오늘날의 사이버 세계에서는 모든 형태의 데이터에 대한 무단 액세스 위험이 항상 존재합니다. 가장 위험에 처한 것은 고객 및 고객의 개인 식별 정보 (PII) 또는 결제 카드 세부 정보를 노출 할 수있는 금융 및 결제 시스템 데이터입니다. 암호화는 PII를 보호하고 결제 거래를 수행하는 기업이 매일 1 분마다 직면하는 위험을 완화하는 데 매우 중요합니다.
이 기사에서는 은행 업무의 대칭 암호화, 장점 및 관리의 몇 가지 과제에 대해 설명합니다. 키.
대칭 암호화 란 무엇입니까?
대칭 암호화는 전자 정보를 암호화하고 해독하는 데 하나의 키 (비밀 키) 만 사용하는 암호화 유형입니다. 대칭 암호화를 통해 통신하는 엔티티는 암호 해독 프로세스에서 사용할 수 있도록 키를 교환해야합니다. 이 암호화 방법은 메시지를 암호화하고 해독하는 데 공용 키와 개인 키 쌍을 사용하는 비대칭 암호화와 다릅니다.
대칭 암호화 알고리즘을 사용하여 데이터를 이해할 수없는 형식으로 변환합니다. 암호를 해독하는 비밀 키가없는 사람 키를 소유 한 의도 된 수신자가 메시지를 받으면 알고리즘은 메시지가 원래의 이해 가능한 형식으로 반환되도록 작업을 되돌립니다. 보낸 사람과받는 사람이 모두 사용하는 비밀 키는 특정 암호 / 코드이거나 보안 난수 생성기 (RNG)에서 생성 한 임의의 문자 또는 숫자 문자열 일 수 있습니다. 은행 등급 암호화의 경우 FIPS 140-2와 같은 업계 표준에 따라 인증 된 RNG를 사용하여 대칭 키를 생성해야합니다.
대칭 암호화 알고리즘에는 두 가지 유형이 있습니다.
-
블록 알고리즘. 설정된 비트 길이는 특정 비밀 키를 사용하여 전자 데이터 블록으로 암호화됩니다. 데이터가 암호화 될 때 시스템은 전체 블록을 기다릴 때 데이터를 메모리에 보관합니다.
-
스트림 알고리즘. 데이터는 시스템 메모리에 보관되지 않고 스트리밍 될 때 암호화됩니다.
대칭 암호화 알고리즘의 몇 가지 예는 다음과 같습니다.
-
AES (고급 암호화 표준)
-
DES (데이터 암호화 표준)
-
IDEA (국제 데이터 암호화 알고리즘)
-
Blowfish (DES 또는 IDEA의 드롭 인 대체)
-
RC4 (Rivest Cipher 4)
-
RC5 (Rivest Cipher 5)
-
RC6 (Rivest Cipher 6)
AES, DES, IDEA, Blowfish, RC5 및 RC6은 블록 암호입니다. RC4는 스트림 암호입니다.
DES
“현대”컴퓨팅에서 DES는 전자 통신 보안을위한 최초의 표준화 된 암호였으며 변형에 사용됩니다 (예 : 2 키 또는 3). 키 3DES). 원래 DES는 현대 컴퓨터의 처리 능력으로 인해 너무 “약한”것으로 간주되므로 더 이상 사용되지 않습니다. 모든 64 비트 암호와 마찬가지로 NIST 및 PCI DSS 3.2에서는 3DES조차 권장하지 않습니다. 그러나 3DES는 여전히 EMV 칩 카드에서 널리 사용됩니다.
AES
가장 일반적으로 사용되는 대칭 알고리즘은 원래 Rijndael로 알려진 고급 암호화 표준 (AES)입니다. 이것은 2001 년 미국 국립 표준 기술 연구소가 미국 FIPS PUB 197에서 발표 한 전자 데이터의 암호화를 위해 설정 한 표준입니다.이 표준은 1977 년부터 사용 된 DES를 대체합니다. NIST에서 AES 암호는 블록 크기는 128 비트이지만 AES-128, AES-192 및 AES-256에 표시된 것처럼 세 가지 키 길이를 가질 수 있습니다.
대칭 암호화의 용도는 무엇입니까?
While 대칭 암호화는 오래된 암호화 방법이며 데이터 크기 및 과도한 CPU 사용과 관련된 성능 문제로 인해 네트워크에 부담을주는 비대칭 암호화보다 더 빠르고 효율적입니다. 더 나은 성능과 빠른 대칭 암호화 속도 (비대칭에 비해)로 인해 대칭 암호화는 일반적으로 대량 암호화 / 예를 들어 대량의 데이터 암호화에 사용됩니다. 데이터베이스 암호화를 위해. 데이터베이스의 경우 암호화 또는 복호화를 위해 데이터베이스 자체에서만 비밀 키를 사용할 수 있습니다.
대칭 암호화가 사용되는 몇 가지 예는 다음과 같습니다.
-
신원 도용 또는 사기 청구를 방지하기 위해 PII를 보호해야하는 카드 거래와 같은 결제 애플리케이션
-
메시지 발신자가 청구 한 사람인지 확인하기위한 검증 to be
-
난수 생성 또는 해싱
대칭 암호화를위한 키 관리-고려해야 할 사항
안타깝게도 대칭 암호화에는 고유 한 단점이 있습니다.가장 약한 점은 다음과 같은 키 관리 측면입니다.
키 고갈
대칭 암호화는 키를 사용할 때마다 잠재적으로 사용할 수있는 일부 정보를 ‘누수’하는 동작으로 어려움을 겪습니다. 키를 재구성하는 공격자. 이러한 동작에 대한 방어에는 마스터 또는 키 암호화 키가 과도하게 사용되지 않도록하는 키 계층 구조 사용과 데이터 볼륨을 암호화하는 적절한 키 순환이 포함됩니다. 다루기 쉽도록이 두 솔루션은 모두 폐기 된 암호화 키를 복구 할 수없고 데이터가 손실 될 가능성이있는 것처럼 유능한 키 관리 전략을 필요로합니다.
기여 데이터
비대칭과 달리 (공개 키) 인증서, 대칭 키에는 만료 날짜와 같은 정보를 기록하기위한 메타 데이터가 포함되어 있지 않거나 키를 사용할 수 있음을 나타내는 액세스 제어 목록 (예 : 암호 해독은 제외)을 표시합니다.
후자의 문제는 ANSI X9-31과 같은 표준에 의해 다소 해결되며, 키는 사용을 규정하는 정보에 바인딩 될 수 있습니다. 그러나 키의 용도와 사용시기를 완전히 제어하려면 키 관리 시스템이 필요합니다.
대규모의 키 관리
몇 개만있는 경우 키는 체계에 포함되며 (수십에서 수백 개) 관리 오버 헤드는 적당하며 수동 작업을 통해 처리 할 수 있습니다. 그러나 큰 자산으로 인해 만료를 추적하고 키 교체를 신속하게 배열하는 것은 비현실적입니다.
EMV 지불 카드 배포를 고려하십시오. 카드 당 여러 개의 키를 곱한 수백만 개의 카드에는 전용 프로비저닝과 키가 필요합니다. -관리 시스템.
결론
대규모 대칭 암호화 시스템을 유지하는 것은 매우 어려운 작업입니다. 이는 기업 및 / 또는 IT 아키텍처가 분산 / 지리적으로 분산되어있을 때 은행 수준의 보안 및 감사 가능성을 달성하고자 할 때 특히 그렇습니다.
올바르게 수행하려면 생성 된 각 키에 대해 적절한 수명주기를 유지하기 위해 특수 소프트웨어를 사용하는 것이 좋습니다. 대규모 키 등록의 경우 키 관리를 수동으로 수행하는 것은 정말 불가능합니다. 이를 위해서는 전문화 된 핵심 수명주기 관리 소프트웨어가 필요합니다.
퀀텀 컴퓨팅은 향후 5 ~ 10 년 내에 구체화 될 것으로 예상됩니다. 이미 오늘날 NIST는 널리 사용되는 3DES 알고리즘을 오늘날의 지식을 기반으로 우리가 더 절약 할 수 있다고 생각하는 알고리즘으로 대체 할 것을 권고합니다.
기술의 발전과 악의적 인 암호 해독 알고리즘의 발전을 알지 못하는 경우, 은행에 크립토 애자일 설정으로 마이그레이션 할 것을 강력히 권장합니다. 이러한 설정을 사용하면 약점이 감지되면 알고리즘을보다 안전한 것으로 간주되는 알고리즘으로 신속하게 대체 할 수 있습니다. 지금 투자 및 아키텍처 결정을 내려야합니다. 향후 몇 년 동안 큰 피해를 입을 수 있습니다.
참조 및 추가 자료
- 암호화 키 관리 시스템 선택을위한 구매자 가이드-1 부 : 키 관리 시스템이란? (2018) , Rob Stubbs
- 암호화 키 관리 시스템 선택에 대한 구매자 가이드; Part 2 : The Requirement for a Key Management System (2018), by Rob Stubbs
- Buyer ‘s Guide to Chooseing a Crypto Key Management System-Part 3 : Chooseing the Right Key Management System (2018), Rob Stubbs
-
NIST SP800-57 Part 1 Revision 4 : A Recommendation for Key Management (2016) by Elaine Barker
-
Ashiq JA, Dawn M. Turner, Guillaume Forget, James H. Reinholm, Peter Landrock, Peter Smirnoff, Rob Stubbs, Stefan Hansen 등의 키 관리 (2012- 오늘)에 대한 기사 선정
-
CKMS 제품 시트 (2016), by Cryptomathic