W dzisiejszym cyber-świecie istnieje nieustannie ryzyko nieautoryzowanego dostępu do wszelkich form danych. Najbardziej zagrożone są dane finansowe i systemy płatności, które mogą ujawnić dane osobowe (PII) lub dane kart płatniczych klientów i klientów. Szyfrowanie ma kluczowe znaczenie dla ochrony danych osobowych i ograniczania ryzyka, na jakie narażone są firmy przeprowadzające transakcje płatnicze w każdej minucie każdego dnia.
W tym artykule omówimy szyfrowanie symetryczne w bankowości, jego zalety i niektóre wyzwania związane z zarządzaniem klucze.
Co to jest szyfrowanie symetryczne?
Szyfrowanie symetryczne to rodzaj szyfrowania, w którym tylko jeden klucz (tajny klucz) jest używany zarówno do szyfrowania, jak i deszyfrowania informacji elektronicznych. Podmioty komunikujące się za pomocą szyfrowania symetrycznego muszą wymienić klucz, aby można go było użyć w procesie deszyfrowania. Ta metoda szyfrowania różni się od szyfrowania asymetrycznego, w którym para kluczy, jeden publiczny i jeden prywatny, jest używana do szyfrowania i odszyfrowywania wiadomości.
Dzięki zastosowaniu algorytmów szyfrowania symetrycznego dane są konwertowane do postaci, której nie można zrozumieć przez każdego, kto nie posiada tajnego klucza do jego odszyfrowania. Gdy zamierzony odbiorca, który posiada klucz, otrzyma wiadomość, algorytm odwraca swoje działanie, dzięki czemu wiadomość wraca do pierwotnej i zrozumiałej formy. Tajny klucz, którego używają zarówno nadawca, jak i odbiorca, może być określonym hasłem / kodem lub może to być losowy ciąg liter lub cyfr, który został wygenerowany przez bezpieczny generator liczb losowych (RNG). W przypadku szyfrowania na poziomie bankowym klucze symetryczne muszą być tworzone przy użyciu RNG certyfikowanego zgodnie ze standardami branżowymi, takimi jak FIPS 140-2.
Istnieją dwa rodzaje algorytmów szyfrowania symetrycznego:
-
Algorytmy blokowe. Ustawione długości bitów są szyfrowane w blokach danych elektronicznych przy użyciu określonego tajnego klucza. Podczas szyfrowania danych system przechowuje dane w swojej pamięci, oczekując na pełne bloki.
-
Algorytmy strumieniowe. Dane są szyfrowane podczas ich przesyłania, a nie są przechowywane w pamięci systemu.
Oto niektóre przykłady algorytmów szyfrowania symetrycznego:
-
AES (Advanced Encryption Standard)
-
DES (Data Encryption Standard)
-
IDEA (International Data Encryption Algorithm)
-
Blowfish (zamiennik DES lub IDEA)
-
RC4 (Rivest Cipher 4)
-
RC5 (Rivest Cipher 5)
-
RC6 (Rivest Cipher 6)
AES, DES, IDEA, Blowfish, RC5 i RC6 to szyfry blokowe. RC4 to szyfr strumieniowy.
DES
W „nowoczesnych” komputerach DES był pierwszym znormalizowanym szyfrem do zabezpieczania komunikacji elektronicznej i jest używany w różnych odmianach (np. 2-klawiszowy lub 3- key 3DES). Oryginalny DES nie jest już używany, ponieważ jest uważany za zbyt „słaby” ze względu na moc obliczeniową nowoczesnych komputerów. Nawet 3DES nie jest zalecany przez NIST i PCI DSS 3.2, tak jak wszystkie 64-bitowe szyfry. Jednak 3DES jest nadal szeroko stosowany w kartach chipowych EMV.
AES
Najczęściej stosowanym algorytmem symetrycznym jest Advanced Encryption Standard (AES), który pierwotnie był znany jako Rijndael. Jest to standard ustanowiony przez Narodowy Instytut Standardów i Technologii USA w 2001 r. Dla szyfrowania danych elektronicznych ogłoszony w US FIPS PUB 197. Ten standard zastępuje DES, który był używany od 1977 r. W ramach NIST szyfr AES ma blok ma rozmiar 128 bitów, ale może mieć trzy różne długości kluczy, jak pokazano w przypadku AES-128, AES-192 i AES-256.
Do czego służy szyfrowanie symetryczne?
Chociaż szyfrowanie symetryczne jest starszą metodą szyfrowania, jest szybsze i bardziej wydajne niż szyfrowanie asymetryczne, które ma negatywny wpływ na sieci ze względu na problemy z wydajnością związane z rozmiarem danych i dużym obciążeniem procesora. Ze względu na lepszą wydajność i większą szybkość szyfrowania symetrycznego (w porównaniu z szyfrowaniem asymetrycznym), szyfrowanie symetryczne jest zwykle używane do masowego szyfrowania / szyfrowania dużych ilości danych, np. do szyfrowania bazy danych. W przypadku bazy danych tajny klucz może być dostępny tylko dla samej bazy danych do szyfrowania lub odszyfrowywania.
Oto niektóre przykłady zastosowań kryptografii symetrycznej:
-
Aplikacje płatnicze, takie jak transakcje kartowe, w których informacje umożliwiające identyfikację użytkownika muszą być chronione, aby zapobiec kradzieży tożsamości lub oszukańczym obciążeniom
-
Weryfikacje potwierdzające, że nadawca wiadomości jest tym, za kogo się podaje być
-
Losowe generowanie liczb lub haszowanie
Zarządzanie kluczami dla szyfrowania symetrycznego – co musimy wziąć pod uwagę
Niestety szyfrowanie symetryczne ma swoje wady.Jego najsłabszym punktem są aspekty zarządzania kluczami, w tym:
Wyczerpanie klucza
Szyfrowanie symetryczne cierpi z powodu zachowania, w którym każde użycie klucza „wycieka” pewne informacje, które mogą być potencjalnie wykorzystane przez atakujący, aby zrekonstruować klucz. Zabezpieczenia przed tym zachowaniem obejmują stosowanie hierarchii kluczy w celu zapewnienia, że klucze główne lub klucze szyfrowania klucza nie są nadużywane, oraz odpowiednią rotację kluczy, które szyfrują woluminy danych. Aby oba te rozwiązania były wykonalne, wymagają kompetentnych strategii zarządzania kluczami, tak jakby (na przykład) wycofanego klucza szyfrowania nie można było odzyskać, dane są potencjalnie utracone.
Dane atrybucji
W przeciwieństwie do asymetrycznego (klucz publiczny) Certyfikaty, klucze symetryczne nie mają osadzonych metadanych do rejestrowania informacji, takich jak data wygaśnięcia lub lista kontroli dostępu w celu wskazania zastosowania klucza – na przykład do szyfrowania, ale nie odszyfrowywania.
Ta ostatnia kwestia jest w pewnym stopniu rozwiązana w standardach, takich jak ANSI X9-31, gdzie klucz może być powiązany z informacją nakazującą jego użycie. Jednak do pełnej kontroli nad tym, do czego można użyć klucza i kiedy można go użyć, wymagany jest system zarządzania kluczami.
Zarządzanie kluczami na dużą skalę
Gdzie tylko kilka klucze są zaangażowane w schemat (od dziesiątek do setek), koszty zarządzania są skromne i można je obsługiwać poprzez ręczną, ludzką działalność. Jednak przy dużej posiadłości śledzenie wygaśnięcia i organizowanie rotacji kluczy szybko staje się niepraktyczne.
Rozważ wdrożenie karty płatniczej EMV: miliony kart pomnożone przez kilka kluczy na kartę wymaga dedykowanego zabezpieczenia i klucza -zarządzania.
Podsumowanie
Utrzymanie symetrycznych systemów szyfrowania na dużą skalę jest bardzo trudnym zadaniem. Jest to szczególnie ważne, gdy chcemy osiągnąć bezpieczeństwo na poziomie bankowym i możliwość audytu, gdy architektura korporacyjna i / lub IT jest zdecentralizowana / rozproszona geograficznie.
Aby zrobić to poprawnie, zaleca się użycie specjalnego oprogramowania, aby utrzymać właściwy cykl życia dla każdego utworzonego klucza. W przypadku masowej rejestracji kluczy ręczne zarządzanie kluczami jest naprawdę niemożliwe. Potrzebujemy do tego specjalistycznego kluczowego oprogramowania do zarządzania cyklem życia.
Oczekuje się, że obliczenia kwantowe pojawią się w ciągu najbliższych 5–10 lat. Już dziś NIST zaleca zastąpienie szeroko stosowanego algorytmu 3DES algorytmami, które uważamy za bardziej bezpieczne, w oparciu o dzisiejszą wiedzę.
Nie wiedząc, jaki postęp w technologii, a co za tym idzie w ewolucji, mogą być złośliwe algorytmy deszyfrujące, zdecydowanie zalecamy bankom migrację do konfiguracji crypto-agile. Taka konfiguracja pozwoli na szybkie zastąpienie algorytmów w przypadku wykrycia słabych stron algorytmami uważanymi za bezpieczniejsze. Decyzje dotyczące inwestycji i architektury należy podjąć już teraz, aby uniknąć poważne szkody w nadchodzących latach.
Referencje i dalsze informacje
- Przewodnik kupującego dotyczący wyboru systemu zarządzania kluczami kryptograficznymi – część 1: Co to jest system zarządzania kluczami (2018) , Rob Stubbs
- Przewodnik kupującego dotyczący wyboru systemu zarządzania kluczami kryptograficznymi; Część 2: Wymagania dotyczące systemu zarządzania kluczami (2018), autor: Rob Stubbs
- Przewodnik kupującego dotyczący wyboru systemu zarządzania kluczami kryptograficznymi – Część 3: Wybór odpowiedniego systemu zarządzania kluczami (2018), autor: Rob Stubbs
-
NIST SP800-57 Część 1 Wersja 4: Zalecenie dotyczące zarządzania kluczami (2016) autorstwa Elaine Barker
-
Wybrane artykuły na temat Key Management (2012-dziś) autorstwa Ashiq JA, Dawn M. Turner, Guillaume Forget, Jamesa H. Reinholma, Petera Landrocka, Petera Smirnoffa, Roba Stubbsa, Stefana Hansena i innych
-
Karta produktu CKMS (2016), autor: Cryptomathic