Chiffrement à clé symétrique – pourquoi, où et comment il est utilisé dans le secteur bancaire

Dans le cyber-monde d’aujourd’hui, le risque d’accès non autorisé à toutes les formes de données est toujours présent. Les données financières et du système de paiement qui peuvent exposer les informations d’identification personnelle (PII) ou les détails de la carte de paiement des clients et des clients sont les plus exposées. Le chiffrement est crucial pour protéger les informations personnelles et atténuer les risques auxquels les entreprises qui effectuent des transactions de paiement sont confrontées chaque minute de chaque jour.

Dans cet article, nous parlerons du chiffrement symétrique dans le secteur bancaire, de ses avantages et de certains défis de la gestion du

Qu’est-ce que le cryptage symétrique?

Le cryptage symétrique est un type de cryptage où une seule clé (une clé secrète) est utilisée à la fois pour crypter et décrypter les informations électroniques. Les entités communiquant via un cryptage symétrique doivent échanger la clé afin qu’elle puisse être utilisée dans le processus de décryptage. Cette méthode de chiffrement diffère du chiffrement asymétrique où une paire de clés, une publique et une privée, est utilisée pour chiffrer et déchiffrer les messages.

En utilisant des algorithmes de chiffrement symétriques, les données sont converties sous une forme incompréhensible par quiconque ne possède pas la clé secrète pour la déchiffrer. Une fois que le destinataire prévu qui possède la clé a reçu le message, l’algorithme annule son action afin que le message soit renvoyé dans sa forme originale et compréhensible. La clé secrète que l’expéditeur et le destinataire utilisent tous les deux peut être un mot de passe / code spécifique ou une chaîne aléatoire de lettres ou de chiffres qui ont été générées par un générateur de nombres aléatoires sécurisé (RNG). Pour un chiffrement de niveau bancaire, les clés symétriques doivent être créées à l’aide d’un RNG certifié selon les normes de l’industrie, telles que FIPS 140-2.

Il existe deux types d’algorithmes de chiffrement symétriques:

  1. Algorithmes de blocage. Des longueurs définies de bits sont cryptées dans des blocs de données électroniques à l’aide d’une clé secrète spécifique. Au fur et à mesure que les données sont chiffrées, le système conserve les données dans sa mémoire pendant qu’il attend des blocs complets.

  2. Algorithmes de flux. Les données sont cryptées lors de leur diffusion au lieu d’être conservées dans la mémoire du système.

Voici quelques exemples d’algorithmes de cryptage symétrique:

  • AES (Advanced Encryption Standard)

  • DES (Data Encryption Standard)

  • IDEA (International Data Encryption Algorithm)

  • Blowfish (remplacement de DES ou IDEA)

  • RC4 (Rivest Cipher 4)

  • RC5 (Chiffre Rivest 5)

  • RC6 (Chiffre Rivest 6)

AES, DES, IDEA, Blowfish, RC5 et RC6 sont des chiffrements par blocs. RC4 est le chiffrement de flux.

DES

Dans l’informatique «moderne», DES a été le premier chiffrement normalisé pour sécuriser les communications électroniques, et est utilisé dans des variantes (par exemple, 2 clés ou 3 clé 3DES) .Le DES d’origine n’est plus utilisé car il est considéré comme trop « faible », en raison de la puissance de traitement des ordinateurs modernes. Même 3DES n’est pas recommandé par NIST et PCI DSS 3.2, comme tous les chiffrements 64 bits. Cependant, 3DES est encore largement utilisé dans les cartes à puce EMV.

AES

L’algorithme symétrique le plus couramment utilisé est le standard de chiffrement avancé (AES), qui était à l’origine connu sous le nom de Rijndael. Il s’agit de la norme établie par le National Institute of Standards and Technology des États-Unis en 2001 pour le cryptage des données électroniques annoncée dans US FIPS PUB 197. Cette norme remplace DES, qui était utilisée depuis 1977. Sous le NIST, le chiffrement AES a un taille de bloc de 128 bits, mais peut avoir trois longueurs de clé différentes comme indiqué avec AES-128, AES-192 et AES-256.

À quoi sert le cryptage symétrique?

Bien le cryptage symétrique est une méthode de cryptage plus ancienne, il est plus rapide et plus efficace que le cryptage asymétrique, qui pèse lourdement sur les réseaux en raison de problèmes de performances liés à la taille des données et à une utilisation intensive du processeur. En raison des meilleures performances et de la vitesse plus rapide du cryptage symétrique (par rapport à l’asymétrique), la cryptographie symétrique est généralement utilisée pour le cryptage en masse / le cryptage de grandes quantités de données, par ex. pour le cryptage de la base de données. Dans le cas d’une base de données, la clé secrète peut être uniquement disponible pour la base de données elle-même pour crypter ou décrypter.

Voici quelques exemples d’utilisation de la cryptographie symétrique:

  • Applications de paiement, telles que les transactions par carte, où les informations personnelles doivent être protégées pour éviter le vol d’identité ou les frais frauduleux

  • Validation pour confirmer que l’expéditeur d’un message est bien celui qu’il prétend être

  • Génération ou hachage de nombres aléatoires

Gestion des clés pour le chiffrement symétrique – ce dont nous devons tenir compte

Malheureusement, le cryptage symétrique a ses propres inconvénients.Son point le plus faible est ses aspects de gestion des clés, notamment:

Épuisement des clés

Le chiffrement symétrique souffre d’un comportement où chaque utilisation d’une clé «  fuit  » des informations qui peuvent potentiellement être utilisées par un attaquant pour reconstruire la clé. Les défenses contre ce comportement incluent l’utilisation d’une hiérarchie de clés pour garantir que les clés principales ou de chiffrement de clés ne sont pas surutilisées et la rotation appropriée des clés qui chiffrent les volumes de données. Pour être traitables, ces deux solutions nécessitent des stratégies de gestion de clés compétentes, car si (par exemple) une clé de chiffrement retirée ne peut pas être récupérée, les données sont potentiellement perdues.

Données d’attribution

Contrairement à l’asymétrie (clé publique) Les certificats, les clés symétriques n’ont pas de métadonnées intégrées pour enregistrer des informations telles que la date d’expiration ou une liste de contrôle d’accès pour indiquer l’usage auquel la clé peut être faite – pour chiffrer mais pas déchiffrer par exemple.

Ce dernier problème est quelque peu résolu par des normes telles que ANSI X9-31 où une clé peut être liée à des informations prescrivant son utilisation. Mais pour un contrôle total sur ce à quoi une clé peut être utilisée et quand elle peut être utilisée, un système de gestion des clés est nécessaire.

Gestion des clés à grande échelle

Là où seulement quelques les clés sont impliquées dans un schéma (des dizaines à des centaines), les frais généraux de gestion sont modestes et peuvent être gérés par une activité manuelle et humaine. Cependant, avec un grand parc, suivre l’expiration et organiser la rotation des clés devient rapidement peu pratique.

Envisagez le déploiement d’une carte de paiement EMV: des millions de cartes multipliées par plusieurs clés par carte nécessitent une disposition et une clé dédiées -management.

Conclusion

Le maintien de systèmes de cryptage symétrique à grande échelle est une tâche très difficile. Cela est particulièrement vrai lorsque nous voulons atteindre une sécurité et une auditabilité de niveau bancaire lorsque l’architecture d’entreprise et / ou informatique est décentralisée / répartie géographiquement.

Pour faire cela correctement, il est recommandé d’utiliser un logiciel spécial pour maintenir le cycle de vie approprié pour chaque clé créée. Dans les cas d’inscription massive de clés, il est vraiment impossible de gérer manuellement les clés. Nous avons besoin d’un logiciel spécialisé de gestion du cycle de vie clé pour cela.

L’informatique quantique devrait se concrétiser dans les 5 à 10 prochaines années. Déjà aujourd’hui, le NIST conseille de remplacer l’algorithme 3DES largement utilisé par des algorithmes que nous considérons plus économes, basés sur les connaissances d’aujourd’hui.
Ne sachant pas quels progrès de la technologie et donc de l’évolution des algorithmes de décryptage malveillants peuvent être, nous conseillons vivement aux banques de migrer vers une configuration crypto-agile. Une telle configuration permettra de remplacer rapidement les algorithmes, lorsque des faiblesses sont détectées, par des algorithmes jugés plus sécurisés. Des décisions d’investissement et d’architecture doivent être prises maintenant, pour éviter dommages majeurs dans les années à venir.

Références et lectures complémentaires

  • Guide de l’acheteur pour choisir un système de gestion de clés cryptographiques – Partie 1: Qu’est-ce qu’un système de gestion de clés (2018) , par Rob Stubbs
  • Guide de l’acheteur sur le choix d’un système de gestion de clés cryptographiques; Partie 2: L’exigence d’un système de gestion de clés (2018), par Rob Stubbs
  • Guide de l’acheteur pour choisir un système de gestion de clés cryptographiques – Partie 3: Choisir le bon système de gestion de clés (2018), par Rob Stubbs

  • NIST SP800-57 Partie 1 Révision 4: Une recommandation pour la gestion des clés (2016) par Elaine Barker

  • Sélection d’articles sur la gestion des clés (2012-aujourd’hui) par Ashiq JA, Dawn M. Turner, Guillaume Forget, James H. Reinholm, Peter Landrock, Peter Smirnoff, Rob Stubbs, Stefan Hansen et plus

  • Fiche produit CKMS (2016), par Cryptomathic

Leave a Reply

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *