Crittografia a chiave simmetrica: perché, dove e come viene utilizzata nel settore bancario

Nel mondo cibernetico di oggi esiste un rischio sempre presente di accesso non autorizzato a tutte le forme di dati. I più a rischio sono i dati finanziari e dei sistemi di pagamento che possono esporre le informazioni di identificazione personale (PII) o i dettagli delle carte di pagamento di clienti e clienti. La crittografia è fondamentale per proteggere le PII e mitigare i rischi che le aziende che conducono transazioni di pagamento affrontano ogni minuto di ogni giorno.

In questo articolo parleremo della crittografia simmetrica nel settore bancario, dei suoi vantaggi e di alcune sfide nella gestione del chiavi.

Che cos’è la crittografia simmetrica?

La crittografia simmetrica è un tipo di crittografia in cui viene utilizzata solo una chiave (una chiave segreta) per crittografare e decrittografare le informazioni elettroniche. Le entità che comunicano tramite crittografia simmetrica devono scambiare la chiave in modo che possa essere utilizzata nel processo di decrittografia. Questo metodo di crittografia differisce dalla crittografia asimmetrica in cui una coppia di chiavi, una pubblica e una privata, viene utilizzata per crittografare e decrittografare i messaggi.

Utilizzando algoritmi di crittografia simmetrica, i dati vengono convertiti in una forma che non può essere compresa da chiunque non possieda la chiave segreta per decrittarlo. Una volta che il destinatario previsto che possiede la chiave ha il messaggio, l’algoritmo inverte la sua azione in modo che il messaggio venga restituito alla sua forma originale e comprensibile. La chiave segreta che il mittente e il destinatario utilizzano entrambi potrebbe essere una password / codice specifico oppure può essere una stringa casuale di lettere o numeri che sono stati generati da un generatore di numeri casuali sicuro (RNG). Per la crittografia di livello bancario, le chiavi simmetriche devono essere create utilizzando un RNG certificato secondo gli standard di settore, come FIPS 140-2.

Esistono due tipi di algoritmi di crittografia simmetrica:

  1. Algoritmi di blocco. Le lunghezze dei bit impostate vengono crittografate in blocchi di dati elettronici con l’uso di una chiave segreta specifica. Mentre i dati vengono crittografati, il sistema conserva i dati nella sua memoria mentre attende blocchi completi.

  2. Algoritmi di flusso. I dati vengono crittografati durante lo streaming anziché essere conservati nella memoria del sistema.

Alcuni esempi di algoritmi di crittografia simmetrica includono:

  • AES (Advanced Encryption Standard)

  • DES (Data Encryption Standard)

  • IDEA (International Data Encryption Algorithm)

  • Blowfish (sostituto drop-in per DES o IDEA)

  • RC4 (Rivest Cipher 4)

  • RC5 (Rivest Cipher 5)

  • RC6 (Rivest Cipher 6)

AES, DES, IDEA, Blowfish, RC5 e RC6 sono cifrari a blocchi. RC4 è un cifrario a flusso.

DES

Nell’informatica “moderna”, DES è stato il primo cifrario standardizzato per proteggere le comunicazioni elettroniche, ed è usato in varianti (ad es. 2-chiave o 3- key 3DES) Il DES originale non viene più utilizzato in quanto considerato troppo “debole”, a causa della potenza di elaborazione dei computer moderni. Anche 3DES non è raccomandato da NIST e PCI DSS 3.2, proprio come tutti i cifrari a 64 bit. Tuttavia, 3DES è ancora ampiamente utilizzato nelle chip card EMV.

AES

L’algoritmo simmetrico più comunemente usato è l’Advanced Encryption Standard (AES), originariamente noto come Rijndael. Questo è lo standard stabilito dal National Institute of Standards and Technology degli Stati Uniti nel 2001 per la crittografia dei dati elettronici annunciato nel US FIPS PUB 197. Questo standard sostituisce DES, che era in uso dal 1977. Sotto NIST, il cifrario AES ha un dimensione del blocco di 128 bit, ma può avere tre diverse lunghezze di chiave come mostrato con AES-128, AES-192 e AES-256.

Per cosa viene utilizzata la crittografia simmetrica?

Mentre La crittografia simmetrica è un metodo di crittografia meno recente, è più veloce ed efficiente della crittografia asimmetrica, che ha un impatto sulle reti a causa di problemi di prestazioni con le dimensioni dei dati e l’uso intenso della CPU. A causa delle migliori prestazioni e della maggiore velocità della crittografia simmetrica (rispetto a quella asimmetrica), la crittografia simmetrica viene generalmente utilizzata per la crittografia in blocco / crittografia di grandi quantità di dati, ad es. per la crittografia del database. Nel caso di un database, la chiave segreta potrebbe essere disponibile solo per il database stesso per crittografare o decrittografare.

Alcuni esempi di utilizzo della crittografia simmetrica sono:

  • Applicazioni di pagamento, come le transazioni con carta in cui le informazioni personali devono essere protette per prevenire il furto di identità o addebiti fraudolenti

  • Convalide per confermare che il mittente di un messaggio è chi sostiene essere

  • Generazione o hashing di numeri casuali

Gestione delle chiavi per la crittografia simmetrica: cosa dobbiamo considerare

Sfortunatamente, la crittografia simmetrica presenta i suoi svantaggi.Il suo punto debole sono i suoi aspetti della gestione delle chiavi, tra cui:

Esaurimento della chiave

La crittografia simmetrica soffre di un comportamento in cui ogni utilizzo di una chiave “perde” alcune informazioni che possono essere potenzialmente utilizzate da un aggressore per ricostruire la chiave. Le difese contro questo comportamento includono l’utilizzo di una gerarchia di chiavi per garantire che le chiavi master o di crittografia a chiave non vengano utilizzate in modo eccessivo e la rotazione appropriata delle chiavi che crittografa i volumi di dati. Per essere trattabili, entrambe queste soluzioni richiedono strategie di gestione delle chiavi competenti come se (ad esempio) una chiave di crittografia ritirata non potesse essere recuperata, i dati potrebbero essere persi.

Dati di attribuzione

A differenza di asimmetrico (chiave pubblica) I certificati e le chiavi simmetriche non hanno metadati incorporati per registrare informazioni come la data di scadenza o un elenco di controllo degli accessi per indicare l’uso a cui può essere assegnata la chiave – per crittografare ma non per decrittografare, ad esempio.

Quest’ultimo problema è in qualche modo affrontato da standard come ANSI X9-31 in cui una chiave può essere associata alle informazioni che ne prescrivono l’utilizzo. Ma per il controllo completo su cosa può essere utilizzata una chiave e quando può essere utilizzata, è necessario un sistema di gestione delle chiavi.

Gestione delle chiavi su larga scala

Dove solo pochi le chiavi sono coinvolte in uno schema (da decine a poche centinaia), l’overhead di gestione è modesto e può essere gestito attraverso un’attività manuale e umana. Tuttavia, con un ampio patrimonio, tenere traccia della scadenza e organizzare la rotazione delle chiavi diventa rapidamente poco pratico.

Considera l’implementazione di una carta di pagamento EMV: milioni di carte moltiplicate per diverse chiavi per carta richiedono una fornitura e una chiave dedicate -sistema di gestione.

Conclusione

Mantenere sistemi di crittografia simmetrica su larga scala è un compito molto impegnativo. Ciò è particolarmente vero quando si desidera ottenere sicurezza e verificabilità di livello bancario quando l’architettura aziendale e / o IT è decentralizzata / distribuita geograficamente.

Per fare ciò correttamente, si consiglia di utilizzare un software speciale per mantenere il corretto ciclo di vita per ogni chiave creata. In casi di registrazione massiccia delle chiavi, è davvero impossibile condurre manualmente la gestione delle chiavi. Abbiamo bisogno di un software chiave specializzato per la gestione del ciclo di vita.

Si prevede che il quantum computing si concretizzerà entro i prossimi 5-10 anni. Già oggi, il NIST consiglia di sostituire l’algoritmo 3DES ampiamente utilizzato con algoritmi che consideriamo più sicuri, sulla base delle conoscenze odierne.
Non sapendo quali progressi nella tecnologia e quindi nell’evoluzione possano essere gli algoritmi di decrittazione dannosi, consigliamo vivamente alle banche di migrare verso una configurazione cripto-agile. Tale configurazione consentirà di sostituire rapidamente gli algoritmi, quando vengono rilevati punti deboli, con algoritmi considerati più sicuri. Le decisioni di investimento e architettura devono essere prese ora, per evitare gravi danni nei prossimi anni.

Riferimenti e ulteriori letture

  • Guida dell’acquirente alla scelta di un sistema di gestione delle chiavi crittografiche – Parte 1: Cos’è un sistema di gestione delle chiavi (2018) , di Rob Stubbs
  • Guida dell’acquirente alla scelta di un sistema di gestione delle chiavi crittografiche; Parte 2: Il requisito per un sistema di gestione delle chiavi (2018), di Rob Stubbs
  • Guida dell’acquirente alla scelta di un sistema di gestione delle chiavi crittografiche – Parte 3: Scelta del sistema di gestione delle chiavi giusto (2018), di Rob Stubbs

  • NIST SP800-57 Parte 1 Revisione 4: Una raccomandazione per la gestione delle chiavi (2016) di Elaine Barker

  • Articoli selezionati sulla gestione delle chiavi (2012-oggi) di Ashiq JA, Dawn M. Turner, Guillaume Forget, James H. Reinholm, Peter Landrock, Peter Smirnoff, Rob Stubbs, Stefan Hansen e altri

  • Scheda prodotto CKMS (2016), di Cryptomathic

Leave a Reply

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *