การเข้ารหัสข้อมูลคืออะไร

การเข้ารหัสข้อมูลจะรวบรวมข้อมูลส่วนหนึ่งทำให้ไม่สามารถอ่านได้สำหรับบุคคล บริการ หรืออุปกรณ์ใด ๆ โดยไม่มีคีย์ในการปลดล็อกเนื้อหา การเข้ารหัสทำให้ไฟล์ ดิสก์ ออบเจ็กต์ สตรีม และข้อมูลประเภทอื่น ๆ เป็นส่วนตัวระหว่างผู้เข้ารหัสและผู้ถือคีย์ แม้ว่าบุคคลที่สามจะสามารถเข้าถึงข้อมูลที่เข้ารหัสได้ แต่พวกเขาไม่สามารถเข้าถึงข้อมูลได้โดยไม่มีคีย์ การเข้ารหัสข้อมูลเป็นส่วนพื้นฐานของการรักษาความปลอดภัยทางไซเบอร์ขององค์กร

ระบบการเข้ารหัสที่ทันสมัยมักใช้การเข้ารหัสแบบสมมาตรหรือแบบอสมมาตร ทั้งสองรูปแบบของวิทยาการรหัสลับ

การเข้ารหัสแบบสมมาตร

การเข้ารหัสคีย์แบบสมมาตรใช้คีย์ส่วนตัวเดียวสำหรับการเข้ารหัสและถอดรหัสข้อมูล วิธีการทำงานของคีย์แบบสมมาตรหมายความว่าผู้ส่งและผู้รับจะต้องมีคีย์การเข้ารหัสล่วงหน้า

โดยทั่วไปการเข้ารหัสแบบสมมาตรจะเร็วกว่าและมีประสิทธิภาพมากกว่าการเข้ารหัสแบบไม่สมมาตรซึ่งทำให้เหมาะสำหรับการเข้ารหัสข้อมูลจำนวนมาก

การเข้ารหัสแบบอสมมาตร

การเข้ารหัสแบบสมมาตรใช้คู่คีย์สาธารณะและคู่คีย์ส่วนตัว:

• คีย์สาธารณะคือกุญแจที่ใช้ในการเข้ารหัสข้อมูลที่บุคคลอื่นส่งถึงคุณ คุณแบ่งปันคีย์การเข้ารหัสนี้กับผู้ติดต่อของคุณ คีย์นี้ไม่จำเป็นต้องเป็นความลับ
• คีย์ส่วนตัวเป็นคีย์ที่คุณเก็บไว้เป็นความลับและใช้เพื่อถอดรหัสข้อมูลที่เป็นความลับที่ผู้คนส่งให้คุณด้วยคีย์สาธารณะ

ระบบนี้ไม่จำเป็นต้องแลกเปลี่ยนคีย์ที่ใช้ร่วมกันอย่างปลอดภัยซึ่งเป็นหนึ่งในข้อจำกัดที่สำคัญที่สุดของการเข้ารหัสแบบสมมาตร

องค์กรมักใช้การเข้ารหัสแบบอสมมาตรด้วยวิธีต่อไปนี้:

• การใช้ลายเซ็นดิจิทัล
• การรักษาความปลอดภัยของเซสชันการท่องเว็บ (HTTPS)
• การเข้ารหัสข้อความที่ละเอียดอ่อนระหว่างบุคคลที่ไม่เคยแลกเปลี่ยนคีย์ก่อนหน้านี้

การเข้ารหัสแบบอสมมาตรบางครั้งก็เรียกว่าการเข้ารหัสคีย์สาธารณะ

บุคคลและองค์กรใช้วิธีการเข้ารหัสเพื่อปกป้องข้อมูลและปฏิบัติตามมาตรฐานการกำกับดูแล เป็นไปได้ที่จะเข้ารหัสข้อมูลที่อยู่ในพื้นที่จัดเก็บ ข้อมูลที่อยู่ระหว่างการโอนย้าย ใช้กับข้อมูลแบบครบวงจร ใช้กับข้อมูลต้นทางถึงปลายทางอุปกรณ์ทั่วเครือข่าย

การเข้ารหัสที่อยู่ในพื้นที่จัดเก็บ

ข้อมูลที่อยู่ในพื้นที่จัดเก็บคือข้อมูลที่คุณมีไว้ในพื้นที่จัดเก็บ ข้อมูลในพื้นที่จัดเก็บอาจเป็นข้อมูลที่เก็บไว้ในฮาร์ดไดรฟ์ในคลาวด์หรือในฐานข้อมูล ตัวอย่างเช่น องค์กรมักจะรักษาข้อมูลที่สำรองข้อมูลไว้ที่สำคัญแบบซิงโครไนซ์ ข้อมูลที่เข้ารหัสที่อยู่ในพื้นที่จัดเก็บ ข้อมูลในระบบคลาวด์

การเข้ารหัสระหว่างการโอนย้าย

ข้อมูลที่อยู่ระหว่างการโอนย้ายหมายถึงข้อมูลที่ถูกถ่ายโอนจากระบบหนึ่งไปยังอีกระบบหนึ่งผ่านเครือข่าย ตัวอย่างคือปฏิสัมพันธ์ระหว่างเว็บเบราว์เซอร์และเซิร์ฟเวอร์ เมื่อคุณเยี่ยมชมเว็บไซต์ที่ปลอดภัย เช่น ธนาคาร เบราว์เซอร์และเซิร์ฟเวอร์จะใช้รูปแบบของการเข้ารหัสระหว่างการโอนย้าย การเข้ารหัสการสื่อสารระหว่างการโอนย้ายนี้เรียกว่า Transport Layer Security (TLS) หามีคนสามารถดักจับข้อมูลธนาคารนี้ผ่านเครือข่ายได้ แต่จะไม่สามารถอ่านได้

การเข้ารหัสแบบต้นทางถึงปลายทาง (E2EE)

การเข้ารหัสข้อมูลแบบต้นทางถึงปลายทางจะเข้ารหัสข้อมูลในระบบส่งก่อนถ่ายโอน ระบบที่ทำการรับใช้คีย์ถอดรหัสภายในเครื่องหลังจากได้รับ ตัวอย่างเช่น แอปส่งข้อความที่ปลอดภัยทำการเข้ารหัสแบบต้นทางถึงปลายทางในเนื้อหาข้อความบนอุปกรณ์ของคุณ ข้อมูลนี้จะถูกถอดรหัสเมื่อผู้ติดต่อที่ได้รับอนุมัติของคุณได้รับข้อมูลในแอปของตนเท่านั้น

องค์กรมักใช้การเข้ารหัสเพื่อรักษาความปลอดภัยข้อมูลที่ละเอียดอ่อนหรือมีการควบคุม

ข้อมูลการเงิน

การเข้ารหัสระหว่างการจัดเก็บและระหว่างการโอนย้ายเป็นแนวทางปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัยข้อมูลทางการเงินที่ละเอียดอ่อน รวมถึงธุรกรรม รายละเอียดบัญชี และประวัติเครดิต ในภาคการเงิน ข้อบังคับการปฏิบัติตามกฎระเบียบจำนวนมาก เช่น Payment Card Industry Data Security Standard (PCI-DSS) จำเป็นต้องมีกฎและกระบวนการเข้ารหัสข้อมูลที่เข้มงวด การเข้ารหัสที่นี่ช่วยป้องกันการฉ้อโกงและการเข้าถึงโดยไม่ได้รับอนุญาต

ข้อมูลเชิงพาณิชย์

หลายองค์กรยังต้องการเข้ารหัสข้อมูลธุรกิจที่ละเอียดอ่อน เช่น ข้อเสนอ สัญญาลูกค้า ข้อตกลงระดับบริการ (SLA) และสัญญาซัพพลายเออร์ อุตสาหกรรมและประเทศที่เฉพาะเจาะจงต้องการการปฏิบัติตามกฎระเบียบและกฎหมาย เช่น ระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR) ซึ่งครอบคลุมมาตรฐานการเข้ารหัส บริษัทต่าง ๆ เข้ารหัสข้อมูลเพื่อหลีกเลี่ยงอันตรายทางการเงินหรือชื่อเสียงในกรณีที่เกิดการละเมิดข้อมูล

ข้อมูลด้านทรัพยากรบุคคล

การผสมผสานของกฎหมายของรัฐบาลกลางและกฎหมายท้องถิ่นมักจะควบคุมว่าองค์กรต้องรักษาความปลอดภัยข้อมูลด้านทรัพยากรบุคคล (HR) โดยเฉพาะข้อมูลที่ระบุตัวตนของบุคคลได้ (PII) ของพนักงาน ข้อมูลด้านทรัพยากรบุคคลมักถูกแชร์กับแพลตฟอร์มของบุคคลที่สาม ซึ่งสามารถสร้างโอกาสให้มีการเปิดเผยหรือดักจับได้

ข้อมูลที่ระบุตัวตนของบุคคลได้ (PII)

ข้อมูลที่ระบุตัวตนของบุคคลได้ (PII) รวมถึงข้อมูลที่หากเปิดเผย สามารถใช้เพื่อระบุตัวบุคคลได้ ชื่อ ที่อยู่ และหมายเลขประกันสังคมเป็นตัวอย่างของ PII การเข้ารหัส PII ช่วยให้องค์กรป้องกันการโจรกรรมตัวตนและรับประกันการปฏิบัติตามกฎระเบียบกับกฎหมายความเป็นส่วนตัวทั่วโลก

ตัวอย่างเช่น ข้อบังคับเช่น GDPR ในสหภาพยุโรปและกฎหมายความเป็นส่วนตัวของผู้บริโภคแคลิฟอร์เนีย (CCPA) กำหนดให้องค์กรปกป้อง PII ที่อยู่ภายใต้การดูแลของพวกเขา การเข้ารหัสเป็นเครื่องมือที่ใช้กันทั่วไปเพื่อตอบสนองมาตรฐานเหล่านี้

ข้อมูลสุขภาพที่ได้รับการคุ้มครอง (PHI)

ผู้ให้บริการด้านการดูแลสุขภาพ ผู้ประกันภัย และแผนกทรัพยากรบุคคลจัดการข้อมูลสุขภาพที่ได้รับการคุ้มครอง (PHI) ซึ่งรวมถึงข้อมูลทางการแพทย์หรือข้อมูลที่เกี่ยวข้องกับสุขภาพที่เกี่ยวข้องกับบุคคล ตัวอย่างของ PHI ได้แก่ บันทึกทางการแพทย์ในรูปแบบอิเล็กทรอนิกส์ ประวัติการรักษาและข้อมูลใบสั่งยาในร้านขายยา

กฎหมายเช่นกฎหมายว่าด้วยการส่งผ่านและความรับผิดชอบด้านการประกันสุขภาพ (HIPAA) ในสหรัฐอเมริกากำหนดให้ดำเนินการตามมาตรการรักษาความปลอดภัยของข้อมูล มาตรการเหล่านี้ปกป้องความลับ ความถูกต้องครบถ้วน และความพร้อมใช้งานของ PHI อิเล็กทรอนิกส์ (EPHI) เช่นเดียวกับ PII การเข้ารหัสเป็นเครื่องมือทั่วไปที่ใช้เพื่อตอบสนองมาตรฐาน HIPAA และมาตรฐาน PHI อื่น ๆ

อัลกอริทึมแฮชจะใช้ข้อมูล เช่น ไฟล์หรือข้อความ และคำนวณสตริงของอักขระที่ไม่ซ้ำกันสำหรับข้อมูลซึ่งเรียกว่าแฮช หากมีใครเปลี่ยนข้อมูลดั้งเดิมแม้เล็กน้อย ค่าแฮชก็จะเปลี่ยนไปเช่นกัน ดังนั้นแฮชจึงมักใช้เพื่อช่วยตรวจสอบความสมบูรณ์และความถูกต้องของข้อมูล

ตรงกันข้ามกับการเข้ารหัส อัลกอริทึมแฮชเป็นฟังก์ชันทางคณิตศาสตร์แบบทางเดียว วิธีการนี้ไม่มีคีย์การเข้ารหัสและไม่สามารถย้อนกลับได้ องค์กรมักใช้แฮชและการเข้ารหัสร่วมกันเพื่อตรวจสอบว่าข้อมูลถูกต้องและไม่ถูกเปลี่ยนแปลง

ลายเซ็นดิจิทัลเป็นเครื่องมือในการตรวจสอบความถูกต้องของผู้ส่ง ลายเซ็นดิจิทัลใช้ทั้งการเข้ารหัสข้อมูลสาธารณะและการแฮช

ลายเซ็นดิจิทัลทำงานผ่านกระบวนการต่อไปนี้:

1. ผู้ส่งสร้างแฮชของข้อมูลเพื่อพิสูจน์ว่าข้อมูลถูกต้องและไม่มีการเปลี่ยนแปลง
2. จากนั้นผู้ส่งจะเข้ารหัสแฮชนั้นเพื่อสร้างลายเซ็นดิจิทัล
3. ผู้รับได้รับข้อมูลพร้อมกับลายเซ็นที่เกี่ยวข้อง ผู้รับเรียกใช้คีย์ถอดรหัสบนลายเซ็นและสร้างแฮชใหม่ของข้อมูลเพื่อเปรียบเทียบกับต้นฉบับที่ถอดรหัส

หากแฮชทั้งสองตรงกัน ผู้รับสามารถมั่นใจได้ว่าผู้ส่งที่ระบุได้ส่งข้อมูลและไม่มีการเปลี่ยนแปลงเกิดขึ้นในการส่ง

มาตรฐานการเข้ารหัสแบบสมมาตรที่ใช้กันอย่างแพร่หลายที่สุดในปัจจุบันคือ Advanced Encryption Standard (AES) โดยมีการเข้ารหัสการรับส่งข้อมูลอินเทอร์เน็ตส่วนใหญ่ของโลกโดยใช้ AES มาตรฐานแบบอสมมาตรที่พบบ่อยที่สุดคือ Rivest-Shamir-Adleman (RSA) RSA ใช้ทรัพยากรในการประมวลผลมากกว่า AES และมักนิยมใช้ในการเข้ารหัสข้อมูลที่มีปริมาณน้อย เช่น ลายเซ็นดิจิทัล

คุณสามารถใช้ AES และ RSA ร่วมกันได้ เนื่องจาก RSA มีประสิทธิภาพสูงสุดในการเข้ารหัสข้อมูลปริมาณน้อย จึงสามารถนำมาใช้เข้ารหัสคีย์ AES ที่ส่งไปพร้อมกับการถ่ายโอนข้อมูลปริมาณมากที่เข้ารหัสด้วยคีย์แบบสมมาตรได้

มาตรฐานการเข้ารหัสขั้นสูง (AES)

AES เป็นข้อกำหนดสำหรับการเข้ารหัสแบบสมมาตรที่จัดตั้งขึ้นในปี 2001 โดยสหรัฐอเมริกา สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) AES ใช้อัลกอริทึมการเข้ารหัสที่พัฒนาโดยนักเข้ารหัส Joan Daemen และ Vincent Rijmen และรองรับขนาดคีย์การเข้ารหัส 128 หรือ 256 บิต (ที่รู้จักกันในชื่อ AES-128 และ AES-256)

RSA

ชื่อของ RSA มีต้นกำเนิดมาจากนักวิทยาศาสตร์ของ MIT ที่พัฒนาในปี 1977 คือ Rivest, Shamir และ Adleman มาตรฐานนี้ใช้คู่ของตัวเลขหลักขนาดใหญ่ที่สร้างขึ้นอย่างลับเพื่อสร้างคีย์ส่วนตัวและคีย์สาธารณะ RSA ใช้ “ปัญหาปัจจัย” ในคณิตศาสตร์สำหรับโมเดลการเข้ารหัส ไม่มีวิธีการที่มีประสิทธิภาพในการคำนวณเพื่อสร้างปัจจัยหลักของตัวเลขขนาดใหญ่เป็นพิเศษ เช่นที่ใช้ในการสร้างคีย์ RSA

มาตรฐานการเข้ารหัสข้อมูล (DES)

มาตรฐานการเข้ารหัสข้อมูล (DES) เป็นมาตรฐานการเข้ารหัสที่เก่ากว่าที่ได้รับการยกเลิกโดย NIST ในปี 2002 เพื่อสนับสนุน AES ใช้คีย์ 56 บิตในการเข้ารหัสข้อมูลในบล็อก 64 บิตซึ่งนักวิจัยพบว่ามีความเสี่ยงต่อการถูกโจมตีแบบสุ่มรหัสผ่านหรือ Brute-force แม้ว่าจะเสี่ยงต่อเทคนิคการป้อนที่ทันสมัยและการละเมิดข้อมูล แต่ DES ยังคงใช้ในระบบที่ล้าสมัยในปัจจุบัน

เทคนิคการเข้ารหัสข้อมูลที่คุณเลือกควรทำได้มากกว่าการรักษาความปลอดภัยของข้อมูล เทคนิคเหล่านี้ควรสอดคล้องกับเป้าหมายทางธุรกิจและสอดคล้องกับข้อกำหนดด้านกฎระเบียบ

พิจารณาปัจจัยสี่ประการนี้เมื่อเลือกเทคนิคการเข้ารหัสสำหรับองค์กรของคุณ

ประเมินความละเอียดอ่อนของสินทรัพย์

ข้อมูลทั้งหมดไม่ต้องการการรักษาความปลอดภัยเหมือนกัน ข้อมูลที่ละเอียดอ่อนอาจต้องการมีการเข้ารหัสแบบครบวงจรเต็มรูปแบบ ข้อมูลที่ละเอียดอ่อนน้อยกว่าอาจต้องการมีการเข้ารหัสที่น้อยกว่าหรือไม่มีเลย

ทำความเข้าใจสภาพแวดล้อมด้านการรักษาความปลอดภัย

องค์กรบางองค์กรโดยรวมอาจเป็นเป้าหมาย เช่น สถาบันการเงินหรือหน่วยงานของรัฐ องค์กรอื่น ๆ เช่น บริษัทแอปอาจมีข้อมูลที่อยู่ในพื้นที่จัดเก็บน้อยกว่ามากในโครงสร้างพื้นฐานของตนเองซึ่งอาจจะก่อให้เกิดความเสี่ยงด้านการรักษาความปลอดภัย เลือกเทคนิคที่เหมาะสมกับโปรไฟล์ความเสี่ยงของสินทรัพย์ดิจิทัลแต่ละชุดภายในองค์กรของคุณ

ใช้มาตรฐานที่ทันสมัย

อัลกอริทึมการเข้ารหัสทั้งหมดไม่ได้ให้ระดับการป้องกันเท่ากัน DES,อนุพันธ์ของ 3DES และมาตรฐานเก่าอื่น ๆ มักไม่สามารถป้องกันการโจมตีสมัยใหม่ได้ มองหาบริการเข้ารหัสที่ใช้มาตรฐานปัจจุบัน เช่น การเข้ารหัส AES-256 และ RSA ที่มีคีย์ 2048 บิต

ปฏิบัติตามข้อกำหนด

อุตสาหกรรมและเขตอำนาจศาลหลายแห่งมีข้อบังคับเฉพาะที่ต้องมีการเข้ารหัสเพื่อปกป้องข้อมูลที่ละเอียดอ่อน ตัวอย่างเช่น PCI-DSS กำหนดให้องค์กรประมวลผลและส่งข้อมูลบัตรเครดิตของผู้บริโภคอย่างปลอดภัย

AWS มีบริการที่หลากหลายเพื่อรองรับการเข้ารหัสบนคลาวด์และการจัดการคีย์

AWS CloudHSM อนุญาตให้คุณสามารถสร้างและใช้คีย์เข้ารหัสบนอินสแตนซ์ Federal Information Processing Standards (FIPS) 140-2 Level 3 มาตรฐานโมดูลรักษาความปลอดภัยฮาร์ดแวร์ (HSM) ผู้เช่าเดี่ยว AWS CloudHSM ส่งเสริมการปฏิบัติตามกฎระเบียบโดยใช้อินสแตนซ์ HSM ผู้เช่าเดี่ยวของลูกค้าซึ่งทำงานใน Virtual Private Cloud (VPC) ของคุณเอง

AWS Key Management Service (AWS KMS) เป็นบริการที่ช่วยให้คุณสามารถสร้างและควบคุมคีย์ที่ใช้ในการเข้ารหัสข้อมูลภายในแอปพลิเคชันของคุณ AWS KMS ใช้ไลบรารีการเข้ารหัสข้อมูล AWS Encryption SDK (ชุดพัฒนาซอฟต์แวร์)

AWS Payment Cryptography ทำให้การดำเนินการเข้ารหัสในแอปพลิเคชันการชำระเงินที่โฮสต์บนคลาวด์เรียบง่าย

AWS Secrets Manager เข้ารหัสข้อมูลลับในพื้นที่จัดเก็บโดยใช้คีย์เข้ารหัสที่คุณเป็นเจ้าของและเก็บไว้ใน AWS KMS

เริ่มต้นใช้งานการเข้ารหัสข้อมูลเข้าบน AWS โดยการสร้างบัญชีฟรีวันนี้