Apa itu Enkripsi Data?

Enkripsi data mengacak sepotong data, sehingga membuatnya tidak dapat dibaca oleh orang, layanan, atau perangkat apa pun tanpa kunci untuk membuka kontennya. Enkripsi membuat file, disk, objek, aliran, dan tipe data lainnya menjadi privat antara pengenkripsi dan pemegang kunci. Bahkan jika pihak ketiga memiliki akses ke data terenkripsi, mereka tidak dapat mengakses data tanpa kunci. Enkripsi data adalah bagian mendasar dari keamanan siber korporasi.

Sistem enkripsi modern biasanya menggunakan enkripsi simetris atau asimetris, keduanya merupakan bentuk kriptografi.

Enkripsi simetris

Enkripsi kunci simetris memanfaatkan kunci privat tunggal untuk mengenkripsi dan mendekripsi data. Cara kerja kunci simetris berarti bahwa pengirim dan penerima harus sama-sama memiliki kunci enkripsi terlebih dahulu.

Umumnya, enkripsi simetris lebih cepat dan lebih efisien daripada enkripsi asimetris, yang membuatnya sangat cocok untuk mengenkripsi data dalam jumlah besar.

Enkripsi asimetris

Enkripsi simetris menggunakan sepasang kunci publik dan privat:

• Kunci publik adalah kunci yang digunakan untuk mengenkripsi data yang dikirim orang lain kepada Anda. Anda membagikan kunci enkripsi ini secara publik dengan kontak. Kunci tersebut tidak perlu dirahasiakan.
• Kunci privat adalah kunci yang Anda rahasiakan dan gunakan untuk mendekripsi data rahasia yang dikirim orang kepada Anda dengan kunci publik.

Sistem ini menghilangkan kebutuhan untuk bertukar kunci bersama dengan aman, yang merupakan salah satu batasan paling signifikan dari enkripsi simetris.

Organisasi sering menggunakan enkripsi asimetris dengan cara berikut:

• Menggunakan tanda tangan digital
• Mengamankan sesi penjelajahan web (HTTPS)
• Mengenkripsi pesan sensitif di antara pihak yang sebelumnya belum bertukar kunci

Enkripsi asimetris terkadang disebut juga kriptografi kunci publik.

Individu dan organisasi menggunakan metode enkripsi untuk melindungi data dan mematuhi standar peraturan. Enkripsi dapat dilakukan pada data diam, bergerak, dan ujung-ke-ujung, antara perangkat di seluruh jaringan.

Enkripsi data diam

Data diam adalah data yang Anda miliki dalam penyimpanan. Data dalam penyimpanan dapat berupa data yang disimpan di dalam hard drive, cloud, atau basis data. Misalnya, organisasi sering memelihara cadangan data penting hasil sinkronisasi, yang dienkripsi saat diam, di cloud.

Enkripsi data bergerak

Data bergerak mengacu pada data yang ditransfer dari satu sistem ke sistem lain melalui jaringan. Contohnya adalah interaksi antara peramban web dan server. Ketika Anda mengunjungi situs web yang aman, seperti bank, peramban dan server menggunakan bentuk enkripsi data bergerak. Enkripsi komunikasi bergerak ini disebut Keamanan Lapisan Pengangkutan (TLS). Seseorang dapat mencegat data perbankan ini di jaringan, tetapi data tidak akan dapat dibaca.

Enkripsi ujung-ke-ujung (E2EE)

Enkripsi data ujung-ke-ujung mengenkripsi data pada sistem pengirim sebelum ditransfer. Sistem penerima menggunakan kunci dekripsi secara lokal setelah menerimanya. Misalnya, aplikasi perpesanan aman melakukan enkripsi ujung-ke-ujung pada konten pesan di perangkat Anda. Data hanya didekripsi setelah kontak Anda yang disetujui menerimanya di aplikasi mereka.

Organisasi biasanya menggunakan enkripsi untuk mengamankan data sensitif atau teregulasi.

Data keuangan

Enkripsi selama data disimpan dan bergerak adalah praktik terbaik untuk mengamankan data keuangan sensitif, termasuk transaksi, detail rekening, dan riwayat kredit. Di sektor keuangan, banyak peraturan kepatuhan, seperti Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS), memerlukan aturan dan proses enkripsi data yang ketat. Enkripsi di sini membantu mencegah fraud dan akses yang tidak sah.

Data komersial

Banyak organisasi juga ingin mengenkripsi data bisnis sensitif, seperti proposal, kontrak pelanggan, perjanjian tingkat layanan (SLA), dan kontrak pemasok. Industri dan negara tertentu mengharuskan kepatuhan terhadap peraturan dan undang-undang, seperti Peraturan Perlindungan Data Umum (GDPR), yang mencakup standar enkripsi. Perusahaan mengenkripsi data untuk menghindari kerugian finansial atau reputasi dalam hal pelanggaran data.

Data sumber daya manusia

Kombinasi undang-undang federal dan lokal biasanya mengatur bagaimana organisasi harus mengamankan data sumber daya manusia (SDM), terutama informasi pengenal pribadi (PII) karyawan. Data SDM juga umumnya dibagikan dengan platform pihak ketiga, yang dapat menciptakan peluang untuk diungkap atau disadap.

Informasi Pengenal Pribadi (PII)

Informasi pengenal pribadi (PII) mencakup data yang, jika diungkapkan, dapat digunakan untuk mengidentifikasi seseorang. Nama, alamat, dan nomor Jaminan Sosial, semuanya adalah contoh PII. Mengenkripsi PII membantu organisasi mencegah pencurian identitas dan memastikan kepatuhan terhadap undang-undang privasi global.

Misalnya, peraturan seperti GDPR di Uni Eropa dan California Consumer Privacy Act (CCPA) mengharuskan organisasi untuk melindungi PII di bawah tanggung jawab mereka. Enkripsi adalah alat yang umum digunakan untuk memenuhi standar ini.

Informasi Kesehatan yang Dilindungi (PHI)

Penyedia layanan kesehatan, perusahaan asuransi, dan departemen SDM menangani informasi kesehatan yang dilindungi (PHI), yang mencakup informasi medis atau terkait kesehatan yang terkait dengan individu. Contoh PHI termasuk rekam medis elektronik, riwayat perawatan, dan data resep farmasi.

Undang-undang seperti Health Insurance Portability and Accountability Act (HIPAA) di AS mewajibkan penerapan langkah-langkah keamanan data. Langkah-langkah ini melindungi kerahasiaan, integritas, dan ketersediaan PHI elektronik (ePHI). Seperti halnya PII, enkripsi adalah alat umum yang digunakan untuk memenuhi standar HIPAA dan PHI lainnya.

Algoritma hashing mengambil data, seperti file atau pesan, dan mengomputasi string karakter yang unik untuk data, yang disebut hash. Jika seseorang atau sesuatu mengubah data asli, bahkan sedikit saja, nilai hash juga berubah. Oleh karena itu, hash sering digunakan untuk membantu memverifikasi integritas dan keaslian data.

Berbeda dengan enkripsi, algoritma hashing adalah fungsi matematika satu arah. Algoritma tersebut tidak memiliki kunci kriptografi dan tidak dapat dibalik. Organisasi sering menggunakan hashing dan enkripsi bersama-sama untuk memverifikasi bahwa data asli dan tidak berubah.

Tanda tangan digital adalah alat untuk memverifikasi keaslian pengirim. Tanda tangan digital memanfaatkan enkripsi data kunci publik dan hashing.

Tanda tangan digital bekerja melalui proses berikut:

1. Seorang pengirim membuat hash data untuk membuktikan bahwa data tersebut asli dan tidak berubah.
2. Pengirim kemudian mengenkripsi hash tersebut untuk membuat tanda tangan digital.
3. Penerima menerima data bersama dengan tanda tangan terkait. Mereka menjalankan kunci dekripsi pada tanda tangan dan menghasilkan hash baru dari data untuk dibandingkan dengan hash asli yang didekripsi.

Jika kedua hash cocok, penerima dapat merasa yakin bahwa pengirim yang diidentifikasi mengirim data dan tidak ada perubahan yang terjadi dalam transmisi.

Standar enkripsi simetris yang paling banyak digunakan saat ini adalah Standar Enkripsi Lanjutan (AES), dengan sebagian besar lalu lintas internet dunia dienkripsi menggunakan AES. Standar asimetris yang paling umum adalah Rivest-Shamir-Adleman (RSA). RSA lebih intensif secara komputasi daripada AES dan lebih umum digunakan untuk mengenkripsi volume kecil data, seperti tanda tangan digital.

Anda dapat menggunakan AES dan RSA secara bersamaan. Karena paling efisien dalam mengenkripsi volume data yang kecil, RSA dapat mengenkripsi kunci AES yang dikirim dengan transfer terenkripsi kunci simetris dalam volume besar.

Standar Enkripsi Lanjutan (AES)

AES adalah spesifikasi untuk enkripsi simetris yang ditetapkan pada tahun 2001 oleh National Institute of Standards and Technology (NIST) Amerika Serikat. AES menggunakan algoritma enkripsi yang dikembangkan oleh kriptografer Joan Daemen dan Vincent Rijmen serta mendukung kunci enkripsi ukuran 128 atau 256 bit (dikenal sebagai AES-128 dan AES-256).

RSA

Nama RSA berasal dari ilmuwan MIT yang mengembangkannya pada tahun 1977, Rivest, Shamir, dan Adleman. RSA menggunakan pasangan bilangan prima besar yang dihasilkan secara diam-diam untuk membuat kunci privat dan publik. RSA menggunakan "masalah pemfaktoran" dalam matematika untuk model enkripsinya. Tidak ada metode komputasi yang efisien untuk merekayasa balik faktor prima dari angka yang sangat besar, seperti yang digunakan untuk menghasilkan kunci RSA.

Standar Enkripsi Data (DES)

Standar Enkripsi Data (DES) adalah standar enkripsi yang lebih lama yang dipensiunkan oleh NIST pada tahun 2002 demi AES. DES menggunakan kunci 56-bit untuk mengenkripsi data dalam blok 64-bit, yang menurut para peneliti rentan terhadap serangan brute-force. Meskipun rentan terhadap teknik entri modern dan pelanggaran data, saat ini DES masih digunakan dalam sistem warisan.

Teknik enkripsi data yang Anda pilih harus melakukan lebih dari sekadar mengamankan data. Teknik-teknik ini harus selaras dengan tujuan bisnis dan mematuhi persyaratan peraturan.

Pertimbangkan empat faktor ini ketika memilih teknik enkripsi untuk organisasi Anda.

Evaluasi sensitivitas aset

Tidak semua data membutuhkan keamanan yang sama. Data sensitif mungkin memerlukan enkripsi ujung-ke-ujung yang lengkap. Data yang kurang sensitif mungkin membutuhkan lebih sedikit atau bahkan tidak membutuhkan enkripsi.

Pahami lingkungan keamanan

Beberapa organisasi secara keseluruhan mungkin menjadi target, seperti lembaga keuangan atau lembaga pemerintah. Organisasi lainnya, seperti perusahaan aplikasi, mungkin memiliki data diam yang minimal di infrastruktur mereka sendiri, yang dapat menimbulkan risiko keamanan. Pilih teknik yang sesuai dengan profil risiko setiap rangkaian aset digital dalam organisasi Anda.

Gunakan standar modern

Tidak semua algoritma enkripsi menawarkan tingkat perlindungan yang sama. DES, turunannya 3DES, dan standar yang lebih lama lainnya biasanya tidak dapat melindungi dari serangan modern. Cari layanan enkripsi yang memanfaatkan standar terbaru, seperti enkripsi AES-256 dan RSA dengan kunci 2048-bit.

Penuhi persyaratan kepatuhan

Banyak industri dan yurisdiksi memiliki peraturan khusus yang memerlukan enkripsi untuk melindungi data sensitif. Misalnya, PCI-DSS mewajibkan organisasi memproses dan mentransmisikan informasi kartu kredit konsumen dengan aman.

AWS memiliki berbagai layanan untuk mendukung enkripsi dan manajemen kunci berbasis cloud.

AWS CloudHSM memungkinkan Anda untuk menghasilkan dan menggunakan kunci kriptografi pada instans modul keamanan perangkat keras (HSM) tenant tunggal khusus yang memenuhi Standar Pemrosesan Informasi Federal (FIPS) 140-2 Tingkat 3. AWS CloudHSM mempromosikan kepatuhan menggunakan instans HSM tenant tunggal milik pelanggan yang berjalan di Cloud Privat Virtual (VPC) Anda sendiri.

AWS Key Management Service (AWS KMS) adalah layanan yang memungkinkan Anda membuat dan mengontrol kunci yang digunakan untuk mengenkripsi data dalam aplikasi. AWS KMS menggunakan pustaka enkripsi data AWS Encryption SDK (kit pengembangan perangkat lunak).

AWS Payment Cryptography menyederhanakan operasi kriptografi dalam aplikasi pembayaran yang di-hosting cloud.

AWS Secrets Manager mengenkripsi rahasia saat diam menggunakan kunci enkripsi yang Anda miliki dan simpan di AWS KMS.

Mulai enkripsi data di AWS dengan membuat akun gratis sekarang juga.