A mai kibervilágban mindig fennáll annak a veszélye, hogy az adatok minden formájához illetéktelenül férnek hozzá. A legnagyobb veszélyt a pénzügyi és fizetési rendszer adatai jelentik, amelyek felfedhetik az ügyfelek és ügyfelek személyazonosító adatait (PII) vagy fizetési kártyájának adatait. A titkosítás kulcsfontosságú a személyazonosításra alkalmas adatok védelme és a fizetési tranzakciókat lebonyolító vállalkozások kockázatainak mérséklése érdekében minden nap minden percében.
Ebben a cikkben a szimmetrikus banki titkosításról, annak előnyeiről és néhány problémájáról fogunk beszélni. kulcsok.
Mi a szimmetrikus titkosítás?
A szimmetrikus titkosítás olyan típusú titkosítás, ahol az elektronikus információk titkosításához és visszafejtéséhez csak egy kulcsot (titkos kulcsot) használnak. A szimmetrikus titkosítással kommunikáló entitásoknak meg kell cserélniük a kulcsot, hogy az felhasználható legyen a visszafejtési folyamatban. Ez a titkosítási módszer különbözik az aszimmetrikus titkosítástól, ahol egy pár kulcsot, egy nyilvános és egy privát, használnak az üzenetek titkosításához és visszafejtéséhez.
A szimmetrikus titkosítási algoritmusok használatával az adatok átalakíthatók olyan formába, amely nem érthető bárki, aki nem rendelkezik a titkos kulccsal annak visszafejtésére. Amint a kulcsot birtokló címzett megkapja az üzenetet, az algoritmus megfordítja a műveletet úgy, hogy az üzenet visszatérjen eredeti és érthető formájához. A titkos kulcs, amelyet a feladó és a címzett egyaránt használ, lehet egy speciális jelszó / kód, vagy lehet véletlenszerű betű- vagy számhúr, amelyet egy biztonságos véletlenszám-generátor (RNG) generált. Banki szintű titkosításhoz a szimmetrikus kulcsokat RNG-vel kell létrehozni, amelyet az ipari szabványok, például a FIPS 140-2 tanúsítvánnyal tanúsítottak.
A szimmetrikus titkosítási algoritmusoknak két típusa van:
-
Blokkoló algoritmusok. A meghatározott bithosszakat egy titkos kulcs használatával elektronikus adatblokkokban titkosítják. Az adatok titkosításakor a rendszer az adatokat a memóriájában tárolja, miközben a teljes blokkokra vár.
-
Adatfolyam algoritmusok. Az adatokat az áramlás során titkosítják, ahelyett, hogy megtartanák őket a rendszer memóriájában.
A szimmetrikus titkosítási algoritmusok néhány példája:
-
AES (Advanced Encryption Standard)
-
DES (Data Encryption Standard)
-
IDEA (Nemzetközi Adattitkosítási Algoritmus)
-
Blowfish (a DES vagy az IDEA cseréje)
-
RC4 (Rivest Cipher 4)
-
RC5 (Rivest Cipher 5)
-
RC6 (Rivest Cipher 6)
AES, A DES, az IDEA, a Blowfish, az RC5 és az RC6 blokkos titkosítás. Az RC4 adatfolyam titkosítás.
DES
A “modern” számítástechnikában a DES volt az első szabványosított rejtjel az elektronikus kommunikáció biztonságára, és változatokban használják (pl. 2-kulcsos vagy 3- Az eredeti DES-t már nem használják, mivel a modern számítógépek feldolgozási teljesítménye miatt túl “gyengének” tartják. Még a 3DES-t sem javasolja a NIST és a PCI DSS 3.2, csakúgy, mint az összes 64 bites titkosítást. A 3DES-t azonban továbbra is széles körben használják az EMV chipkártyákban.
AES
A leggyakrabban használt szimmetrikus algoritmus az Advanced Encryption Standard (AES), amelyet eredetileg Rijndael néven ismertek. Ezt a szabványt az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézete határozta meg 2001-ben az USA FIPS PUB 197-ben bejelentett elektronikus adatok titkosítására. Ez a szabvány felváltja a DES-t, amelyet 1977 óta használnak. A NIST alatt az AES rejtjel rendelkezik blokk mérete 128 bit, de három különböző hosszúságú lehet a kulcs, amint azt az AES-128, AES-192 és AES-256 mutatják.
Mire szolgál a szimmetrikus titkosítás?
Míg a szimmetrikus titkosítás egy régebbi titkosítási módszer, gyorsabb és hatékonyabb, mint az aszimmetrikus titkosítás, amely az adatok méretével és a nagy CPU-használattal járó teljesítményproblémák miatt nagy terhet ró a hálózatokra. A jobb teljesítmény és a szimmetrikus titkosítás gyorsabb sebessége miatt (az aszimmetrikushoz képest) a szimmetrikus titkosítást általában tömeges titkosításhoz / nagy mennyiségű adat titkosításához használják, pl. az adatbázis titkosításához. Adatbázis esetében előfordulhat, hogy a titkos kulcs csak maga az adatbázis számára áll rendelkezésre titkosításhoz vagy visszafejtéshez.
Néhány példa a szimmetrikus kriptográfia használatára:
-
Fizetési alkalmazások, például olyan kártyás tranzakciók, amelyeknél a személyazonosító adatok védelme szükséges a személyazonosság-lopás vagy a csalárd díjak megelőzése érdekében.
-
Ellenőrzések annak megerősítésére, hogy az üzenet küldője az, akit állít
-
Véletlenszerű számgenerálás vagy hash
Kulcskezelés a szimmetrikus titkosításhoz – amit figyelembe kell vennünk
Sajnos a szimmetrikus titkosításnak megvannak a maga hátrányai.A leggyengébb pontja a kulcskezelés szempontjai, beleértve a következőket:
A kulcs kimerültsége
A szimmetrikus titkosítás olyan viselkedéstől szenved, ahol a kulcs minden használata „kiszivárogtat” néhány olyan információt, amelyet potenciálisan felhasználhatnak egy támadó rekonstruálni a kulcsot. Az ilyen viselkedés elleni védekezés magában foglalja a kulcshierarchia használatát annak biztosítására, hogy a fő- vagy kulcs-titkosítási kulcsokat ne használják túlságosan, és a kulcsok megfelelő forgatását, amelyek titkosítják az adatmennyiségeket. Ahhoz, hogy kezelhető legyen, mindkét megoldás kompetens kulcskezelési stratégiákat igényel, mintha (például) egy visszavont titkosítási kulcsot nem lehetne helyreállítani, az adatok elveszhetnek.
Hozzárendelési adatok
Az aszimmetrikusaktól eltérően (nyilvános kulcs) A tanúsítványok, a szimmetrikus kulcsok nem tartalmaznak beágyazott metaadatokat olyan információk rögzítésére, mint például a lejárati dátum vagy a beléptetés-ellenőrzési lista, jelezve, hogy a kulcs felhasználható – a titkosításhoz, de nem a visszafejtéshez.
Ez utóbbi kérdést némiképp olyan szabványok kezelik, mint az ANSI X9-31, ahol egy kulcs a felhasználását előíró információkhoz köthető. De ahhoz, hogy teljes mértékben ellenőrizhessük, mire használható egy kulcs, és mikor használható, kulcskezelő rendszerre van szükség.
Kulcskezelés nagy léptékben
Ahol csak néhány kulcsok részt vesznek egy sémában (tíz-alacsony százak), a menedzsment általános költségei szerények és kézi, emberi tevékenység révén kezelhetők. Nagy birtok esetén azonban a lejárat nyomon követése és a kulcsok forgatásának megszervezése gyorsan kivitelezhetetlenné válik.
Fontolja meg az EMV fizetési kártya telepítését: A kártyák millióinak szorzata kártyánként több kulccsal külön rendelkezést és kulcsot igényel -kezelő rendszer.
Következtetés
A nagyméretű szimmetrikus titkosítási rendszerek fenntartása nagyon kihívást jelent. Ez különösen igaz, ha banki szintű biztonságot és auditálhatóságot akarunk elérni, amikor a vállalati és / vagy informatikai architektúra decentralizált / földrajzi elosztással rendelkezik.
Ennek megfelelő végrehajtása érdekében ajánlott egy speciális szoftver használata az egyes létrehozott kulcsok megfelelő életciklusának fenntartásához. Masszív kulcsfelvétel esetén valóban lehetetlen a kulcskezelést manuálisan végrehajtani. Szükségünk van egy speciális kulcsfontosságú életciklus-kezelő szoftverre.
A kvantumszámítás várhatóan a következő 5-10 évben megvalósul. Ma már a NIST azt tanácsolja, hogy a széles körben használt 3DES algoritmust cseréljék ki olyan algoritmusokra, amelyeket a mai ismeretek alapján megtakarításosabbnak tartunk.
Nem tudni, hogy mi lehet a technológiai fejlődés és ennélfogva a rosszindulatú visszafejtő algoritmusok, határozottan javasoljuk a bankoknak, hogy váltsanak át egy kriptográfiai beállításra. Ez a beállítás lehetővé teszi, hogy a gyengeségek észlelésekor az algoritmusokat a biztonságosabbnak tartott algoritmusokkal gyorsan felválthassák. A beruházás és az architektúra döntéseinek meghozatala most szükséges súlyos károk az elkövetkező években.
Referenciák és további információk
- Vevői útmutató a kriptokulcs-kezelő rendszer kiválasztásához – 1. rész: Mi a kulcskezelő rendszer (2018) , Rob Stubbs
- Vevői útmutató a kriptokulcs-kezelő rendszer kiválasztásához; 2. rész: A kulcskezelő rendszer követelménye (2018), készítette Rob Stubbs
- Vevői útmutató a kriptokulcs-kezelő rendszer kiválasztásához – 3. rész: A megfelelő kulcskezelő rendszer kiválasztása (2018), készítette: Rob Stubbs
-
NIST SP800-57, 1. rész, 4. változat: Ajánlás a kulcs kezeléséhez (2016), írta: Elaine Barker
-
Válogatott cikkek a kulcskezelésről (2012-től napjainkig): Ashiq JA, Dawn M. Turner, Guillaume Forget, James H. Reinholm, Peter Landrock, Peter Smirnoff, Rob Stubbs, Stefan Hansen és még sok más
-
CKMS Product Sheet (2016), készítette: Cryptomathic