資料完整性: 加密資訊無法在傳輸過程中查看和竄改,故加密還能防止例如路徑攻擊 (攔截傳輸中的資訊) 等惡意行為。
法規: 許多產業和政府法規例如 HIPAA、PCI-DSS 和 GDPR 要求公司對客戶資料進行加密。美國政府機構和外包商必須遵循 FIPS (聯邦資訊處理標準)。
加密演算法是將資料轉換成密文的方式。加密金鑰的演算法以一致的方法更改資料呈現方式,這樣一來,即便密文看似難以理解,解密金鑰也能輕易將密文轉換回明文。常見的演算法包括對稱式 (AES、3-DES、SNOW) 以及非對稱式 (橢圓曲線密碼學和 RSA )。
RSA 加密演算法是一種非對稱式加密演算法,使用質因數分解 (將兩個非常大的質因數相乘)。RSA 加密演算法很難破解,因為必須確認原始質數,數學運算難度高。故暴力攻擊法幾乎無法破解 RSA 金鑰。
暴力攻擊法是指用電腦逐一測試可能的密碼或金鑰組合,嘗試數百萬次甚至數十億次直到找出真正的密碼或金鑰為止。現今的電腦能非常快速地找到可能的排列組合。現今的加密方式要對暴力攻擊法做好準備。在密碼學領域,破解加密以及加密之間是一場無止盡的競賽。
雲端儲存加密: 資料或文本先經過加密演算法轉換,再置於雲端儲存空間。與本地端加密相似,客戶還需要弄清楚供應商的加密等級差異,以確認滿足對安全和敏感性資料的需求。
可否認式加密: 具有多種可能的加密方式,若資料可能或有機會在傳輸過程中被攔截,會提供一段虛假的明文。
FDE (全磁碟加密): 硬體級的加密。會自動加密硬碟上的資料,如果沒有正確的身分驗證,金鑰無法讀取。若沒有金鑰,任何電腦都無法使用硬碟。
BYOE (自備加密): 一種雲端運算的資安手法,允許客戶在其雲端運算服務上使用自己的加密軟體。這也稱為 BYOK (自備金鑰)。
EaaS (加密即服務): 為無法自備加密的雲端客戶提供訂閱服務。包括 FDE、資料庫或檔案加密。
E2EE (端到端加密): 保護傳輸中的資料。在 WhatsApp 等通訊軟體中,由客戶端軟體加密,傳送到網路客戶端,然後由接收端進行解密。
欄位層級加密: 針對特定網頁字段中的資料進行加密,例如社會安全號碼、信用卡號、健康和財務資料。所選定字段中的所有資料都將自動加密。
列層級加密: 資料同一列中所有資料格都具備相同存取和讀取/寫入密碼的加密方法。
連結層級加密: 當資料離開主機時加密,在下一個連結處時解密,再次傳送出去時再進行重新加密。不需要在每個連結上使用相同的金鑰/演算法。
網路層級加密: 針對 IP 網路上的通訊,建立一個私有框架,透過 IPSec (網際網路協定) 達成網路傳輸層級的加密服務
同態加密: 將資料轉換成仍然可允許分析和工作的密文,就像沒有加密一樣。對於可在不破壞加密情況下完成的數學運算來說很實用。
HTTPS: 允許在 TLS 協議上執行 HTTP,藉此加密網站。網路伺服器如果要加密傳送內容,需要安裝公開金鑰。
量子密碼學: 一種基於量子力學原理的加密方式。一旦測量量子編碼資料,原來的量子狀態 (位置和動能)就改變了。若嘗試複製或存取資料也會變更資料,藉此提醒有權解密者發生過攻擊。
網路安全策略中需要納入資料加密,尤其是有越來越多企業採用雲端運算。加密能透過多種方式來支援公司營運。
電子郵件加密: 電子郵件是公司組織內通訊和業務營運的基礎,電子郵件或資訊的無意洩漏可能會被不法份子鎖定。金融服務或醫療保健等產業受到嚴格監管,尤其終端使用者通常會拒絕改變使用電子郵件的方法,故執行起來可能很困難。可採用加密軟體來強化作業系統和一般電子郵件客戶端,這樣一來,傳送加密電子郵件就和傳送未加密電子郵件一樣容易
巨量資料: 滿足隱私合規性的持續資料防護、安全的雲端分析、雲端傳輸用的加密和標記化技術,可透過以資料為中心的加密防護方式來簡化多重雲端作業。每當敏感資料穿越多重雲端環境時,均會以此類技術進行加密。
支付安全性: 商家、支付處理商和企業都面臨保護高價值敏感資料的巨大挑戰,例如持卡人資料,必須遵循 PCI DSS (支付卡產業資料安全標準) 和資料隱私法規。不過,加密軟體就能保護零售 POS、網路和行動電子商務交易。
除了前述加密方法所提供的防護服務之外,加密也提供機密性 (對訊息內容進行編碼)、驗證性 (驗證訊息的來源)、不可否認性 (無法否認其傳送行為) 和完整性 (證明訊息內容未被竄改)。
加密旨在阻擋未經授權者,使其難以讀取非法取得的資料。不過,在某些情況下,加密也能阻擋資料所有者。金鑰管理對於企業而言很棘手,企業需要將金鑰置於某處,但攻擊者往往很擅長找到金鑰。金鑰管理會強化備份和復原的複雜性,當災難發生時,金鑰檢索和新增至備份伺服器就十分耗時。管理員必須制定金鑰管理系統保護計畫,如果發生大規模災難,才能輕鬆地檢索到各個備份檔案。
現在也有簡化金鑰管理的軟體,例如金鑰包裝。金鑰包裝能單獨或批次加密組織的加密金鑰。可以在需要時使用對稱式加密解除金鑰包裝。
雖然暴力攻擊法對高位元數的金鑰無效,但漏洞確實存在。許多攻擊嘗試都集中在以社交工程的方式,對金鑰進行未授權存取。也就是說,不是攻擊系統,而是攻擊維護系統和與系統相關的人員。為了保護網路免受外部攻擊,我們會採取安全措施,但駭客可利用許多方式來規避,例如網路釣魚、惡意軟體和 BadUSB 等利用人總會犯錯的天性。
軟體型加密 也被認為不如硬體型加密來得安全。軟體型加密也被稱為「可移除式的加密」,因為可能會被進行社交攻擊的不法份子規避。硬體型加密還有防止竄改的實體防禦功能,故被認為具備更佳的安全性。
#KingstonIsWithYou #KingstonIronKey
要規劃適當的解決方案需要對專案目標有通盤了解。讓 Kingston 專家引導您完成作業。
硬體型軟體防護 (非軟體型密碼防護) 是防護檔案和隨身碟的最佳方式。
為了資料防護而需要考慮的 USB 安全功能清單。
什麼是 3-2-1 資料備份方法?為何是對抗勒索軟體的最佳防禦措施。
David Clarke 的討論涵蓋加密、超級使用者防護、漏洞管理和培訓。
了解 Kingston IronKey 的解決方案如何幫助 EgoMind 增強其資料安全衛生。
我們探討 NIS2 和 DORA,以及企業如何將合規轉化為商業機會。
我們討論組織儲存和加密敏感資料的方式轉變。
Kingston 正在研究如何在電子郵件安全性日益脆弱的情況下保護敏感檔案。
