En el mundo cibernético actual, existe un riesgo constante de acceso no autorizado a todas las formas de datos. El mayor riesgo son los datos financieros y del sistema de pago que pueden exponer la información de identificación personal (PII) o los detalles de la tarjeta de pago de clientes y clientes. El cifrado es crucial para proteger la PII y mitigar los riesgos que enfrentan las empresas que realizan transacciones de pago cada minuto de cada día.
En este artículo hablaremos sobre el cifrado simétrico en la banca, sus ventajas y algunos desafíos de la gestión de claves.
¿Qué es el cifrado simétrico?
El cifrado simétrico es un tipo de cifrado en el que solo se utiliza una clave (una clave secreta) para cifrar y descifrar información electrónica. Las entidades que se comunican a través de cifrado simétrico deben intercambiar la clave para que pueda utilizarse en el proceso de descifrado. Este método de cifrado difiere del cifrado asimétrico en el que se utiliza un par de claves, una pública y otra privada, para cifrar y descifrar mensajes.
Al utilizar algoritmos de cifrado simétrico, los datos se convierten a una forma que no se puede entender por cualquiera que no posea la clave secreta para descifrarlo. Una vez que el destinatario previsto que posee la clave tiene el mensaje, el algoritmo invierte su acción para que el mensaje vuelva a su forma original y comprensible. La clave secreta que usan tanto el remitente como el destinatario podría ser una contraseña / código específico o puede ser una cadena aleatoria de letras o números generados por un generador seguro de números aleatorios (RNG). Para el cifrado de grado bancario, las claves simétricas deben crearse utilizando un RNG que esté certificado de acuerdo con los estándares de la industria, como FIPS 140-2.
Hay dos tipos de algoritmos de cifrado simétrico:
-
Bloquear algoritmos. Las longitudes de bits establecidas se cifran en bloques de datos electrónicos con el uso de una clave secreta específica. A medida que se cifran los datos, el sistema mantiene los datos en su memoria mientras espera bloques completos.
-
Transmitir algoritmos. Los datos se cifran a medida que fluyen en lugar de retenerse en la memoria del sistema.
Algunos ejemplos de algoritmos de cifrado simétrico incluyen:
-
AES (Estándar de cifrado avanzado)
-
DES (Estándar de cifrado de datos)
-
IDEA (Algoritmo de cifrado de datos internacional)
-
Blowfish (reemplazo directo de DES o IDEA)
-
RC4 (Rivest Cipher 4)
-
RC5 (Rivest Cipher 5)
-
RC6 (Rivest Cipher 6)
AES, DES, IDEA, Blowfish, RC5 y RC6 son cifrados en bloque. RC4 es un cifrado de flujo.
DES
En la computación «moderna», DES fue el primer cifrado estandarizado para asegurar las comunicaciones electrónicas y se usa en variaciones (por ejemplo, 2 teclas o 3 clave 3DES). El DES original ya no se utiliza porque se considera demasiado «débil», debido a la potencia de procesamiento de las computadoras modernas. Incluso 3DES no es recomendado por NIST y PCI DSS 3.2, al igual que todos los cifrados de 64 bits. Sin embargo, 3DES todavía se usa ampliamente en tarjetas con chip EMV.
AES
El algoritmo simétrico más utilizado es el Estándar de cifrado avanzado (AES), que originalmente se conocía como Rijndael. Este es el estándar establecido por el Instituto Nacional de Estándares y Tecnología de EE. UU. En 2001 para el cifrado de datos electrónicos anunciado en FIPS PUB 197 de EE. UU. Este estándar reemplaza al DES, que había estado en uso desde 1977. Según el NIST, el cifrado AES tiene un tamaño de bloque de 128 bits, pero puede tener tres longitudes de clave diferentes como se muestra con AES-128, AES-192 y AES-256.
¿Para qué se usa el cifrado simétrico?
Mientras El cifrado simétrico es un método de cifrado más antiguo, es más rápido y más eficiente que el cifrado asimétrico, lo que afecta a las redes debido a problemas de rendimiento con el tamaño de los datos y el uso intensivo de la CPU. Debido al mejor rendimiento y la velocidad más rápida del cifrado simétrico (en comparación con el asimétrico), la criptografía simétrica se utiliza normalmente para el cifrado masivo / cifrado de grandes cantidades de datos, p. para el cifrado de la base de datos. En el caso de una base de datos, es posible que la clave secreta solo esté disponible para que la propia base de datos cifre o descifre.
Algunos ejemplos de dónde se utiliza la criptografía simétrica son:
-
Aplicaciones de pago, como transacciones con tarjeta en las que la PII debe protegerse para evitar el robo de identidad o los cargos fraudulentos
-
Validaciones para confirmar que el remitente de un mensaje es quien afirma para ser
-
Generación de números aleatorios o hash
Gestión de claves para cifrado simétrico: lo que debemos tener en cuenta
Desafortunadamente, el cifrado simétrico tiene sus propios inconvenientes.Su punto más débil son sus aspectos de gestión de claves, que incluyen:
Agotamiento de claves
El cifrado simétrico sufre un comportamiento en el que cada uso de una clave ‘filtra’ información que potencialmente puede ser utilizada por un atacante para reconstruir la clave. Las defensas contra este comportamiento incluyen el uso de una jerarquía de claves para garantizar que las claves maestras o de cifrado de claves no se utilicen en exceso y la rotación adecuada de claves que cifran volúmenes de datos. Para ser manejables, estas dos soluciones requieren estrategias de administración de claves competentes, ya que si (por ejemplo) una clave de cifrado retirada no se puede recuperar, los datos se pierden potencialmente.
Datos de atribución
A diferencia de los datos asimétricos Certificados (de clave pública), las claves simétricas no tienen metadatos incrustados para registrar información como la fecha de vencimiento o una Lista de control de acceso para indicar el uso que se le puede dar a la clave, por ejemplo, para Cifrar pero no para descifrar.
Este último problema se aborda de alguna manera con estándares como ANSI X9-31, donde una clave puede vincularse a información que prescribe su uso. Pero para tener un control total sobre para qué se puede usar una clave y cuándo se puede usar, se requiere un sistema de administración de claves.
Administración de claves a gran escala
Donde solo unas pocas Las claves están involucradas en un esquema (decenas a cientos), la sobrecarga de administración es modesta y puede manejarse mediante actividad humana manual. Sin embargo, con una propiedad grande, rastrear el vencimiento y organizar la rotación de claves rápidamente se vuelve poco práctico.
Considere la implementación de una tarjeta de pago EMV: millones de tarjetas multiplicadas por varias claves por tarjeta requiere una provisión y una clave dedicadas -sistema de gestión.
Conclusión
Mantener sistemas de cifrado simétrico a gran escala es una tarea muy desafiante. Esto es especialmente cierto cuando queremos lograr seguridad y auditabilidad de nivel bancario cuando la arquitectura corporativa y / o de TI está descentralizada / distribuida geográficamente.
Para hacer esto correctamente, se recomienda utilizar un software especial para mantener el ciclo de vida adecuado para cada clave creada. En casos de inscripción masiva de claves, es realmente imposible realizar la administración de claves manualmente. Necesitamos un software especializado de gestión del ciclo de vida de las claves para ello.
Se espera que la computación cuántica se materialice en los próximos 5 a 10 años. Ya hoy en día, NIST aconseja reemplazar el algoritmo 3DES ampliamente utilizado por algoritmos que consideramos más seguros, basados en el conocimiento actual.
Sin saber qué progreso en la tecnología y, por lo tanto, en la evolución pueden ser los algoritmos de descifrado maliciosos, Recomendamos encarecidamente a los bancos que migren a una configuración cripto-ágil. Esta configuración permitirá reemplazar rápidamente los algoritmos, cuando se detecten debilidades, con algoritmos que se consideren más seguros. Las decisiones de inversión y arquitectura deben tomarse ahora, para evitar daños importantes en los próximos años.
Referencias y lecturas adicionales
- Guía del comprador para elegir un sistema de administración de claves criptográficas – Parte 1: ¿Qué es un sistema de administración de claves? (2018) , por Rob Stubbs
- Guía del comprador para elegir un sistema de administración de claves criptográficas; Parte 2: El requisito de un sistema de administración de claves (2018), por Rob Stubbs
- Guía del comprador para elegir un sistema de administración de claves criptográficas – Parte 3: Elegir el sistema de administración de claves correcto (2018), por Rob Stubbs
-
NIST SP800-57 Parte 1 Revisión 4: Una recomendación para la administración de claves (2016) por Elaine Barker
-
Artículos seleccionados sobre gestión de claves (2012-hoy) de Ashiq JA, Dawn M. Turner, Guillaume Forget, James H. Reinholm, Peter Landrock, Peter Smirnoff, Rob Stubbs, Stefan Hansen y más
-
Hoja de producto CKMS (2016), de Cryptomathic