V dnešním kybernetickém světě existuje stále aktuální riziko neoprávněného přístupu ke všem formám dat. Nejohroženější jsou data finančního a platebního systému, která mohou odhalit osobní identifikační údaje (PII) nebo údaje o platební kartě zákazníků a klientů. Šifrování je zásadní pro ochranu PII a pro zmírnění rizik, kterým podniky, které provádějí platební transakce, čelí každou minutu každého dne.
V tomto článku si povíme o symetrickém šifrování v bankovnictví, jeho výhodách a některých výzvách správy klíče.
Co je to symetrické šifrování?
symetrické šifrování je typ šifrování, při kterém se k šifrování i dešifrování elektronických informací používá pouze jeden klíč (tajný klíč). Subjekty komunikující pomocí symetrického šifrování si musí klíč vyměnit, aby jej bylo možné použít v procesu dešifrování. Tato metoda šifrování se liší od asymetrického šifrování, kde se k šifrování a dešifrování zpráv používá pár klíčů, jeden veřejný a jeden soukromý.
Pomocí symetrických šifrovacích algoritmů se data převádějí do podoby, které nelze pochopit kdokoli, kdo nemá tajný klíč k jeho dešifrování. Jakmile má zamýšlený příjemce, který vlastní klíč, zprávu, algoritmus obrátí svou akci tak, aby se zpráva vrátila do původní a srozumitelné podoby. Tajný klíč, který odesílatel i příjemce používají, může být konkrétní heslo / kód nebo to může být náhodný řetězec písmen nebo čísel, které byly vygenerovány zabezpečeným generátorem náhodných čísel (RNG). U bankovního šifrování musí být symetrické klíče vytvořeny pomocí RNG, který je certifikován podle průmyslových standardů, jako je FIPS 140-2.
Existují dva typy symetrických šifrovacích algoritmů:
-
Blokovat algoritmy. Nastavené délky bitů jsou šifrovány v blocích elektronických dat pomocí konkrétního tajného klíče. Protože jsou data šifrována, systém uchovává data ve své paměti, když čeká na úplné bloky.
-
Streamové algoritmy. Data jsou šifrována při přenosu, místo aby byla uchována v paměti systému.
Některé příklady symetrických šifrovacích algoritmů zahrnují:
-
AES (Advanced Encryption Standard)
-
DES (Data Encryption Standard)
-
IDEA (International Data Encryption Algorithm)
-
Blowfish (náhrada za DES nebo IDEA)
-
RC4 (Rivest Cipher 4)
-
RC5 (Rivest Cipher 5)
-
RC6 (Rivest Cipher 6)
AES, DES, IDEA, Blowfish, RC5 a RC6 jsou blokové šifry. RC4 je proudová šifra.
DES
V „moderních“ počítačích byl DES první standardizovanou šifrou pro zabezpečení elektronické komunikace a používá se ve variantách (např. 2klíčové nebo 3kanálové). klíč 3DES). Původní DES se již nepoužívá, protože je považován za příliš „slabý“ kvůli výpočetní síle moderních počítačů. Ani 3DES NIST a PCI DSS 3.2 nedoporučují, stejně jako všechny 64bitové šifry. 3DES je však na čipových kartách EMV stále široce používán.
AES
Nejčastěji používaným symetrickým algoritmem je Advanced Encryption Standard (AES), který byl původně znám jako Rijndael. Toto je standard stanovený americkým Národním institutem pro standardy a technologie v roce 2001 pro šifrování elektronických dat oznámený v USA FIPS PUB 197. Tento standard nahrazuje DES, který se používá od roku 1977. Podle NIST má šifra AES velikost bloku 128 bitů, ale může mít tři různé délky klíčů, jak je znázorněno na AES-128, AES-192 a AES-256.
Na co se používá symetrické šifrování?
Zatímco symetrické šifrování je starší metoda šifrování, je rychlejší a efektivnější než asymetrické šifrování, které si v sítích vybírá daň kvůli problémům s výkonem při velikosti dat a vysokém využití procesoru. Kvůli lepšímu výkonu a vyšší rychlosti symetrického šifrování (ve srovnání s asymetrickým) se symetrická kryptografie obvykle používá pro hromadné šifrování / šifrování velkého množství dat, např. pro šifrování databáze. V případě databáze může být tajný klíč k dispozici pouze pro samotnou databázi k šifrování nebo dešifrování.
Některé příklady použití symetrické kryptografie jsou:
-
Platební aplikace, jako jsou transakce kartou, kde je třeba chránit PII, aby se zabránilo krádeži identity nebo podvodným poplatkům.
-
Ověření, která potvrzují, že odesílatel zprávy je tím, kdo tvrdí být
-
Generování nebo hašování náhodných čísel
Správa klíčů pro symetrické šifrování – co musíme vzít v úvahu
Symetrické šifrování má bohužel své nevýhody.Jeho nejslabší stránkou jsou aspekty správy klíčů, mezi něž patří:
Vyčerpání klíčů
Symetrické šifrování trpí chováním, při kterém při každém použití klíče „uniknou“ některé informace, které mohou být potenciálně použity útočník na rekonstrukci klíče. Obrany proti tomuto chování zahrnují použití hierarchie klíčů k zajištění toho, že hlavní nebo šifrovací klíče klíčů nejsou nadměrně používány, a příslušná rotace klíčů, které šifrují svazky dat. Aby byla obě tato řešení snadno ovladatelná, vyžadují kompetentní strategie správy klíčů, jako kdyby (například) nebylo možné obnovit vyřazovací šifrovací klíč, data jsou potenciálně ztracena.
Atribuční data
Na rozdíl od asymetrických (veřejný klíč) Certifikáty, symetrické klíče nemají vložená metadata pro záznam informací, jako je datum vypršení platnosti nebo seznam řízení přístupu k označení použití, ke kterému lze klíč použít – například k šifrování, ale ne dešifrování.
Posledním problémem se poněkud zabývají standardy, jako je ANSI X9-31, kde může být klíč vázán na informace předepisující jeho použití. Ale pro plnou kontrolu nad tím, k čemu lze klíč použít a kdy jej lze použít, je vyžadován systém správy klíčů.
Správa klíčů ve velkém měřítku
Kde jen několik klíče jsou zapojeny do schématu (desítky až stovky), režie správy je skromná a lze ji zvládnout manuální, lidskou činností. U velké nemovitosti je však sledování vypršení platnosti a uspořádání rotace klíčů rychle nepraktické.
Zvažte nasazení EMV platebních karet: miliony karet vynásobených několika klíči na kartu vyžadují vyhrazené ustanovení a klíč -management system.
Závěr
Udržování rozsáhlých symetrických šifrovacích systémů je velmi náročný úkol. To platí zejména, když chceme dosáhnout zabezpečení a auditovatelnosti na úrovni bank, když je podniková a / nebo IT architektura decentralizovaná / geograficky distribuovaná.
Za tímto účelem se doporučuje používat speciální software k udržení správného životního cyklu pro každý vytvořený klíč. V případech hromadné registrace klíčů je skutečně nemožné provádět správu klíčů ručně. Potřebujeme k tomu specializovaný klíčový software pro správu životního cyklu.
Očekává se, že se kvantové výpočty uskuteční během příštích 5-10 let. Již dnes NIST doporučuje nahradit široce používaný algoritmus 3DES algoritmy, které považujeme za úspornější, na základě dnešních znalostí.
Nevím, jaký může být technologický pokrok, a tedy i vývoj škodlivých dešifrovacích algoritmů, důrazně doporučujeme bankám, aby migrovaly na kryptoagilní nastavení. Takové nastavení umožní rychle nahradit algoritmy, když jsou zjištěny slabé stránky, algoritmy, které jsou považovány za bezpečnější. Investice a rozhodnutí o architektuře je třeba přijmout hned, aby se zabránilo velká škoda v nadcházejících letech.
Reference a další čtení
- Průvodce kupujícího k výběru systému správy krypto klíčů – Část 1: Co je systém správy klíčů (2018) , Rob Stubbs
- Průvodce kupujícího po výběru systému pro správu krypto klíčů; Část 2: Požadavek na systém správy klíčů (2018), autor Rob Stubbs
- Průvodce kupujícího k výběru systému správy krypto klíčů – Část 3: Výběr správného systému správy klíčů (2018), autor Rob Stubbs
-
NIST SP800-57 Část 1 Revize 4: Doporučení pro správu klíčů (2016) Elaine Barker
-
Vybrané články o správě klíčů (2012 – dnes) od Ashiq JA, Dawn M. Turner, Guillaume Forget, James H. Reinholm, Peter Landrock, Peter Smirnoff, Rob Stubbs, Stefan Hansen a další
-
Produktový list CKMS (2016), autor: Cryptomathic