In der heutigen Cyberwelt besteht das allgegenwärtige Risiko eines unbefugten Zugriffs auf alle Arten von Daten. Am stärksten gefährdet sind Finanz- und Zahlungssystemdaten, die die persönlichen Identifikationsdaten (PII) oder Zahlungskartendaten von Kunden und Kunden offenlegen können. Die Verschlüsselung ist entscheidend für den Schutz personenbezogener Daten und die Minderung der Risiken, denen Unternehmen, die Zahlungsvorgänge durchführen, jede Minute eines jeden Tages ausgesetzt sind.
In diesem Artikel werden wir über die symmetrische Verschlüsselung im Bankwesen, ihre Vorteile und einige Herausforderungen bei der Verwaltung des PII sprechen Schlüssel.
Was ist symmetrische Verschlüsselung?
Symmetrische Verschlüsselung ist eine Art der Verschlüsselung, bei der nur ein Schlüssel (ein geheimer Schlüssel) zum Ver- und Entschlüsseln elektronischer Informationen verwendet wird. Die Entitäten, die über symmetrische Verschlüsselung kommunizieren, müssen den Schlüssel austauschen, damit er für den Entschlüsselungsprozess verwendet werden kann. Diese Verschlüsselungsmethode unterscheidet sich von der asymmetrischen Verschlüsselung, bei der ein Schlüsselpaar, ein öffentlicher und ein privater, zum Ver- und Entschlüsseln von Nachrichten verwendet wird.
Durch die Verwendung symmetrischer Verschlüsselungsalgorithmen werden Daten in eine nicht verständliche Form konvertiert von jedem, der nicht über den geheimen Schlüssel verfügt, um ihn zu entschlüsseln. Sobald der beabsichtigte Empfänger, der den Schlüssel besitzt, die Nachricht hat, kehrt der Algorithmus seine Aktion um, so dass die Nachricht in ihre ursprüngliche und verständliche Form zurückgebracht wird. Der geheime Schlüssel, den sowohl der Absender als auch der Empfänger verwenden, kann ein bestimmtes Passwort / ein bestimmter Code oder eine zufällige Folge von Buchstaben oder Zahlen sein, die von einem sicheren Zufallszahlengenerator (RNG) generiert wurden. Für die Verschlüsselung in Bankqualität müssen die symmetrischen Schlüssel mit einem RNG erstellt werden, das gemäß Industriestandards wie FIPS 140-2 zertifiziert ist.
Es gibt zwei Arten von symmetrischen Verschlüsselungsalgorithmen:
-
Blockalgorithmen. Festgelegte Bitlängen werden in Blöcken elektronischer Daten unter Verwendung eines bestimmten geheimen Schlüssels verschlüsselt. Während die Daten verschlüsselt werden, speichert das System die Daten in seinem Speicher, während es auf vollständige Blöcke wartet.
-
Stream-Algorithmen. Daten werden beim Streaming verschlüsselt, anstatt im Systemspeicher gespeichert zu werden.
Einige Beispiele für symmetrische Verschlüsselungsalgorithmen sind:
-
AES (Advanced Encryption Standard)
-
DES (Datenverschlüsselungsstandard)
-
IDEA (International Data Encryption Algorithm)
-
Blowfish (Ersatz für DES oder IDEA)
-
RC4 (Rivest Cipher 4)
-
RC5 (Rivest Cipher 5)
-
RC6 (Rivest Cipher 6)
AES, DES, IDEA, Blowfish, RC5 und RC6 sind Blockchiffren. RC4 ist eine Stream-Verschlüsselung.
DES
Im „modernen“ Computing war DES die erste standardisierte Verschlüsselung zur Sicherung der elektronischen Kommunikation und wird in Variationen verwendet (z. B. 2-Schlüssel oder 3-Schlüssel) Schlüssel 3DES). Das ursprüngliche DES wird nicht mehr verwendet, da es aufgrund der Rechenleistung moderner Computer als zu „schwach“ angesehen wird. Selbst 3DES wird von NIST und PCI DSS 3.2 nicht empfohlen, genau wie alle 64-Bit-Chiffren. 3DES wird jedoch immer noch häufig in EMV-Chipkarten verwendet.
AES
Der am häufigsten verwendete symmetrische Algorithmus ist der Advanced Encryption Standard (AES), der ursprünglich als Rijndael bekannt war. Dies ist der vom US-amerikanischen National Institute of Standards and Technology im Jahr 2001 festgelegte Standard für die Verschlüsselung elektronischer Daten, der in US FIPS PUB 197 angekündigt wurde. Dieser Standard ersetzt DES, das seit 1977 verwendet wurde. Unter NIST hat die AES-Verschlüsselung eine Blockgröße von 128 Bit, kann jedoch drei verschiedene Schlüssellängen haben, wie bei AES-128, AES-192 und AES-256 gezeigt.
Wofür wird symmetrische Verschlüsselung verwendet?
Während Die symmetrische Verschlüsselung ist eine ältere Verschlüsselungsmethode. Sie ist schneller und effizienter als die asymmetrische Verschlüsselung, die aufgrund von Leistungsproblemen mit Datengröße und starker CPU-Auslastung die Netzwerke belastet. Aufgrund der besseren Leistung und der schnelleren Geschwindigkeit der symmetrischen Verschlüsselung (im Vergleich zur asymmetrischen Verschlüsselung) wird die symmetrische Kryptographie typischerweise zur Massenverschlüsselung / Verschlüsselung großer Datenmengen verwendet, z. zur Datenbankverschlüsselung. Im Fall einer Datenbank steht der geheime Schlüssel möglicherweise nur der Datenbank selbst zum Ver- oder Entschlüsseln zur Verfügung.
Einige Beispiele für die Verwendung symmetrischer Kryptografie sind:
-
Zahlungsanwendungen, z. B. Kartentransaktionen, bei denen personenbezogene Daten geschützt werden müssen, um Identitätsdiebstahl oder betrügerische Gebühren zu verhindern.
-
Validierungen, um zu bestätigen, dass der Absender einer Nachricht derjenige ist, den er beansprucht
-
Zufallszahlengenerierung oder Hashing
Schlüsselverwaltung für symmetrische Verschlüsselung – was wir berücksichtigen müssen
Leider hat die symmetrische Verschlüsselung ihre eigenen Nachteile.Der schwächste Punkt sind die Aspekte der Schlüsselverwaltung, einschließlich:
Schlüsselerschöpfung
Die symmetrische Verschlüsselung leidet unter einem Verhalten, bei dem bei jeder Verwendung eines Schlüssels einige Informationen „verloren gehen“, die möglicherweise von verwendet werden können ein Angreifer, um den Schlüssel zu rekonstruieren. Die Abwehrmaßnahmen gegen dieses Verhalten umfassen die Verwendung einer Schlüsselhierarchie, um sicherzustellen, dass Haupt- oder Schlüsselverschlüsselungsschlüssel nicht überbeansprucht werden, und die entsprechende Drehung von Schlüsseln, die Datenmengen verschlüsseln. Um nachvollziehbar zu sein, erfordern beide Lösungen kompetente Strategien zur Schlüsselverwaltung, als ob (zum Beispiel) ein ausgemusterter Verschlüsselungsschlüssel nicht wiederhergestellt werden kann und die Daten möglicherweise verloren gehen.
Attributionsdaten
Im Gegensatz zu asymmetrisch (öffentlicher Schlüssel) Zertifikate, symmetrische Schlüssel, haben keine eingebetteten Metadaten, um Informationen wie das Ablaufdatum oder eine Zugriffssteuerungsliste aufzuzeichnen, um die Verwendung des Schlüssels anzugeben – zum Beispiel zum Verschlüsseln, aber nicht zum Entschlüsseln.
Das letztere Problem wird in gewisser Weise durch Standards wie ANSI X9-31 behoben, bei denen ein Schlüssel an Informationen gebunden werden kann, die seine Verwendung vorschreiben. Für die vollständige Kontrolle darüber, wofür und wann ein Schlüssel verwendet werden kann, ist jedoch ein Schlüsselverwaltungssystem erforderlich.
Schlüsselverwaltung in großem Maßstab
Wo nur wenige Schlüssel sind an einem Schema beteiligt (zehn bis hundert), der Verwaltungsaufwand ist gering und kann durch manuelle, menschliche Aktivitäten gehandhabt werden. Bei einem großen Nachlass wird es jedoch schnell unpraktisch, den Ablauf zu verfolgen und die Drehung der Schlüssel zu arrangieren.
Betrachten Sie eine EMV-Zahlungskartenbereitstellung: Millionen von Karten multipliziert mit mehreren Schlüsseln pro Karte erfordern eine spezielle Bereitstellung und einen Schlüssel -managementsystem.
Fazit
Die Wartung großer symmetrischer Verschlüsselungssysteme ist eine sehr herausfordernde Aufgabe. Dies gilt insbesondere dann, wenn wir Sicherheit und Überprüfbarkeit auf Bankniveau erreichen möchten, wenn die Unternehmens- und / oder IT-Architektur dezentralisiert / geografisch verteilt ist.
Um dies ordnungsgemäß durchzuführen, wird empfohlen, eine spezielle Software zu verwenden, um den richtigen Lebenszyklus für jeden erstellten Schlüssel aufrechtzuerhalten. In Fällen massiver Schlüsselregistrierung ist es wirklich unmöglich, die Schlüsselverwaltung manuell durchzuführen. Wir benötigen dafür eine spezielle Software für das Lebenszyklusmanagement.
Quantum Computing wird voraussichtlich in den nächsten 5 bis 10 Jahren verfügbar sein. Bereits heute rät NIST, den weit verbreiteten 3DES-Algorithmus durch Algorithmen zu ersetzen, die wir nach heutigem Kenntnisstand als sicherer betrachten.
Sie wissen nicht, wie weit die Technologie und damit die böswilligen Entschlüsselungsalgorithmen in der Evolution fortgeschritten sind. Wir empfehlen Banken dringend, auf ein krypto-agiles Setup umzusteigen. Mit einem solchen Setup können Algorithmen, wenn Schwachstellen erkannt werden, schnell durch Algorithmen ersetzt werden, die als sicherer gelten. Um dies zu vermeiden, müssen jetzt Investitions- und Architekturentscheidungen getroffen werden Großer Schaden in den kommenden Jahren.
Referenzen und weiterführende Literatur
- Einkaufsführer zur Auswahl eines Krypto-Schlüsselverwaltungssystems – Teil 1: Was ist ein Schlüsselverwaltungssystem (2018) , von Rob Stubbs
- Käuferleitfaden zur Auswahl eines Kryptoschlüssel-Verwaltungssystems; Teil 2: Die Anforderung an ein Schlüsselverwaltungssystem (2018), von Rob Stubbs
- Käuferleitfaden zur Auswahl eines Krypto-Schlüsselverwaltungssystems – Teil 3: Auswahl des richtigen Schlüsselverwaltungssystems (2018), von Rob Stubbs
-
NIST SP800-57 Teil 1 Revision 4: Eine Empfehlung für das Schlüsselmanagement (2016) von Elaine Barker
-
Ausgewählte Artikel zu Key Management (2012-heute) von Ashiq JA, Dawn M. Turner, Guillaume Forget, James H. Reinholm, Peter Landrock, Peter Smirnoff, Rob Stubbs, Stefan Hansen und anderen
-
CKMS-Produktblatt (2016) von Cryptomathic