I dagens cybervärld finns det en ständigt närvarande risk för obehörig åtkomst till alla former av data. Mest utsatta är finansiella och betalningssystemdata som kan avslöja personlig identifieringsinformation (PII) eller betalkortsinformation för kunder och kunder. Kryptering är avgörande för att skydda PII och mildra de risker som företag som bedriver betalningstransaktioner möter varje minut varje dag.
I den här artikeln kommer vi att tala om symmetrisk kryptering inom bank, dess fördelar och några utmaningar med att hantera nycklar.
Vad är symmetrisk kryptering?
symmetrisk kryptering är en typ av kryptering där endast en nyckel (en hemlig nyckel) används för att både kryptera och dekryptera elektronisk information. Enheterna som kommunicerar via symmetrisk kryptering måste byta nyckel så att den kan användas i dekrypteringsprocessen. Denna krypteringsmetod skiljer sig från asymmetrisk kryptering där ett par nycklar, en offentlig och en privat, används för att kryptera och dekryptera meddelanden.
Genom att använda symmetriska krypteringsalgoritmer konverteras data till en form som inte går att förstå av någon som inte har den hemliga nyckeln för att dekryptera den. När den avsedda mottagaren som har nyckeln har meddelandet, vänder algoritmen upp sin handling så att meddelandet återgår till sin ursprungliga och förståliga form. Den hemliga nyckeln som både avsändaren och mottagaren använder kan vara ett specifikt lösenord / kod eller det kan vara en slumpmässig sträng av bokstäver eller siffror som har genererats av en säker slumptalsgenerator (RNG). För kryptering av bankkvalitet måste de symmetriska nycklarna skapas med hjälp av en RNG som är certifierad enligt branschstandarder, t.ex. FIPS 140-2.
Det finns två typer av symmetriska krypteringsalgoritmer:
-
Blockera algoritmer. Ställ in bitlängder krypteras i block med elektronisk data med hjälp av en specifik hemlig nyckel. När data krypteras håller systemet data i sitt minne när det väntar på fullständiga block.
-
Strömningsalgoritmer. Data krypteras när de strömmar istället för att behållas i systemets minne.
Några exempel på symmetriska krypteringsalgoritmer inkluderar:
-
AES (Advanced Encryption Standard)
-
DES (Data Encryption Standard)
-
IDEA (International Data Encryption Algorithm)
-
Blowfish (Drop-in-ersättning för DES eller IDEA)
-
RC4 (Rivest Cipher 4)
-
RC5 (Rivest Cipher 5)
-
RC6 (Rivest Cipher 6)
AES, DES, IDEA, Blowfish, RC5 och RC6 är blockkoder. RC4 är strömkryptering.
DES
I ”modern” beräkning var DES den första standardiserade krypteringen för att säkra elektronisk kommunikation och används i variationer (t.ex. 2-tangent eller 3- Den ursprungliga DES används inte längre eftersom den anses vara för ”svag” på grund av moderna dators processorkraft. Även 3DES rekommenderas inte av NIST och PCI DSS 3.2, precis som alla 64-bitars kodningar. 3DES används dock fortfarande i stor utsträckning i EMV-chipkort.
AES
Den vanligaste symmetriska algoritmen är Advanced Encryption Standard (AES), som ursprungligen kallades Rijndael. Detta är standarden som fastställdes av US National Institute of Standards and Technology 2001 för kryptering av elektroniska data som tillkännagavs i US FIPS PUB 197. Denna standard ersätter DES, som hade använts sedan 1977. Under NIST har AES-chiffer en blockstorlek på 128 bitar, men kan ha tre olika nyckellängder som visas med AES-128, AES-192 och AES-256.
Vad används symmetrisk kryptering för?
Medan symmetrisk kryptering är en äldre krypteringsmetod, den är snabbare och effektivare än asymmetrisk kryptering, vilket tar en avgift på nätverk på grund av prestandaproblem med datastorlek och tung CPU-användning. På grund av bättre prestanda och snabbare symmetrisk kryptering (jämfört med asymmetrisk) används symmetrisk kryptografi vanligtvis för masskryptering / kryptering av stora mängder data, t.ex. för databaskryptering. När det gäller en databas kanske den hemliga nyckeln endast är tillgänglig för själva databasen för att kryptera eller dekryptera.
Några exempel på var symmetrisk kryptografi används är:
-
Betalningsapplikationer, till exempel korttransaktioner där PII behöver skyddas för att förhindra identitetsstöld eller bedrägliga avgifter
-
Valideringar för att bekräfta att avsändaren av ett meddelande är vem han hävdar att vara
-
Slumpmässig generering av nummer eller hashing
Nyckelhantering för symmetrisk kryptering – vad vi behöver tänka på
Tyvärr har symmetrisk kryptering sina egna nackdelar.Dess svagaste punkt är dess aspekter av nyckelhantering, inklusive:
Nyckelutmattning
Symmetrisk kryptering lider av beteende där varje användning av en nyckel ”läcker” viss information som potentiellt kan användas av en angripare för att rekonstruera nyckeln. Försvaret mot detta beteende inkluderar användning av en nyckelhierarki för att säkerställa att huvud- eller nyckelkrypteringsnycklar inte används för mycket och lämplig rotation av nycklar som krypterar datamängder. För att vara smidiga kräver båda dessa lösningar kompetenta nyckelhanteringsstrategier som om (till exempel) en pensionerad krypteringsnyckel inte kan återställas. Data går potentiellt förlorade.
Attributionsdata
Till skillnad från asymmetrisk (offentlig nyckel) Certifikat, symmetriska nycklar har inte inbäddade metadata för att registrera information som utgångsdatum eller en åtkomstkontrollista för att indikera användningen av nyckeln kan användas – för att kryptera men inte dekryptera till exempel.
Det senare problemet behandlas något av standarder som ANSI X9-31 där en nyckel kan vara bunden till information som föreskriver dess användning. Men för fullständig kontroll över vad en nyckel kan användas till och när den kan användas krävs ett nyckelhanteringssystem.
Nyckelhantering i stor skala
Där bara ett fåtal nycklar är inblandade i ett schema (tiotals till låga hundratals), administrationsomkostningarna är blygsamma och kan hanteras genom manuell, mänsklig aktivitet. Men med en stor egendom blir det snabbt opraktiskt att spåra utgången och ordna nycklarrotation.
Tänk på en EMV-betalningskortsdistribution: miljontals kort multiplicerat med flera nycklar per kort kräver en dedikerad tillhandahållande och nyckel -hanteringssystem.
Slutsats
Att upprätthålla stora symmetriska krypteringssystem är en mycket utmanande uppgift. Detta gäller särskilt när vi vill uppnå säkerhet och granskbarhet av bankkvalitet när företags- och / eller IT-arkitekturen är decentraliserad / geografiskt fördelad.
För att göra detta ordentligt rekommenderas att du använder speciell programvara för att upprätthålla rätt livscykel för varje nyckel som skapas. I fall av massiv nyckelregistrering är det verkligen omöjligt att genomföra nyckelhantering manuellt. Vi behöver specialiserad nyckelprogramvara för livscykelhantering för det.
Kvantberäkning förväntas uppnås inom de närmaste 5-10 åren. Redan idag rekommenderar NIST att ersätta den allmänt använda 3DES-algoritmen med algoritmer som vi anser är mer sparade, baserat på dagens kunskap.
Att inte veta vilka tekniska framsteg och därmed i utvecklingen skadliga dekrypteringsalgoritmer kan vara, Vi rekommenderar starkt banker att migrera till en krypto-agil installation. En sådan installation gör det möjligt att snabbt ersätta algoritmer när svagheter upptäcks med algoritmer som anses säkrare. Investerings- och arkitekturbeslut måste fattas nu, för att undvika stora skador under de kommande åren.
Referenser och vidare läsning
- Köparhandbok för att välja ett Crypto Key Management System – Del 1: Vad är ett nyckelhanteringssystem (2018) , av Rob Stubbs
- Köparhandledning för att välja ett Crypto Key Management System; Del 2: Kravet på ett nyckelhanteringssystem (2018), av Rob Stubbs
- Köparhandbok för att välja ett Crypto Key Management System – Del 3: Välja rätt nyckelhanteringssystem (2018), av Rob Stubbs
-
NIST SP800-57 Del 1 Revision 4: En rekommendation för nyckelhantering (2016) av Elaine Barker
-
Valda artiklar om Key Management (2012-idag) av Ashiq JA, Dawn M. Turner, Guillaume Forget, James H. Reinholm, Peter Landrock, Peter Smirnoff, Rob Stubbs, Stefan Hansen och mer
-
CKMS Product Sheet (2016), av Cryptomathic