Шифрование шифрует данные, делая их нечитаемыми для тех, у кого нет ключей дешифрования. Правильное использование шифрования сохраняет секретность и радикально снижает потенциальный ущерб от успешной кибератаки.
Понимание различных типов шифрования часто запутывается из-за множества возможных, противоречивых и запутанных способов использования «типа шифрования».
Классификации типов шифрования
Чтобы избежать путаницы, давайте рассмотрим различные способы применения «типа» к шифрованию и то, как мы рассмотрим их в этой статье:
- Типы категорий шифрования объясняют общие и основные категории классификации шифрования, включая две наиболее важные: симметричное и асимметричное шифрование.
- Типы алгоритмов шифрования дадут обзор математических алгоритмов, используемых для шифрования данных (AES, RSA и т. д.), их значения, а также плюсов и минусов.
- В разделе «Типы инструментов шифрования» будут рассмотрены основные классификации инструментов шифрования, доступных для использования в организации.
Хотя каждый из них представляет собой «тип» шифрования, в некоторых источниках они смешиваются, что может сбить с толку тех, кто пытается понять шифрование. Мы приводим дополнительные различия, чтобы лучше объяснить, как работает шифрование, и лучше проиллюстрировать инструмент, который можно использовать в конкретных случаях.
Типы категорий шифрования
Тип категории шифрования представляет собой всеобъемлющую классификацию, охватывающую несколько алгоритмов шифрования или типов инструментов. Эти концептуальные группы содержат определения, которые помогают определить слабые и сильные стороны семейств алгоритмов и инструментов.
Двумя наиболее важными категориями шифрования являются симметричное и асимметричное шифрование. Эти критически важные концепции шифрования охватывают подавляющее большинство широко используемых в настоящее время алгоритмов и инструментов шифрования и могут использоваться в сочетании для безопасной связи.
Другие важные категории категорий шифрования включают в себя:
- Гомоморфное шифрование , важность которого продолжает возрастать при обработке конфиденциальных и регулируемых данных.
- Блочные шифры обрабатывают простой текст фрагментами фиксированного размера для шифрования.
- Шифрование с сохранением формата (FPE) , используемое для создания зашифрованных полей с особыми требованиями к форматированию и длине для баз данных.
- Потоковые шифры обрабатывают данные, когда они проходят через алгоритм и используются при передаче данных.
Мы также кратко обсудим хеширование, которое часто ассоциируется с шифрованием, но на самом деле не является типом шифрования.
Симметричная Криптография: Лучшее Для Скорости
Симметричная криптография использует ту же концепцию, что и общие ключи для дома — один или несколько человек используют идентичный ключ, чтобы разблокировать замок и получить доступ. Симметричное шифрование работает примерно так же — шифрует и дешифрует сообщения с помощью одного общего ключа.
Пользователи могут установить симметричный ключ для обмена личными сообщениями через безопасный канал, например, через менеджер паролей. К сожалению, хотя симметричное шифрование является более быстрым методом, оно также менее безопасно, поскольку совместное использование ключа может привести к его краже.
Фишинг и социальная инженерия являются распространенными способами, с помощью которых злоумышленники могут получить симметричный ключ, но криптоанализ и попытки грубой силы также могут взломать шифры с симметричным ключом. Симметричное шифрование часто используется для шифрования диска, шифрования Wi-Fi и в других случаях, когда скорость имеет первостепенное значение и пароль можно безопасно передать.
Современные алгоритмы используют переменный ввод, переменную длину ключей и несколько раундов, чтобы компенсировать недостатки симметричного ключа.
Асимметричная Криптография: Лучше Всего Подходит Для Обмена
Асимметричная криптография больше похожа на предоставление кода для разблокировки небольшой панели в запертой в противном случае двери для доставки. Общий открытый ключ асимметричной криптологии может шифровать документы, но для дешифрования требуется использование закрытого ключа, который не предназначен для совместного использования.
Хотя асимметричное шифрование сложнее и дороже в реализации, оно обеспечивает безопасную связь в распределенных сетях, не подвергая ключи шифрования возможности кражи. Асимметричное шифрование не использует несколько раундов шифрования, а вместо этого использует простые числа переменной длины и большого размера.
Обработка ключей большего размера и вычислений простых чисел может занять гораздо больше времени, чем симметричное шифрование; однако можно опубликовать открытые ключи асимметричного алгоритма, чтобы обеспечить гораздо более безопасный обмен зашифрованными файлами.
Асимметрия алгоритма позволяет любому из ключей зашифровать данные, но тот же ключ не может быть использован для расшифровки. Типичные примеры использования включают в себя:
- Отправитель шифрует данные открытым ключом получателя; получатель расшифровывает данные своим секретным ключом.
- Отправитель шифрует данные своим собственным секретным ключом для проверки источника документа и повторно шифрует данные открытым ключом получателя в целях безопасности; получатель использует свой закрытый ключ для доступа к сообщению и открытый ключ отправителя для расшифровки сообщения.
Симметричное + Асимметричное Шифрование
Разработчики программного обеспечения и организации все чаще используют как симметричные, так и асимметричные методы шифрования, чтобы обеспечить пользователям скорость и безопасность связи. Типичным примером является стандартный протокол Transfer Layer Security (TLS), используемый для обеспечения безопасного просмотра веб-сайтов.
Комплекс двух методов, также известный как гибридное шифрование, обычно начинается с рукопожатия между пользователями посредством асимметричной криптографии для обеспечения безопасности. В рамках асимметричного соединения стороны затем безопасно обмениваются ключами симметричных алгоритмов, чтобы обеспечить более быструю обработку сообщений.
Гомоморфное Шифрование
Гомоморфное шифрование позволяет выполнять ряд ограниченных операций с зашифрованным текстом без расшифровки сообщения. К гомоморфным моделям относятся:
- Частичное гомоморфное шифрование (PHE) для алгоритмов, которые могут выполнять одну операцию с зашифрованными данными.
- Несколько гомоморфное шифрование (SHE) для алгоритмов, способных выполнять две операции над зашифрованными данными.
- Полностью гомоморфное шифрование (FHE) для алгоритмов, способных выполнять самый широкий спектр операций с зашифрованными данными.
Google, IBM и Microsoft продолжают изучать возможности FHE для обработки конкретных данных, сохраняя их секретность, и выпустили библиотеки шифрования с открытым исходным кодом. Однако эти методы не получили широкого распространения или не включены в коммерческие инструменты.
Блочные Шифры
Алгоритмы шифрования оперируют фрагментами данных, делая их нечитаемыми без надлежащего ключа дешифрования. При блочном шифровании используются блоки данных фиксированного размера, такие как 128- или 64-битные блоки. Многие симметричные алгоритмы представляют собой блочные шифры; асимметричные алгоритмы используют ключи разной длины, поэтому технически они не являются блочными шифрами, поскольку между открытым и закрытым ключами существует переменная длина блока.
Когда шифруемый открытый текст короче длины блока, данные дополняются алгоритмом, чтобы достичь длины блока перед шифрованием. Данные, длина которых превышает длину блока, будут разбиты на более мелкие блоки перед шифрованием, а также дополнятся, если меньшие блоки упадут ниже размера блока.
Слабость блочных шифров заключается в том, что шифрование идентичных полноразмерных блоков открытого текста может привести к идентичным зашифрованным блокам, что может обеспечить обнаружение ключей методом перебора. Алгоритмы позволяют избежать этой проблемы, используя несколько проходов блоков разного размера или применяя к данным алгоритмы переменной длины входных данных перед их обработкой алгоритмом шифрования.
Шифрование С Сохранением Формата (FPE)
Категория шифрования с сохранением формата относится к хранению зашифрованных данных в устаревших базах данных со строго определенными форматами и длинами полей. Эти базы данных не допускают отклонений, вызванных многими алгоритмами шифрования, которые намеренно добавляют дополнения к короткому шифрованию, чтобы скрыть длину исходных данных или преобразовать буквы и цифры в шестнадцатеричный код.
Например, номер социального страхования «111-11-1111» может быть закодирован в текстовый цифровой код «049049 049049 049049 049049 049», который нельзя использовать в базе данных с ограничением в 9 символов. Алгоритмы сохранения формата вместо этого преобразуют число в 9-значную числовую строку, чтобы утилита базы данных была сохранена.
Шифрование с сохранением формата может использовать существующие алгоритмы шифрования, такие как AES (см. ниже). Однако программисты обычно используют специально разработанные алгоритмы, настолько специализированные, что мы не будем рассматривать их более подробно в этой статье, такие как Thorp Shuffle , шифры переменной входной длины (VIL) и Hasty Pudding Cipher .
Потоковые Шифры
При отправке данных через высокоскоростной маршрутизатор или коммутатор полный размер данных будет неизвестен. Хранение данных до тех пор, пока они не достигнут определенного размера блока, может привести к неприемлемым задержкам при обработке и передаче.
Потоковые шифры решают проблему, используя ключ для побитового шифрования данных. Потоковые шифры — это симметричные алгоритмы, которые используют секретный ключ для передачи данных генератору случайных чисел. Асимметричные ключи обычно не могут использоваться для потокового шифрования, поскольку размеры блоков неизвестны. Алгоритмы проводного эквивалента конфиденциальности (WEP) и защищенного доступа Wi-Fi (WPA) включают потоковые шифры для кодирования передачи данных Wi-Fi.
Не Совсем Шифрование: Хеширование
Хотя такие алгоритмы хеширования, как алгоритм 128-битного дайджеста сообщения (MD-5) или алгоритм безопасного хеширования с восемью 32-битными словами (SHA-256), связаны с проверкой целостности файла, они не меняют данные. файл. Вместо этого алгоритм анализирует биты содержимого, чтобы создать одно число, представляющее содержимое.
Добавленный пробел или удаленная буква создадут совершенно другое значение хеш-функции для файла, поэтому значения хеш-функции часто используются для проверки того, что файл не был изменен во время процесса копирования или передачи. Однако, поскольку алгоритмы хеширования оставляют данные в открытом виде, хеширование не защищает данные от несанкционированного доступа.
Типы алгоритмов шифрования
Алгоритмы шифрования определяются конкретными математическими формулами и процессом, необходимым для выполнения преобразования шифрования. Хотя криптологи разрабатывают множество различных алгоритмов, в этой статье основное внимание будет уделено основным алгоритмам шифрования, принятым для использования при шифровании ИТ-данных:
- ДЕС
- 3DES
- Иглобрюхая рыба
- Две рыбы
- ДХМ
- ЮАР
- АЕС
- ЕСС
- Постквантовый
DES: Стандарт Шифрования Данных
Потребность в общегосударственном стандарте шифрования конфиденциальной информации стала очевидной еще в 1973 году. Национальное бюро стандартов США (ныне Национальный институт стандартов и технологий, или NIST) сделало публичный запрос на потенциальные шифры.
IBM и ведущий криптограф Хорст Фейстель вскоре предложили алгоритм блочного шифрования с симметричным ключом, который стал называться Стандартом шифрования данных (DES). К 1990-м годам DES подвергся широкой критике за свою уязвимость к атакам методом перебора и короткий размер ключа.
- Значение: первый национальный стандарт шифрования в США.
- Плюсы: Быстрый, простой в использовании
- Минусы: Уязвимость к атакам грубой силы еще в 1990-х годах.
- Используется для: Устарело, заменено на TDES.
TDES: Стандарт Тройного Шифрования Данных
Тройной DES (TDES), или 3-DES, улучшает исходный алгоритм шифрования DES с тремя этапами шифрования с использованием трех разных ключей:
- Этап 1: Ключ 1 используется для шифрования данных в виде открытого текста.
- Этап 2: Ключ 2 используется для расшифровки зашифрованных данных из шага 1 для создания нового документа (не воспроизводит исходный документ; в этой форме он не будет доступен для чтения).
- Этап 3: Ключ 3 используется для повторного шифрования данных из шага 2 для создания еще одного зашифрованного документа.
Симметричный блочный шифр TDES значительно превосходит DES по надежности, но с тех пор TDES был заменен на AES (см. ниже). Новые приложения больше не используют TDES, но данные, зашифрованные с помощью TDES, можно найти в устаревших средах, а Microsoft прекратила использование 3DES в Office 365 только в 2019 году.
- Значение: заменен DES.
- Плюсы: Гораздо сильнее, чем DES.
- Минусы: остается уязвимым для атак грубой силы и квантовых атак.
- Используется для: Устарело, заменено AES, однако устаревшее использование остается для PIN-кодов банкоматов, паролей UNIX, старых платежных систем.
Blowfish
Брюс Шнайер разработал симметричный блочный шифр Blowfish для замены DES в 1993 году. Алгоритм шифрования Blowfish был опубликован без необходимой лицензии и известен своей гибкостью, скоростью и устойчивостью по сравнению с другими старыми стандартами шифрования.
Алгоритм использует блоки размером 64 бита и шифрует их индивидуально в течение 16 раундов, используя длину ключа от 32 до 448 бит. Каждый раунд состоит из четырех действий, которые дополнительно шифруют данные для обработки шифрования. Этот стандарт не рекомендуется использовать для файлов размером более 4 ГБ из-за небольшого размера блока.
- Значение: ранний инструмент шифрования с открытым исходным кодом, замененный Twofish.
- Плюсы: Быстро, достаточно безопасно, бесплатно.
- Минусы: Уязвимость к грубой силе и квантовым атакам, медленная смена ключевых слов.
- Используется для: Все еще используется для управления паролями; шифрование файлов и дисков; старые инструменты протокола Secure Shell (SSH) (OpenSSH, PuTTY и т. д.); и встроен в операционные системы Linux и OpenBSD.
Twofish (Две Рыбы)
Twofish предлагает версию Blowfish следующего поколения, разработанную в 1998 году, в которой используются ключи длиной от 128 до 256 бит, размеры блоков от 128 до 256 бит и 16 раундов шифрования. Хотя симметричное блочное шифрование более сложное, чем Blowfish, оно оптимизировано для 32-битных процессоров, что обеспечивает более высокую производительность.
Как и Blowfish, Twofish также стал общедоступным, что позволяет бесплатно использовать и включать алгоритм в приложения. Несмотря на то, что AES конкурирует с AES по скорости на обычном оборудовании, AES может быть значительно быстрее при использовании аппаратного ускорения AES.
- Значение: заменен Blowfish, но при внедрении остается меньшего размера.
- Плюсы: более надежное шифрование, чем у Blowfish, высокая производительность.
- Минусы: не так быстро, как AES с аппаратными ускорителями, теоретически уязвим для атак методом квантового перебора.
- Используется для: шифрования файлов и папок.
DHM: Диффи-Хеллман-Меркль Вводит Обмен Ключами
Вскоре после выпуска DES трое ученых-компьютерщиков – Уитфилд Диффи, Мартин Хеллман и Ральф Меркл – опубликовали в 1976 году свое исследование по криптографии с открытым и закрытым ключами. Их обмен ключами Диффи-Хеллмана-Меркла (DHM) стал пионером асимметричного шифрования и поддержал многие более длинные ключи от 2048 до 4096 бит.
- Значение: опубликован первый алгоритм асимметричного шифрования.
- Плюсы: более безопасный обмен информацией, чем симметричные алгоритмы.
- Минусы: не получил широкого распространения, более ресурсоемок, уязвим к атакам грубой силы.
- Используется для: Не получил широкого распространения.
RSA-Шифрование
Через год после выпуска DHM три криптографа – Рон Ривест, Ади Шамир и Леонард Адлеман – разработали асимметричную криптосистему с открытым ключом RSA. Трое новаторов и Массачусетский технологический институт запатентовали алгоритм RSA, запатентованную систему, доступную через RSA Security до ее публичного выпуска в 2000 году. Алгоритм RSA остается сегодня самой популярной криптографической системой с открытым ключом и представил концепцию цифровых подписей для аутентификации за пределами академических кругов.
RSA основан на умножении двух очень больших случайных простых чисел для создания третьего, еще большего простого числа. Хотя большинству компьютеров очень сложно быстро факторизовать эти простые числа, алгоритм оказался уязвимым для атак квантовых вычислений и, как правило, является медленным в реализации. Алгоритм теперь находится в открытом доступе, и веб-сайты калькуляторов RSA можно использовать для изучения того, как работает этот процесс.
- Значение: первый коммерчески доступный асимметричный алгоритм с открытым ключом.
- Плюсы: обеспечивает безопасный обмен данными.
- Минусы: медленная реализация, уязвимость к атакам грубой силы (особенно квантовым).
- Используется для: безопасного обмена сообщениями, платежей, небольших зашифрованных файлов.
AES: Расширенный Стандарт Шифрования
В 1997 году NIST возобновил обращение к сообществу публичной криптографии с предложением преемника DES. Два голландских криптографа – Джоан Даемен и Винсент Реймен – представили окончательный вариант, известный как Рейндал. К 2001 году NIST назвал его Advanced Encryption Standard (AES) и официально заменил использование DES. AES предлагал более крупные и разные размеры ключей с семейством шифров на выбор и остается одним из самых популярных стандартов более 20 лет спустя. AES шифрует данные в течение 10–14 раундов с размером блока 128 бит и размером ключа от 128 до 256 бит.
В то время как и DES, и AES используют симметричные блочные шифры, AES использует сеть замены-перестановки, в которой открытый текст проходит несколько раундов замены (S-box) и перестановки (P-box) перед завершением блока зашифрованного текста. Аналогично, клиент или приложение могут расшифровать сообщение AES, обратив эти преобразования S-box и P-box.
Большинство организаций используют один из алгоритмов AES для шифрования файлов, полнодискового шифрования, шифрования приложений, шифрования передачи Wi-Fi, шифрования виртуальной общедоступной сети (VPN) и зашифрованных протоколов, таких как безопасность транспортного уровня (TLS).
- Значение: наиболее широко распространенный симметричный алгоритм блочного шифрования.
- Плюсы: более безопасно, чем устаревшее шифрование, быстрее, чем асимметричные варианты.
- Минусы: Уязвимость к краже ключей и атакам грубой силы.
- Используется для: протоколов, VPN, полнодискового шифрования, шифрования передачи Wi-Fi.
ECC: Криптография На Основе Эллиптических Кривых
Профессора Вашингтонского и Колумбийского университетов независимо друг от друга опубликовали в 1985 году исследование по криптографии на основе эллиптических кривых (ECC), но оно не получило широкого распространения до середины 2000-х годов. Как и RSA, ECC — это асимметричный алгоритм шифрования, но вместо использования простых чисел он использует эллиптические кривые для генерации открытых и закрытых ключей.
Использование эллиптических кривых обеспечивает эквивалентную безопасность с меньшими размерами ключей, чем RSA, что обеспечивает более быстрое выполнение алгоритмов шифрования и дешифрования. ECC оказался популярной альтернативой RSA, но также оказался уязвимым для таких угроз, как твист-безопасность и атаки по побочным каналам.
- Значение: популярная альтернатива асимметричному шифрованию RSA.
- Плюсы: быстрее, чем RSA, использует меньшие размеры ключей, более безопасен для совместного использования, чем алгоритмы симметричного шифрования.
- Минусы: Уязвимость к атакам с использованием нестандартной безопасности, побочным каналам и квантовым атакам.
- Используется для: шифрования электронной почты, цифровых подписей криптовалюты, протоколов интернет-связи.
Что Дальше? Постквантовая Криптография
Основываясь на квантовой механике, а не на математических операциях, квантовые компьютеры могут использовать алгоритм Шора для нахождения простых множителей гораздо быстрее, чем традиционные компьютеры. Это позволяет злоумышленнику, имеющему доступ к достаточно большому квантовому компьютеру, нарушить асимметричные стандарты, такие как DHM, RSA и ECC, определяя закрытый ключ организации по открытому ключу.
Хотя разработка квантовых компьютеров не является общедоступной, она рассматривается как неизбежная перспектива в ближайшем будущем. Данные, украденные сегодня, могут быть надежно зашифрованы с использованием современных стандартов и не поддаются взлому в течение следующих 5-10 лет. Однако если злоумышленник, укравший информацию, в будущем получит доступ к доступным ресурсам квантовых вычислений, шифрование может быть легко взломано.
Постквантовая криптография (PQC) описывает исследования, алгоритмы и поставщиков, разработанные для борьбы с квантовыми атаками и защиты ИТ-сред и данных следующего поколения. NIST и Агентство национальной безопасности США (АНБ) в 2022 году начали публиковать алгоритмы и ресурсы против квантовых угроз.
Тем не менее, исследования все еще находятся на ранних стадиях, поэтому первоначальные стандарты остаются в форме проекта, а полная архитектура смягчения последствий для федеральных агентств не ожидается до 2030-х годов. В настоящее время четыре признанных алгоритма включают в себя:
- CRYSTALS-Kyber ( FIPS 203 ) определяет алгоритм, включенный в стандарт механизма инкапсуляции асимметричных ключей (KEM), предназначенный для обеспечения квантовоустойчивого обмена защищенными ключами по общедоступным каналам.
- CRYSTALS-Dilithium ( FIPS 204 ) определяет алгоритм, включенный в стандарт для создания квантовоустойчивых схем цифровой подписи для проверки источников и личности.
- SPHINCS+ ( FIPS 205 ) определяет алгоритм, встроенный в квантово-устойчивый стандарт цифровой подписи на основе хэша без сохранения состояния для проверки источников и личности.
- FALCON (на рассмотрении FIPS) определит алгоритм и стандарт цифровой подписи на основе решеток быстрого Фурье.
Типы инструментов шифрования
Информационные технологии используют шифрование для защиты хранящихся и передаваемых данных различными способами . К наиболее широким применениям шифрования относятся:
- Зашифрованные протоколы передачи данных
- Полное шифрование диска
- Шифрование файлов
- Шифрование электронной почты
- Встроенное шифрование приложения
- Цифровые сертификаты
Хотя эти решения приобретаются и развертываются чаще всего, шифрование также можно найти включенным в решения безопасности, такие как брокеры безопасности доступа к облаку (CASB), межсетевые экраны нового поколения (NGFW), менеджеры паролей , виртуальные частные сети (VPN) и веб-технологии. брандмауэры приложений (WAF).
Зашифрованные Протоколы Передачи Данных
Многие фундаментальные протоколы включают в свои программы шифрование, чтобы обеспечить универсальную защиту, невидимую для большинства пользователей. Основные протоколы включают в себя:
- DomainKeys Identified Mail (DKIM) обеспечивает аутентификацию отправителей электронной почты путем размещения открытого ключа для зашифрованного блока текста в отправленных электронных письмах.
- Безопасность интернет-протокола (IPSec) обеспечивает шифрование на уровне IP-пакетов и создает безопасный туннель для пакетов, принадлежащих нескольким пользователям и хостам.
- Kerberos обеспечивает единый вход и аутентификацию пользователей на центральном сервере аутентификации и распределения ключей путем распространения аутентифицированных билетов для защиты и поддержки аутентификации в локальной сети.
- Протокол туннелирования уровня 2 (L2TP) обеспечивает основу для передачи данных с двойным шифрованием с использованием зашифрованного туннеля между устройствами.
- Безопасное/многофункциональное расширение интернет-почты (S/MIME) повышает безопасность электронной почты.
- Secure Shell (SSH) защищает удаленные терминалы и обеспечивает поддержку единого входа и безопасного туннелирования для потоков TCP.
- Протокол управления передачей (TCP) добавляет шифрование, аутентификацию сервера и аутентификацию клиента для связи между устройствами и приложениями и обеспечивает соединения HTTPS.
Полное Шифрование Диска
Чтобы защитить хранящиеся данные, весь жесткий диск можно инкапсулировать в зашифрованный контейнер. Эта функция может быть включена во встроенное ПО, в операционные системы или в качестве функции в приложения с открытым исходным кодом, условно-бесплатные или коммерческие приложения .
Полнодисковое шифрование защищает от кражи устройства или жесткого диска при выключении питания, делая содержимое устройства нечитаемым без ключа безопасности. Однако эти приложения обычно используют симметричное шифрование и уязвимы для украденных ключей. Кроме того, полнодисковое шифрование не защищает от кражи данных с устройства, когда устройство включено и данные для использования не зашифрованы.
Шифрование Файлов
Шифрование файлов защищает хранящиеся данные, пока устройство включено, и в противном случае данные доступны для использования. Шифрование применяется либо к папке, либо к отдельному файлу, а расшифровка применяется по мере необходимости, когда требуется информация.
Шифрование файлов, как правило, требует большего взаимодействия с пользователем, и его труднее применять на универсальной основе, чем полное шифрование диска. Шифрование файлов может повысить уровень безопасности, но оно остается уязвимым для украденных паролей и может быть более уязвимым для утери паролей, чем полное шифрование диска, для которого может использоваться пароль администратора, установленный ИТ-специалистами.
Шифрование Электронной Почты
Шифрование электронной почты помещает содержимое электронной почты в зашифрованные контейнеры для безопасной передачи с использованием незашифрованных протоколов электронной почты. Варианты шифрования электронной почты существуют в основных инструментах электронной почты, но многие организации предпочитают развертывать дополнительные инструменты с более надежными вариантами развертывания или шифрования.
Встроенное Шифрование Приложения
Такие приложения, как базы данных, веб-сайты и другие программы, могут включать в себя шифрование для защиты данных. Базы данных предлагают самые разнообразные типы шифрования для полей, столбцов или целых экземпляров хранилища базы данных. Другие типы шифрования позволяют обнаруживать и шифровать определенные типы данных, например номера кредитных карт и номера социального страхования, во всем приложении.
Цифровые Сертификаты
Цифровые сертификаты предоставляют общедоступные ключи, которые можно использовать для проверки личности или для шифрования и расшифровки информации. Сертификаты должны содержать актуальную информацию и заменяться до истечения срока их действия.
Как выбрать тип или алгоритм шифрования
При выборе типов шифрования предприятиям следует в первую очередь учитывать требования к безопасности, основанные на рисках организации. Риск определяет наиболее важные данные в организации с финансовой, операционной и нормативной точки зрения, что помогает определить, где и как шифрование может защитить эти данные.
Эффективный анализ рисков требует эффективной классификации данных, точной инвентаризации местоположений данных и эффективной картины того, как наиболее важные данные проходят через организацию. Анализ рисков определит потребности в безопасности, а затем следует рассмотреть ряд решений шифрования, а не только тип инструмента, который наиболее часто используется или наиболее удобен в применении.
К основным характеристикам коммерческого инструмента (кроме стоимости), которые следует учитывать, относятся:
- Централизованное управление политиками
- Скорость инструмента
- Управление ключами и автоматизация
- Поддержка аппаратного криптографического ускорения.
- Возможность отчитываться о соблюдении требований
- Возможности мониторинга, ведения журнала и аудита
- Поддержка операционной системы (ОС)
- Процессы установки и настройки
- Влияние на операции и пользовательский опыт
- Параметры алгоритма шифрования
- Поддержка устаревшего шифрования
К сожалению, шифрование может привести к потере функциональности, снижению производительности и даже потере данных в зависимости от таких факторов, как:
- Ошибка пользователя
- Требования к памяти и жесткому диску в сравнении с доступными ресурсами
- Необходимые изменения в инфраструктуре
- Необходимые изменения в устройствах
Решения, требующие значительных изменений в инфраструктуре и устройствах конечных пользователей, обычно следует использовать только в том случае, если другие варианты не могут удовлетворить потребности предприятия в безопасности. После выбора инструмента у организации может быть возможность выбрать один из нескольких доступных алгоритмов безопасности. Им следует учитывать, является ли этот алгоритм актуальным или устаревшим, проверенным или непроверенным и соответствует ли варианту использования.
Помимо рассмотрения инструментов и алгоритмов, организация должна также учитывать способ получения шифрования и экономические последствия:
- Прямая покупка инструмента дает возможность единовременной оплаты и профессиональной поддержки клиентов, но может устареть или быть узконаправленной.
- Программное обеспечение с открытым исходным кодом , как правило, бесплатное, но не имеет профессиональной поддержки клиентов, требует больше всего ресурсов для внедрения, может устареть и обычно узко ориентировано на то, как его можно использовать.
- Дополнительное шифрование часто представляет собой услугу, предоставляемую конкретными поставщиками для конкретных случаев использования, например шифрование облачного хранилища поставщика облачных услуг, добавленное для защиты облачных ресурсов.
- Шифрование как услуга предлагает широкий спектр вариантов шифрования, будет постоянно обновляться и требует минимальных усилий для управления; однако этот вариант предполагает передачу контроля над секретами компании сторонней стороне.
Выбор инструмента может представлять собой совместный и итеративный процесс. Затронутые пользователи должны участвовать в тестировании инструментов шифрования, а их развертывание можно проводить поэтапно, чтобы избежать сбоев и потери данных. Как и в случае с безопасностью, шифрование должно применяться на уровнях, соответствующих использованию: база данных, локальный файл, электронная почта или целые диски.
Итог: шифрование добавляет надежный уровень в стек безопасности
Шифрование может потребоваться в соответствии со стандартами соответствия, и клиенты ожидают, что важные данные будут зашифрованы для защиты и защиты от кражи. Однако само по себе шифрование не сможет полностью защитить ценные данные. Шифрование обеспечивает очень сильный уровень защиты, но оно должно дополнять полный набор решений и служб безопасности для защиты серверов, конечных точек, сетевых подключений, приложений и многого другого.