O que é criptografia de dados?

A criptografia de dados criptografa um dado, tornando-o ilegível para qualquer pessoa, serviço ou dispositivo sem a chave para desbloquear seu conteúdo. A criptografia torna os arquivos, discos, objetos, fluxos e outros tipos de dados privados entre um criptografador e um detentor da chave. Mesmo que terceiros tenham acesso a dados criptografados, eles não poderão acessá-los sem a chave. A criptografia de dados é uma parte fundamental da segurança cibernética corporativa.

Os sistemas de criptografia modernos geralmente usam criptografia simétrica ou assimétrica, as duas formas de criptografia.

Criptografia simétrica

A criptografia de chave simétrica utiliza uma única chave privada para criptografar e descriptografar dados. A forma como as chaves simétricas funcionam significa que o remetente e o destinatário devem possuir a chave de criptografia com antecedência.

Geralmente, a criptografia simétrica é mais rápida e eficiente do que a criptografia assimétrica, o que a torna adequada para criptografar grandes quantidades de dados.

Criptografia assimétrica

A criptografia simétrica usa um par de chaves públicas e privadas:

• Uma chave pública é uma chave usada para criptografar dados que outras pessoas enviam para você. Você compartilha essa chave de criptografia publicamente com seus contatos. Não precisa ser secreta.
• Uma chave privada é uma chave que você mantém em segredo e usa para descriptografar dados confidenciais que as pessoas enviam para você com a chave pública.

Esse sistema elimina a necessidade de trocar com segurança uma chave compartilhada, que é uma das limitações mais significativas da criptografia simétrica.

As organizações geralmente usam a criptografia assimétrica das seguintes maneiras:

• Uso de assinaturas digitais
• Proteção de sessões de navegação na web (HTTPS)
• Criptografia de mensagens sensíveis entre partes que não trocaram chaves anteriormente

Às vezes, a criptografia assimétrica também é chamada de criptografia de chave pública.

Indivíduos e organizações usam métodos de criptografia para proteger os dados e cumprir os padrões regulatórios. É possível criptografar dados em repouso, em trânsito e de ponta a ponta entre dispositivos em uma rede.

Criptografia em repouso

Dados em repouso são dados que você tem armazenados. Os dados armazenados podem ser dados armazenados em um disco rígido, na nuvem ou em um banco de dados. Por exemplo, as organizações geralmente mantêm um backup sincronizado de dados críticos, criptografados em repouso, na nuvem.

Criptografia em trânsito

Os dados em trânsito referem-se aos dados que estão sendo transferidos de um sistema para outro por meio de uma rede. Um exemplo é a interação entre um navegador da web e um servidor. Quando você visita um site seguro, como um banco, o navegador e o servidor usam uma forma de criptografia em trânsito. Essa criptografia de comunicações em trânsito é chamada de Transport Layer Security (TLS). Alguém poderia interceptar esses dados bancários pela rede, mas eles seriam ilegíveis.

Criptografia de ponta a ponta (E2EE)

A criptografia de dados de ponta a ponta criptografa os dados no sistema de envio antes da transferência. O sistema receptor usa uma chave de decodificação localmente após recebê-la. Por exemplo, uma aplicação de mensagens seguras executa criptografia de ponta a ponta no conteúdo da mensagem em seu dispositivo. Os dados só são descriptografados quando seu contato aprovado os recebe em sua aplicação.

As organizações geralmente usam criptografia para proteger dados sensíveis ou regulamentados.

Dados financeiros

A criptografia durante o armazenamento e em trânsito é a prática recomendada para proteger dados financeiros sensíveis, incluindo transações, detalhes da conta e históricos de crédito. No setor financeiro, vários regulamentos de conformidade, como o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI-DSS), exigem regras e processos rígidos de criptografia de dados. A criptografia aqui ajuda a evitar fraudes e acesso não autorizado.

Dados comerciais

Muitas organizações também optarão por criptografar dados comerciais sensíveis, como propostas, contratos com clientes, acordos de serviço (SLAs) e contratos com fornecedores. Setores e países específicos exigem conformidade com regulamentos e leis, como o Regulamento Geral de Proteção de Dados (RGPD), que abrangem os padrões de criptografia. As empresas criptografam dados para evitar danos financeiros ou de reputação no caso de uma violação de dados.

Dados de recursos humanos

Uma combinação de leis federais e locais normalmente regula como as organizações devem proteger os dados de recursos humanos (RH), especialmente as informações de identificação pessoal (PII) dos funcionários. Os dados de RH também são comumente compartilhados com plataformas de terceiros, o que pode criar oportunidades para que sejam revelados ou interceptados.

Informações de identificação pessoal (PII)

As informações de identificação pessoal (PII) incluem dados que, se divulgados, podem ser usados para identificar um indivíduo. Nomes, endereços e números do seguro social são exemplos de PII. A criptografia de PII ajuda as organizações a evitar o roubo de identidade e garante a conformidade com as leis globais de privacidade.

Por exemplo, regulamentações como o RGPD na União Europeia e a Lei de Privacidade do Consumidor da Califórnia (CCPA) exigem que as organizações protejam as PII sob sua custódia. A criptografia é uma ferramenta comumente usada para atender a esses padrões.

Informações protegidas de saúde (PHI)

Prestadores de serviços de saúde, seguradoras e departamentos de RH lidam com informações protegidas de saúde (PHI), que incluem informações médicas ou relacionadas à saúde associadas a um indivíduo. Exemplos de PHI incluem registros médicos eletrônicos, históricos de tratamento e dados de prescrição de farmácias.

As leis como a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) nos EUA determinam a implementação de medidas de segurança de dados. Essas medidas protegem a confidencialidade, integridade e disponibilidade das PHI eletrônicas (ePHI). Assim como acontece com as PII, a criptografia é uma ferramenta comum usada para atender à HIPAA e a outros padrões de PHI.

Um algoritmo de hash pega dados, como um arquivo ou mensagem, e calcula uma string de caracteres exclusiva para os dados, chamada de hash. Se alguém ou alguma coisa alterar os dados originais, mesmo que ligeiramente, o valor do hash também mudará. Portanto, os hashes são frequentemente usados para ajudar a verificar a integridade e a autenticidade dos dados.

Ao contrário da criptografia, os algoritmos de hash são funções matemáticas unidirecionais. Eles não têm chaves criptográficas e não podem ser revertidos. As organizações geralmente usam hash e criptografia juntos para verificar se os dados são autênticos e se estão inalterados.

As assinaturas digitais são uma ferramenta para verificar a autenticidade de um remetente. As assinaturas digitais utilizam criptografia de dados de chave pública e hashing.

As assinaturas digitais funcionam por meio do seguinte processo:

1. Um remetente cria um hash de seus dados para provar que são autênticos e que estão inalterados.
2. O remetente então criptografa esse hash para criar uma assinatura digital.
3. O destinatário recebe os dados junto com a assinatura associada. Ele executa a chave de decodificação na assinatura e gera um novo hash dos dados para comparar com o original descriptografado.

Se os dois hashes coincidirem, o destinatário pode ter certeza de que os dados foram enviados pelo remetente identificado e que nenhuma alteração ocorreu na transmissão.

O padrão de criptografia simétrica mais usado atualmente é o Advanced Encryption Standard (AES), com grande parte do tráfego de internet do mundo criptografado usando AES. O padrão assimétrico mais comum é o Rivest-Shamir-Adleman (RSA). O RSA é mais computacionalmente intensivo do que o AES e é mais comumente usado para criptografar pequenos volumes de dados, como assinaturas digitais.

Você pode usar o AES e o RSA em conjunto. Como o RSA é mais eficiente na criptografia de pequenos volumes de dados, ele pode criptografar chaves AES enviadas com transferências criptografadas de alto volume e chave simétrica.

Advanced Encryption Standard (AES)

O AES é uma especificação para criptografia simétrica estabelecida em 2001 pelo Instituto Nacional de Padrões e Tecnologia (NIST) dos EUA. O AES usa um algoritmo de criptografia desenvolvido pelos criptógrafos Joan Daemen e Vincent Rijmen e é compatível com tamanhos de chave de criptografia de 128 ou 256 bits (conhecidos como AES-128 e AES-256).

RSA

O nome do RSA vem dos cientistas do MIT que o desenvolveram em 1977, Rivest, Shamir e Adleman. Ele usa pares de números primos grandes gerados secretamente para criar chaves públicas e privadas. O RSA usa o “problema de fatoração” em matemática para seu modelo de criptografia. Não existe um método computacionalmente eficiente para fazer engenharia reversa dos fatores primos de números excepcionalmente grandes, como aqueles usados para gerar chaves RSA.

Data Encryption Standard (DES)

O Data Encryption Standard (DES) é um padrão de criptografia obsoleto, descontinuado pelo NIST em 2002 e substituído pelo AES. Ele usa uma chave de 56 bits para criptografar dados em blocos de 64 bits, que os pesquisadores descobriram serem propensos a ataques de força bruta. Embora vulnerável a técnicas modernas de entrada e violações de dados, o DES ainda é usado em sistemas legados hoje em dia.

As técnicas de criptografia de dados que você escolher devem fazer mais do que apenas proteger os dados. Essas técnicas devem se alinhar às metas de negócios e estar em conformidade com os requisitos normativos.

Considere estes quatro fatores ao selecionar técnicas de criptografia para sua organização.

Avaliar a sensibilidade dos ativos

Nem todos os dados exigem a mesma segurança. Dados sensíveis podem exigir criptografia completa de ponta a ponta. Dados menos sensíveis podem precisar de menos ou nenhuma criptografia.

Entender o ambiente de segurança

Algumas organizações como um todo podem ser alvos, como instituições financeiras ou agências governamentais. Outras, como empresas de aplicações, podem ter o mínimo de dados em repouso em sua própria infraestrutura, o que pode representar um risco de segurança. Selecione técnicas que sejam apropriadas ao perfil de risco de cada conjunto de ativos digitais em sua organização.

Usar padrões modernos

Nem todos os algoritmos de criptografia oferecem o mesmo nível de proteção. O DES, seu derivado 3DES e outros padrões mais antigos normalmente não podem proteger contra ataques modernos. Procure serviços de criptografia que utilizem os padrões atuais, como criptografia AES-256 e RSA com chaves de 2048 bits.

Atender aos requisitos de conformidade

Muitos setores e jurisdições têm regulamentações específicas que exigem criptografia para proteger dados sensíveis. Por exemplo, o PCI-DSS determina que as organizações processem e transmitam com segurança as informações do cartão de crédito do consumidor.

A AWS tem uma gama de serviços para oferecer suporte à criptografia baseada em nuvem e ao gerenciamento de chaves.

O AWS CloudHSM permite gerar e usar chaves criptográficas em instâncias dedicadas do módulo de segurança de hardware (HSM) de locatário único, em conformidade com o padrão federal de processamento de informações (FIPS) 140-2 Nível 3. O AWS CloudHSM promove a conformidade usando instâncias do HSM de propriedade do cliente e de locatário único que são executadas em sua própria nuvem privada virtual (VPC).

O AWS Key Management Service (AWS KMS) é um serviço que permite criar e controlar chaves usadas para criptografar dados em suas aplicações. O AWS KMS usa a biblioteca de criptografia de dados do SDK (kit de desenvolvimento de software) de criptografia da AWS.

O AWS Payment Cryptography simplifica as operações de criptografia em suas aplicações de pagamento hospedadas na nuvem.

O AWS Secrets Manager criptografa segredos em repouso usando chaves de criptografia das quais você é proprietário e armazena no AWS KMS.

Comece a usar a criptografia de dados na AWS criando uma conta gratuita hoje mesmo.