Что такое шифрование данных?

Шифрование данных изменяет фрагмент данных, делая его недоступным для чтения любому пользователю, сервису или устройству без ключа, позволяющего разблокировать содержимое. Шифрование обеспечивает конфиденциальность файлов, дисков, объектов, потоков и других типов данных при их передаче между шифратором и держателем ключей. Даже если третья сторона получит доступ к зашифрованным данным, она не может изучить эти данные без ключа. Шифрование данных – фундаментальная часть корпоративной кибербезопасности.

Современные системы шифрования обычно используют симметричное или асимметричное шифрование, являющиеся двумя разными формами криптографии.

Симметричное шифрование

При шифровании с симметричным ключом используется один закрытый ключ как для шифрования, так и для дешифрования данных. Принцип работы симметричных ключей означает, что и отправитель, и получатель должны иметь ключ шифрования заранее.

Как правило, симметричное шифрование быстрее и эффективнее асимметричного, поэтому оно хорошо подходит для шифрования больших объемов данных.

Асимметричное шифрование

Симметричное шифрование использует пару из открытого и закрытого ключей.

• Открытый ключ – это ключ, используемый для шифрования данных, отправляемых вам другими людьми. Вы публично делитесь этим ключом шифрования со своими контактами. Он не обязательно должен быть секретным.
• Закрытый ключ – это ключ, который вы храните в секрете и используете для расшифровки конфиденциальных данных, которые люди отправляют вам вместе с открытым ключом.

Такая система устраняет необходимость безопасного обмена общим ключом, что является одним из наиболее существенных ограничений симметричного шифрования.

Организации часто используют асимметричное шифрование перечисленными ниже способами.

• Использование цифровых подписей
• Защита сеансов просмотра веб-страниц (HTTPS)
• Шифрование конфиденциальных сообщений между сторонами, которые ранее не обменивались ключами

Асимметричное шифрование также иногда называют криптосистемой с открытым ключом.

Частные лица и организации используют методы шифрования для защиты данных и соблюдения нормативных стандартов. Можно шифровать данные в местах хранения или в движении, а также для сквозного шифрования на всех устройствах в сети.

Шифрование в местах хранения

Данные в местах хранения – это данные, размещенные на носителях. Данные на носителях могут хранится на жестких дисках, в облаке или в базе данных. Например, организации часто прибегают к синхронизированному резервному копированию в облако критически важных данных, зашифрованных в местах хранения.

Шифрование в движении

Под данными в движении понимаются данные, передаваемые из одной системы в другую посредством сети. В качестве примера можно привести взаимодействие между веб-браузером и сервером. Когда пользователь посещает защищенный веб-сайт, например сайт банка, браузер и сервер используют форму шифрования в движении. Это шифрование данных в движении называется протоколом TLS (безопасности транспортного уровня). Кто-то может перехватить банковские данные при передачи в сети, однако их будет невозможно прочитать.

Сквозное шифрование (E2EE)

Сквозное шифрование данных используется в отправляющей системе перед передачей информации. Получающая система использует ключ дешифрования на локальном уровне после получения данных. Например, приложение для безопасного обмена сообщениями может выполнять сквозное шифрование содержимого сообщений прямо на устройстве пользователя. Данные расшифровываются только после того, как одобренный контакт получит их в своем приложении.

Организации обычно используют шифрование для защиты конфиденциальных или регулируемых данных.

Финансовые данные

Шифрование во время хранения и передачи – это лучшая практика защиты конфиденциальных финансовых данных, включая транзакции, реквизиты счетов и кредитные истории. В финансовом секторе многие нормативные акты, такие как Стандарт безопасности данных индустрии платежных карт (PCI-DSS), требуют строгих правил и процессов шифрования данных. В этом случае шифрование помогает предотвратить мошенничество и несанкционированный доступ.

Коммерческие данные

Многие организации также стремятся шифровать конфиденциальные бизнес-данные, такие как коммерческие предложения, контракты с клиентами, соглашения об уровне обслуживания (SLA) и контракты с поставщиками. Отдельные отрасли и страны требуют соблюдения нормативных положений и законов, таких как Общий регламент по защите данных (GDPR), если они касаются стандартов шифрования. Компании шифруют данные, чтобы избежать финансового или репутационного ущерба в случае утечки данных.

Данные о подборе персонала

Сочетание государственных и местных законов обычно регулирует, как организации должны защищать данные о подборе персонала (HR), особенно информацию, позволяющую установить личность сотрудников (PII). Данные о подборе персонала также обычно передаются сторонним платформам, что может привести к риску их раскрытия или перехвата.

Информация, позволяющая установить личность (PII)

Информация, позволяющая установить личность (PII), включает данные, раскрытие которых может быть использовано для идентификации физического лица. Имена, адреса и номера социального страхования – все это примеры PII. Шифрование PII помогает организациям предотвращать кражу личных данных и обеспечивает соблюдение международных законов о конфиденциальности.

Например, такие нормативные акты, как GDPR в Европейском Союзе и Закон штата Калифорния о защите прав потребителей (CCPA), обязывают организации оберегать хранящиеся у них персональные данные. Шифрование является широко используемым инструментом для обеспечения соответствия этим стандартам.

Закрытая медицинская информация (PHI)

Поставщики медицинских услуг, страховые компании и отделы кадров обрабатывают закрытую медицинскую информацию (PHI), которая включает медицинские данные или данные о здоровье, связанные с физическим лицом. Примеры PHI включают электронные медицинские записи, истории лечения и данные о фармакологических рецептах.

Такие законы, как Акт о передаче и защите данных учреждений здравоохранения (HIPAA) в США, предписывают применение определенных мер безопасности данных. Эти меры защищают конфиденциальность, целостность и доступность электронного варианта PHI (ePHI). Как и в случае с PII, шифрование является распространенным инструментом, используемым для соответствия HIPAA и другим стандартам PHI.

Алгоритм хеширования принимает данные, такие как файл или сообщение, и вычисляет строку символов, уникальную для данных, называемую хэшем. Если кто-то или что-то хотя бы незначительно изменяет исходные данные, значение хэша также изменяется. Поэтому хэши часто используются для проверки целостности и подлинности данных.

В отличие от шифрования, алгоритмы хэширования представляют собой односторонние математические функции. Они не имеют криптографических ключей и не могут быть подвергнуты обратному преобразованию. Организации часто используют хэширование и шифрование совместно для проверки подлинности и неизменности данных.

Цифровые подписи – это инструмент для проверки подлинности отправителя. Цифровые подписи используют хэширование и шифрование данных с открытым ключом.

Принцип работы цифровых подписей приводится ниже.

1. Отправитель создает хэш своих данных, чтобы доказать их подлинность и неизменность.
2. Затем отправитель шифрует этот хэш для создания цифровой подписи.
3. Получатель принимает данные вместе с соответствующей подписью. Затем он запускает ключ дешифрования в подписи и генерирует новый хэш данных для сравнения с расшифрованным оригиналом.

Если оба хэша совпадают, получатель может быть уверен в том, что идентифицированный отправитель передал данные и что в них не было внесено никаких изменений при передаче.

Сегодня наиболее широко используемым стандартом симметричного шифрования является расширенный стандарт шифрования (Advanced Encryption Standard, AES), при этом большая часть мирового интернет-трафика шифруется именно с его помощью. Наиболее распространенным асимметричным стандартом является функция Ривеста-Шамира-Адлемана (RSA). RSA требует больших вычислительных ресурсов, чем AES, и чаще используется для шифрования небольших объемов данных, таких как цифровые подписи.

AES и RSA можно использовать в сочетании. Поскольку RSA наиболее эффективен при шифровании небольших объемов данных, им можно шифровать ключи AES, отправляемые при передаче большого объема данных, которые были зашифрованы симметричным ключом.

Расширенный стандарт шифрования (AES)

AES – это спецификация симметричного шифрования, разработанная в 2001 году расположенным в США Национальным институтом по стандартизации и технологии (NIST). AES использует алгоритм шифрования, созданный криптографами Джоан Дэмен и Винсентом Райменом, и поддерживает ключи шифрования размером 128 или 256 бит (известные как AES-128 и AES-256).

RSA

Название RSA происходит от фамилий ученых Массачусетского технологического института, разработавших его в 1977 году: Ривеста, Шамира и Адлемана. Этот стандарт использует пары безопасно сгенерированных больших простых чисел для создания закрытых и открытых ключей. Для своей модели шифрования RSA использует математическую задачу разложения на множители. Не существует эффективного с вычислительной точки зрения метода обратного инжиниринга простых множителей исключительно больших чисел, подобных тем, которые используются для генерации ключей RSA.

Стандарт шифрования данных (DES)

Стандарт шифрования данных (DES) – это старый стандарт шифрования, отмененный NIST в 2002 году в пользу AES. Он использует 56-битный ключ для шифрования данных в 64-битных блоках, которые, как обнаружили исследователи, подвержены атакам методом перебора. Несмотря на уязвимость к современным методам ввода и утечкам данных, DES до сих пор используется в устаревших системах.

Выбранные методы шифрования данных должны обеспечивать не просто защиту данных. Эти методы должны соответствовать бизнес-целям и нормативным требованиям.

При выборе методов шифрования для организации стоит учитывать приведенные ниже четыре фактора.

Оцените чувствительности активов

Не все данные требуют одинакового уровня безопасности. Конфиденциальные данные могут потребовать полного сквозного шифрования. Для менее конфиденциальных данных может хватить меньшего объема шифрования, или же шифрования не потребуется вовсе.

Понимание среды безопасности

Некоторые организации, например финансовые или государственные учреждения, могут полностью становиться целями атаки. Другие компании, например те, которые занимаются разработкой приложений, могут сберегать минимальное количество данных в местах хранения на базе собственной инфраструктуры, что также может представлять угрозу безопасности. Выберите методы, соответствующие профилю рисков каждого набора цифровых активов в вашей организации.

Использование современных стандартов

Не все алгоритмы шифрования обеспечивают одинаковый уровень защиты. DES, производный от него 3DES и другие старые стандарты обычно не могут защитить от современных атак. Выбирайте сервисы шифрования, использующие современные стандарты, такие как шифрование AES-256 и RSA с 2048-битными ключами.

Обеспечение соответствия нормативным требованиям

Во многих отраслях и юрисдикциях действуют специальные правила, требующие шифрования для защиты конфиденциальных данных. Например, PCI-DSS обязывает организации защищенным образом обрабатывать и передавать информацию о потребительских кредитных картах.

AWS предлагает ряд сервисов для поддержки облачного шифрования и управления ключами.

AWS CloudHSM позволяет генерировать и использовать криптографические ключи на специализированных инстансах однопользовательского аппаратного модуля безопасности (HSM) третьего уровня Федерального стандарта по обработке информации (Federal Information Processing Standards, FIPS) 140-2. AWS CloudHSM обеспечивает соответствие требованиям, используя принадлежащие заказчику инстансы однопользовательского HSM, которые работают в собственном виртуальном частном облаке (VPC) клиента.

Сервис управления ключами AWS (AWS KMS) – это сервис, позволяющий создавать ключи, которые используются для шифрования данных в приложениях, и управлять ими. AWS KMS использует библиотеку шифрования данных AWS Шифрование SDK (комплект для разработки программного обеспечения).

AWS Payment Cryptography обеспечивает криптографические операции в платежных приложениях с хостингом в облаке.

Менеджер секретов AWS выполняет шифрование конфиденциальных данных при хранении с помощью принадлежащих пользователю ключей шифрования, которые хранятся в AWS KMS.

Начните работу с шифрованием данных на AWS, создав бесплатный аккаунт уже сегодня.