Nykypäivän kybermaailmassa on jatkuvasti olemassa lupa käyttää kaikenlaista dataa luvattomasti. Suurin riski on rahoitus- ja maksujärjestelmätiedoille, jotka voivat paljastaa asiakkaiden ja asiakkaiden henkilökohtaiset tunnistetiedot tai maksukorttitiedot. Salaus on elintärkeää henkilötietojen suojaamiseksi ja maksutapahtumien tekevien yritysten riskien lieventämiseksi joka päivä joka päivä.
Tässä artikkelissa puhumme symmetrisestä salauksesta pankkitoiminnassa, sen eduista ja joistakin haasteista avaimet.
Mikä on symmetrinen salaus?
Symmetrinen salaus on salaustyyppi, jossa vain yhtä avainta (salainen avain) käytetään sekä sähköisten tietojen salaamiseen että salauksen purkamiseen. Symmetrisen salauksen kautta kommunikoivien yksiköiden on vaihdettava avain, jotta sitä voidaan käyttää salauksen purkuprosessissa. Tämä salausmenetelmä eroaa epäsymmetrisestä salauksesta, jossa avainten paria, yhtä julkista ja yhtä yksityistä, käytetään viestien salaamiseen ja salauksen purkamiseen.
Symmetrisiä salausalgoritmeja käyttämällä data muunnetaan muotoon, jota ei voida ymmärtää kuka tahansa, jolla ei ole salaista avainta sen salauksen purkamiseen. Kun avaimen haltijalla vastaanottajalla on viesti, algoritmi muuttaa toimintaansa niin, että viesti palautetaan alkuperäiseen ja ymmärrettävään muotoonsa. Salainen avain, jota sekä lähettäjä että vastaanottaja käyttävät, voi olla tietty salasana / koodi tai se voi olla satunnainen merkkijono kirjaimia tai numeroita, jotka on luonut suojattu satunnaislukugeneraattori (RNG). Pankkitason salausta varten symmetriset avaimet on luotava käyttämällä alan standardien, kuten FIPS 140-2 -sertifioitua RNG: tä.
Symmetrisiä salausalgoritmeja on kahta tyyppiä:
-
Estä algoritmit. Asetetut bittien pituudet salataan elektronisen tiedon lohkoina käyttämällä tiettyä salaista avainta. Kun tietoja salataan, järjestelmä pitää tiedot muistissaan odottaessaan täydellisiä lohkoja.
-
Suoratoistoalgoritmit. Tiedot salataan virtana sen sijaan, että ne säilyttäisivät järjestelmän muistissa.
Joitakin esimerkkejä symmetrisistä salausalgoritmeista ovat:
-
AES (Advanced Encryption Standard)
-
DES (Data Encryption Standard)
-
IDEA (kansainvälinen tietojen salausalgoritmi)
-
Blowfish (Drop-in-korvike DES: lle tai IDEA: lle)
-
RC4 (Rivest Cipher 4)
-
RC5 (Rivest Cipher 5)
-
RC6 (Rivest Cipher 6)
AES, DES, IDEA, Blowfish, RC5 ja RC6 ovat salakirjoituksia. RC4 on virran salaus.
DES
”Nykyaikaisessa” tietojenkäsittelyssä DES oli ensimmäinen standardoitu salaus sähköisen viestinnän turvaamiseksi, ja sitä käytetään muunnelmina (esim. 2-avain tai 3- Alkuperäistä DES: ää ei enää käytetä, koska sitä pidetään liian ”heikkona” nykyaikaisten tietokoneiden prosessointitehon vuoksi. NIST ja PCI DSS 3.2 eivät suosittele edes 3DES: ää, kuten kaikkia 64-bittisiä salauksia. 3DES: ää käytetään kuitenkin edelleen laajalti EMV-sirukorteissa.
AES
Yleisimmin käytetty symmetrinen algoritmi on Advanced Encryption Standard (AES), joka alun perin tunnettiin nimellä Rijndael. Tämä on Yhdysvaltain kansallisen standardi- ja teknologiainstituutin vuonna 2001 asettama standardi Yhdysvaltojen FIPS PUB 197 -ohjelmassa ilmoitetun sähköisen tiedon salaukselle. Tämä standardi korvaa DES: n, joka oli ollut käytössä vuodesta 1977. NIST: n alla AES-salakirjalla on lohkon koko on 128 bittiä, mutta sillä voi olla kolme erilaista avaimen pituutta kuten AES-128, AES-192 ja AES-256.
Mihin symmetristä salausta käytetään?
Vaikka symmetrinen salaus on vanhempi salausmenetelmä, se on nopeampi ja tehokkaampi kuin epäsymmetrinen salaus, joka vie veron verkoista johtuen suorituskykyongelmista datan koon ja raskaan suorittimen käytön suhteen. Paremman suorituskyvyn ja nopeamman symmetrisen salauksen nopeuden vuoksi (verrattuna epäsymmetriseen) symmetristä salausta käytetään tyypillisesti joukkosalaukseen / suurten tietomäärien salaamiseen, esim. tietokannan salausta varten. Tietokannan tapauksessa salainen avain voi olla tietokannan itsensä käytettävissä vain salaamiseen tai salauksen purkamiseen.
Joitakin esimerkkejä symmetrisen salauksen käytöstä ovat:
-
Maksusovellukset, kuten korttitapahtumat, joissa henkilötiedot on suojattava henkilöllisyysvarkauksien tai vilpillisten maksujen estämiseksi
-
Vahvistukset sen varmistamiseksi, että viestin lähettäjä on se, jonka hän väittää olla
-
Satunnaislukujen generointi tai hajautus
Symmetrisen salauksen avaimen hallinta – mitä meidän on otettava huomioon
Valitettavasti symmetrisellä salauksella on omat haittansa.Sen heikoin kohta on avaimen hallinnan näkökohdat, mukaan lukien:
Avaimen tyhjentäminen
Symmetrinen salaus kärsii käyttäytymisestä, jossa jokainen avaimen käyttö ”vuotaa” tietoa, jota mahdollisesti voivat käyttää hyökkääjä rekonstruoimaan avaimen. Tämän käyttäytymisen torjuntaan kuuluu avainhierarkian käyttäminen sen varmistamiseksi, että pää- tai avainsalausavaimia ei käytetä liikaa, ja avainten oikea kierto, joka salaa tietomääriä. Ollakseen hallittavissa, molemmat ratkaisut edellyttävät päteviä avaimenhallintastrategioita ikään kuin (esimerkiksi) vanhentunutta salausavainta ei voida palauttaa, tiedot menetetään.
Nimeystiedot
Toisin kuin epäsymmetriset (julkinen avain) Varmenteissa, symmetrisissä avaimissa ei ole upotettuja metatietoja tietojen, kuten viimeisen käyttöpäivän tai kulunvalvontaluettelon, tallentamiseen osoittamaan, että avain voidaan käyttää – salata, mutta ei purkaa esimerkiksi.
Viimeksi mainittua ongelmaa käsitellään jonkin verran sellaisissa standardeissa kuin ANSI X9-31, jossa avain voidaan sitoa sen käyttöä määräävään tietoon. Mutta avaimen hallintajärjestelmää tarvitaan täysin hallita, mihin avainta voidaan käyttää ja milloin sitä voidaan käyttää.
Avainten hallinta suuressa mittakaavassa
Missä vain muutama avaimet ovat mukana järjestelmässä (kymmenistä pieniin satoihin), hallinnon yleiskustannukset ovat vaatimattomat ja ne voidaan hoitaa manuaalisen ihmisen toiminnan kautta. Suurella tilalla vanhenemisen seuraaminen ja avainten rotaation järjestäminen muuttuu nopeasti epäkäytännölliseksi.
Harkitse EMV-maksukortin käyttöönottoa: miljoonat kortit kerrottuna useilla avaimilla korttia kohti edellyttävät erillistä varausta ja avainta. -hallintajärjestelmä.
Päätelmä
Laajamittaisten symmetristen salausjärjestelmien ylläpito on erittäin haastava tehtävä. Tämä pätee erityisesti silloin, kun haluamme saavuttaa pankkitason turvallisuuden ja tarkastettavuuden, kun yritys- ja / tai IT-arkkitehtuuri on hajautettu / maantieteellisesti hajautettu.
Tämän suorittamiseksi on suositeltavaa käyttää erityisiä ohjelmistoja ylläpitämään jokaisen luodun avaimen oikea elinkaari. Tapauksissa, joissa avain on merkittävä, avainten hallintaa on todella mahdotonta suorittaa manuaalisesti. Tarvitsemme siihen erikoistuneita keskeisiä elinkaaren hallintaohjelmistoja.
Kvanttilaskennan odotetaan toteutuvan seuraavien 5–10 vuoden aikana. Jo tänään NIST neuvoo korvaamaan laajalti käytetyn 3DES-algoritmin algoritmeilla, joita pidämme nykypäivän tietoon perustuen säästävämpinä.
Tietämättä tekniikan ja siten evoluution haittaohjelmien salauksenpurkualgoritmit voivat olla, suosittelemme vahvasti pankkeja siirtymään salauksen ketterään kokoonpanoon. Tällainen kokoonpano antaa mahdollisuuden korvata algoritmit nopeasti, kun heikkouksia havaitaan, turvallisemmiksi pidetyillä algoritmeilla. Sijoitus- ja arkkitehtuuripäätökset on tehtävä nyt, jotta vältetään suuria vahinkoja tulevina vuosina.
Viitteet ja lisälukemista
- Ostajan opas salausavaimen hallintajärjestelmän valitsemiseen – osa 1: Mikä on avaimenhallintajärjestelmä (2018) , kirjoittanut Rob Stubbs
- Ostajan opas salausavainten hallintajärjestelmän valitsemiseen; Osa 2: Vaatimus avainhallintajärjestelmästä (2018), kirjoittanut Rob Stubbs
- Ostajan opas salausavainten hallintajärjestelmän valitsemiseen – osa 3: Oikean avaimenhallintajärjestelmän valinta (2018), kirjoittanut Rob Stubbs
-
NIST SP800-57, osa 1, versio 4: Suositus avaimen hallintaan (2016), kirjoittanut Elaine Barker
-
Ashiq JA: n, Dawn M. Turnerin, Guillaume Forgetin, James H. Reinholmin, Peter Landrockin, Peter Smirnoffin, Rob Stubbsin, Stefan Hansenin ja muiden valittujen avainten hallintaa käsittelevien artikkelien (2012-tänään)
-
CKMS-tuotesivu (2016), kirjoittanut Cryptomathic