Szyfrowanie danych to techniki s?u??ce do kodowanie informacji w celu zapewnienia ich poufno?ci. Szyfrowanie uniemo?liwia nieuprawniony dost?p do danych. Pozostaj? one nieczytelne dla osób nieposiadaj?cych klucza deszyfruj?cego.
W przypadku ca?ego ekosystemu cyberbezpiecze?stwa szyfrowanie stanowi nierzadko ostatni? lini? obrony przed dost?pem do danych przez niepowo?ane osoby. Firmy zabezpieczaj? si? przed nieuprawnionym dost?pem intruzów, ograniczaj?c dost?p do zasobów organizacji i stosuj?c ró?ne technologie: has?a, MFA, systemy antywirusowe, endpoint protection. Szyfrowanie nierzadko okazuje si? ostatni? lini? obrony przed wyciekiem czy kradzie?? danych, bo je?li ju? cyberprzest?pca uzyska dost?p do zasobów i b?dzie mia? dost?p do zbioru danych (tekstu czy pliku), to pozostan? dla niego nieczytelne.
Co powinni?my szyfrowa??
Wszelkiego rodzaju umowy, oferty, faktury, dane osobowe, dane finansowe, wyci?gi bankowe, polisy ubezpieczeniowe, zbiory danych osobowych, dokumenty wysy?ane do biura rachunkowego czy prawnika, sprawozdania okresowe firm, projekty, mapy, plany, strategie I inne wa?ne dla organizacji dokumenty.
Czemu przeciwdzia?a szyfrowanie?
Szyfrowanie przeciwdzia?a szeroko rozumianemu szpiegostwu gospodarczemu, invoice hacking, business email compromise, ransomware nowej generacji z podwójnym wymuszeniem, wyciekom danych, szpiegostwu na poziomie pa?stw, jest zalecane jako metoda zarz?dzaniem ryzykiem przez wiele regulacji (NIS2, GDPR, DORA) i wymagana przez certyfikacj? na zgodno?? z systemami zarz?dzania, jak ISO 27001.
Szyfrowanie symetryczne
Szyfrowanie symetryczne wykorzystuje ten sam klucz, zarówno do szyfrowania tekstu, jak i jego deszyfrowania. Przed przyst?pieniem do wymiany poufnych wiadomo?ci nale?y wi?c ustali? klucz, znany wy??cznie nadawcy oraz odbiorcy. Konieczne jest przekazanie go za po?rednictwem bezpiecznego i sprawdzonego kana?u informacyjnego, oczywi?cie odmiennego od tego, którym przesy?amy szyfrogram. Przyk?adami szyfrów symetrycznych s?: kod Cezara, 3DES, AES. Zalet? szyfrowania asymetrycznego jest szybko?? i ?atwo?? u?ycia. Najcz??ciej szyfrowanie symetryczne stosowane jest przy u?yciu takich aplikacji jak WinZip czy PDF zabezpieczony has?em. Problemem w szyfrowaniu asymetrycznym jest przekazanie sekretu (klucza deszyfruj?cego) do odbiorcy. Najcz??ciej w tym miejscu szyfrowanie ulega „kompromitacji”. Nierzadko te? osobtóre szyfruj?, pope?niaj? podstawowy b??d – przesy?aj? klucz deszyfruj?cy tym samym kana?em komunikacyjnym co szyfrogram. Sytuacj? mo?na porówna? do zamkni?cia drzwi (nawet pancernych) na 4 zamki, ale z naklejeniem kartki na drzwi „klucze s? pod wycieraczk?” i schowaniem ich tam.
Szyfrowanie asymetryczne
Asymetryczne metody szyfrowania wiadomo?ci polegaj? na ustaleniu odr?bnego klucza dla nadawcy i odbiorcy. Dysponuj? wi?c oni oddzieln? par? kluczy, na któr? sk?ada si? klucz prywatny oraz publiczny. Klucz prywatny nale?y przechowywa? w ukryciu, natomiast drugi jest dost?pny dla wszystkich zainteresowanych. Asymetria polega na tym, ?e nadawca szyfruje komunikat za pomoc? publicznego klucza odbiorcy, a adresat odtajnia wiadomo?? przy u?yciu swojego prywatnego klucza. Przyk?adem szyfru asymetrycznego jest RSA np. z kluczem 2048/3072/4096 bitów. Istotna jest implementacja utworzenia kluczy (jest to operacja matematyczna, która np. w RSA opiera si? na parze liczb pierwszych). Istnieje niewielka szansa, ?e agresor odszyfruje poufn? wiadomo??, ale musimy pami?ta?, ?e klucz prywatny powinien by? rzeczywi?cie prywatny – tzn. dostawca us?ugi nie powinien mie? do niego dost?pu. Powinni?my zapewni? bezpiecze?stwo klucza – na przyk?ad poprzez przechowywanie go w formie zaszyfrowanej. Niew?tpliw? zalet? szyfrowania asymetrycznego jest wysoki poziom bezpiecze?stwa, za? wad? z?o?ono?? obliczeniowa, co oznacza, ?e procesy szyfrowania i deszyfrowania zabieraj? du?o czasu i wymagaj? du?ych zasobów obliczeniowych.
Szyfrowanie end to end
Przywykli?my do przyjmowania tego okre?lenia jako pewnik, ?e dane s? bezpieczne. Ale nie jest to równoznaczne z tym, ?e dost?p do danych ma tylko nadawca i odbiorca. Mo?e w sposób bezpo?redni tak, ale po?redni – nie. W implementowanym rozwi?zaniu cz?sto pojawia si? okre?lenie „trzeciej strony” – nierzadko z dopiskiem „zaufanej”. Trzeci? stron? nazywamy podmiot albo proces kóry mo?e mie? dost?p do zaszyfrowanych danych przez potwierdzanie to?samo?ci odbiorcy, w?a?ciciel medium komunikacyjnego, przez które przesy?any jest jaki? sekret (has?o, klucz). Samo istnienie owej trzeciej strony ju? teoretycznie oznacza, ?e dost?p jest mo?liwy. A je?li jest trzecia strona, to mo?e by? i czwarta, i pi?ta, i kolejna – mo?e by? nim i haker, i s?u?by specjalne.
Po??czenie szyfrowania symetrycznego z asymetrycznym
Do?? ciekawym rozwi?zaniem pozwalaj?cym na zapewnienie szybko?ci (szyfrowanie symetryczne), bezpiecze?stwa (asymetryczne), uniwersalno?ci i mo?liwo?ci szyfrowania dla wielu odbiorców (szyfrowanie symetryczne) jest metoda stosowana w kilku otwartych standardach szyfrowania i rozwi?zaniach komercyjnych, jak np. Cypherdog Encryption.
Jak to dzia?a? Przed ka?dym procesem szyfrowania generowany jest unikalny klucz symetryczny, który nast?pnie szyfrowany jest asymetrycznie z u?yciem kluczy publicznych odbiorców. W?a?ciwe dane szyfruje si? kluczem symetrycznym. Przekazywana porcja danych zawiera nag?ówek z blokami zaszyfrowanych kluczy symetrycznych oraz w?a?ciwy szyfrogram.
Po stronie odbiorcy nast?puje próba deszyfrowania asymetrycznego z u?yciem klucza prywatnego bloków z nag?ówka przes?anej porcji danych, w celu uzyskania odszyfrowanego klucza symetrycznego, który s?u?y do odszyfrowania w?a?ciwych danych.
Trzecia strona i problemy kryptografii
Analizuj?c rozwi?zanie szyfruj?ce pod k?ntem bezpiecze?stwa powinni?my uzyska? odpowiedzi na kilka pyta?, m.in.: Kto ma lub mo?e mie? dost?p do kluczy deszyfruj?cych? Czy klucz publiczny mo?na podmieni??
Kim jest trzecia strona przekazuj?ca klucz deszyfruj?cy? Potwierdzaj?ca wiarygodno?? klucza publicznego – Certification Authority? Czy trzeci? stron? jest dostawca rozwi?zania komunikacyjnego lub szyfruj?cego?
W ka?dym rozwi?zaniu wa?na jest jego implementacja, bo wszystko rozbija si? o szczegó?y. Ka?dy element ka?dego procesu zwi?zanego z danymi powinien by? dok?adnie przemy?lany i zaprojektowany w taki sposób, ?eby unikn?? jakiejkolwiek mo?liwo?ci odczytu danych przez niepowo?an? stron?.
Na koniec
Maj?c wiedz? opisan? w tym artykule, mo?emy skutecznie implementowa? najnowsze rozwi?zania szyfruj?ce zarówno w naszych organizacjach, jak i ?yciu prywatnym. Wiemy ju?, na co zwraca? uwag? i jakie pytania zadawa? sobie analizuj?c ró?ne rozwi?zania. Warto tak?e testowa? wersje trial ró?nych aplikacji, aby przekona? si? o ich skuteczno?ci. Cypherdog Encryption oferuje 14-dniow? wersj? próbn?, któr? mo?na pobra? bezp?atnie ze strony.
