Criptare cheie simetrică – de ce, unde și cum este utilizată în domeniul bancar

În lumea cibernetică actuală există un risc permanent de acces neautorizat la toate formele de date. Cele mai expuse riscului sunt datele financiare și de sistem de plăți care pot expune informațiile personale de identificare (PII) sau detaliile cardului de plată ale clienților și clienților. Criptarea este crucială pentru protejarea informațiilor personale și pentru reducerea riscurilor cu care se confruntă întreprinderile care efectuează tranzacții de plată în fiecare minut din fiecare zi.

În acest articol vom vorbi despre criptarea simetrică în sectorul bancar, avantajele acesteia și unele provocări ale gestionării chei.

Ce este criptarea simetrică?

Criptarea simetrică este un tip de criptare în care se folosește o singură cheie (o cheie secretă) atât pentru criptarea, cât și pentru decriptarea informațiilor electronice. Entitățile care comunică prin criptare simetrică trebuie să schimbe cheia astfel încât să poată fi utilizată în procesul de decriptare. Această metodă de criptare diferă de criptarea asimetrică în care o pereche de chei, una publică și una privată, sunt utilizate pentru a cripta și decripta mesajele.

Prin utilizarea algoritmilor de criptare simetrică, datele sunt convertite într-un formular care nu poate fi înțeles. de către oricine nu posedă cheia secretă pentru a o decripta. Odată ce destinatarul care deține cheia are mesajul, algoritmul își inversează acțiunea, astfel încât mesajul să revină la forma sa originală și de înțeles. Cheia secretă pe care expeditorul și destinatarul o utilizează ar putea fi o anumită parolă / cod sau poate fi un șir aleatoriu de litere sau numere care au fost generate de un generator securizat de numere aleatorii (RNG). Pentru criptarea bancară, cheile simetrice trebuie create cu ajutorul unui RNG certificat conform standardelor din industrie, cum ar fi FIPS 140-2.

Există două tipuri de algoritmi de criptare simetrică:

  1. Algoritmi de blocare. Lungimile setate de biți sunt criptate în blocuri de date electronice cu ajutorul unei chei secrete specifice. Pe măsură ce datele sunt criptate, sistemul păstrează datele în memorie în timp ce așteaptă blocurile complete.

  2. Algoritmi de flux. Datele sunt criptate pe măsură ce sunt transmise în loc să fie păstrate în memoria sistemului.

Unele exemple de algoritmi de criptare simetrică includ:

  • AES (Advanced Encryption Standard)

  • DES (Data Encryption Standard)

  • IDEA (International Data Encryption Algorithm)

  • Blowfish (înlocuire pentru DES sau IDEA)

  • RC4 (Rivest Cipher 4)

  • RC5 (Rivest Cipher 5)

  • RC6 (Rivest Cipher 6)

AES, DES, IDEA, Blowfish, RC5 și RC6 sunt cifre bloc. RC4 este cifru de flux.

DES

În calculul „modern”, DES a fost primul cifrat standardizat pentru securizarea comunicațiilor electronice și este utilizat în variante (de exemplu, cu 2 taste sau 3- cheia 3DES). DES original nu mai este utilizat, deoarece este considerat prea „slab”, datorită puterii de procesare a computerelor moderne. Nici 3DES nu este recomandat de NIST și PCI DSS 3.2, la fel ca toate cifrele pe 64 de biți. Cu toate acestea, 3DES este încă utilizat pe scară largă în cardurile cu cip EMV.

AES

Cel mai frecvent utilizat algoritm simetric este Advanced Encryption Standard (AES), care a fost inițial cunoscut sub numele de Rijndael. Acesta este standardul stabilit de Institutul Național de Standarde și Tehnologie al SUA în 2001 pentru criptarea datelor electronice anunțat în US FIPS PUB 197. Acest standard înlocuiește DES, care era în uz din 1977. În cadrul NIST, cifrul AES are un dimensiunea blocului de 128 biți, dar poate avea trei lungimi de cheie diferite, așa cum se arată cu AES-128, AES-192 și AES-256.

Pentru ce se utilizează criptarea simetrică?

În timp ce criptarea simetrică este o metodă mai veche de criptare, este mai rapidă și mai eficientă decât criptarea asimetrică, care are un impact asupra rețelelor din cauza problemelor de performanță cu dimensiunea datelor și utilizarea intensă a procesorului. Datorită performanțelor mai bune și a vitezei mai mari de criptare simetrică (comparativ cu asimetrică), criptografia simetrică este de obicei folosită pentru criptarea în bloc / criptarea unor cantități mari de date, de ex. pentru criptarea bazei de date. În cazul unei baze de date, cheia secretă ar putea fi disponibilă numai pentru baza de date în sine pentru a cripta sau decripta.

Câteva exemple de utilizare a criptografiei simetrice sunt:

  • Aplicații de plată, cum ar fi tranzacțiile cu cardul în care trebuie protejate informațiile de tip personal pentru a preveni furtul de identitate sau taxele frauduloase

  • Validări pentru a confirma că expeditorul unui mesaj este cine pretinde a fi

  • Generarea aleatorie de numere sau hash

Gestionarea cheilor pentru criptarea simetrică – ceea ce trebuie să luăm în considerare

Din păcate, criptarea simetrică vine cu propriile sale dezavantaje.Cel mai slab punct este aspectele sale de gestionare a cheilor, inclusiv:

Epuizarea cheii

Criptarea simetrică suferă de un comportament în care fiecare utilizare a unei chei „scurge” unele informații care pot fi folosite de un atacator pentru a reconstrui cheia. Apărările împotriva acestui comportament includ utilizarea unei ierarhii de chei pentru a se asigura că cheile master sau de criptare a cheilor nu sunt suprautilizate și rotația adecvată a cheilor care criptează volume de date. Pentru a fi tratabile, ambele soluții necesită strategii de gestionare a cheilor competente, ca și cum (de exemplu) o cheie de criptare retrasă nu poate fi recuperată, datele pot fi pierdute.

Date de atribuire

Spre deosebire de asimetric (cheie publică) Certificatele, cheile simetrice nu au metadate încorporate pentru a înregistra informații, cum ar fi data de expirare sau o listă de control al accesului, pentru a indica utilizarea căreia poate fi pusă cheia – la Criptare, dar nu Decriptare, de exemplu.

ltima problemă este oarecum abordată de standarde precum ANSI X9-31, unde o cheie poate fi legată de informații care prescriu utilizarea acesteia. Dar pentru un control deplin asupra a ceea ce poate fi utilizată o cheie și când poate fi utilizată, este necesar un sistem de gestionare a cheilor.

Managementul cheii la scară largă

Acolo doar câteva cheile sunt implicate într-o schemă (de la zeci la sute mici), cheltuielile generale de gestionare sunt modeste și pot fi gestionate prin activitate manuală, umană. Cu toate acestea, cu o proprietate mare, urmărirea expirării și aranjarea rotației cheilor devine rapid impracticabilă.

Luați în considerare o implementare a cardului de plată EMV: milioane de carduri înmulțite cu mai multe chei-pe-card necesită o aprovizionare dedicată și o cheie -sistem de gestionare.

Concluzie

Menținerea sistemelor de criptare simetrică pe scară largă este o sarcină foarte provocatoare. Acest lucru este valabil mai ales atunci când dorim să obținem securitate bancară și auditabilitate atunci când arhitectura corporativă și / sau IT este descentralizată / distribuită geografic.

Pentru a face acest lucru corect, se recomandă utilizarea unui software special pentru a menține ciclul de viață adecvat pentru fiecare cheie creată. În cazurile de înregistrare masivă a cheilor, este cu adevărat imposibil să gestionați manual cheile. Avem nevoie de un software specializat pentru gestionarea ciclului de viață.

Calculul cuantic se așteaptă să se materializeze în următorii 5-10 ani. În prezent, NIST recomandă înlocuirea algoritmului 3DES utilizat pe scară largă cu algoritmi pe care îi considerăm mai salvați, pe baza cunoștințelor de astăzi. Nu știind ce progrese în tehnologie și, prin urmare, în evoluție pot fi algoritmi de decriptare rău intenționată, recomandăm cu fermitate băncilor să migreze către o configurație cripto-agilă. O astfel de configurație va permite înlocuirea rapidă a algoritmilor, atunci când sunt detectate deficiențe, cu algoritmi care sunt considerați a fi mai siguri. Deciziile de investiții și arhitectură trebuie luate acum, pentru pagube majore în anii următori.

Referințe și lecturi suplimentare

  • Ghidul cumpărătorului pentru alegerea unui sistem de gestionare a cheilor criptografice – Partea 1: Ce este un sistem de gestionare a cheilor (2018) , de Rob Stubbs
  • Ghidul cumpărătorului pentru alegerea unui sistem de gestionare a cheilor cripto; Partea 2: Cerința pentru un sistem de gestionare a cheilor (2018), de Rob Stubbs
  • Ghidul cumpărătorului pentru alegerea unui sistem de gestionare a cheilor cripto – Partea 3: Alegerea sistemului de gestionare a cheilor potrivit (2018), de Rob Stubbs

  • NIST SP800-57 Partea 1 Revizuirea 4: O recomandare pentru gestionarea cheilor (2016) de Elaine Barker

  • Articole selectate despre Key Management (2012-astăzi) de Ashiq JA, Dawn M. Turner, Guillaume Forget, James H. Reinholm, Peter Landrock, Peter Smirnoff, Rob Stubbs, Stefan Hansen și multe altele

  • Foaia de produs CKMS (2016), de Cryptomathic

Leave a Reply

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *