Veri Şifreleme nedir?

Veri şifreleme; bir veri parçasını karıştırarak içeriğinin, kilidini açacak bir anahtar olmadan herhangi bir kişi, hizmet veya cihaz tarafından okunamaz hâle gelmesini sağlar. Şifreleme; dosyaları, diskleri, nesneleri, akışları ve diğer veri türlerini bir şifreleyici ile anahtar sahibi arasında gizli hâle getirir. Üçüncü bir tarafın şifrelenmiş verilere erişimi olsa bile verilere anahtar olmadan erişemez. Veri şifreleme, kurumsal siber güvenliğin temel bir parçasıdır.

Modern şifreleme sistemleri tipik olarak her ikisi de bir kriptografi biçimi olan simetrik veya asimetrik şifrelemeyi kullanır.

Simetrik şifreleme

Simetrik anahtar şifrelemesi, hem verileri şifrelemek hem de verilerin şifresini çözmek için tek bir özel anahtar kullanır. Simetrik anahtarların çalışma şekli, şifreleme anahtarına hem gönderenin hem de alıcının önceden sahip olması gerektiği anlamına gelir.

Genel olarak simetrik şifreleme, asimetrik şifrelemeden daha hızlı ve daha verimlidir. Bu da onu büyük miktarda veriyi şifrelemek için çok uygun hâle getirir.

Asimetrik şifreleme

Asimetrik şifreleme, genel ve özel olmak üzere iki anahtar kullanır:

• Genel anahtar, diğer kişilerin size gönderdiği verileri şifrelemek için kullanılan bir anahtardır. Bu şifreleme anahtarını herkese açık olarak kişilerinizle paylaşırsınız. Gizli olması gerekmez.
• Özel anahtar ise gizli tuttuğunuz ve insanların size genel anahtarla gönderdiği gizli verilerin şifresini çözmek için kullandığınız bir anahtardır.

Bu sistem, simetrik şifrelemenin en önemli sınırlamalarından biri olan paylaşılan bir anahtarı güvenli bir şekilde değiştirme ihtiyacını ortadan kaldırır.

Kuruluşlar genellikle asimetrik şifrelemeyi aşağıdaki şekillerde kullanır:

• Dijital imzaları kullanma
• Web tarama (HTTPS) oturumlarının güvenliğini sağlama
• Daha önce anahtar alışverişi yapmamış taraflar arasındaki hassas mesajları şifreleme

Asimetrik şifreleme bazen genel anahtar kriptografisi olarak da adlandırılır.

Bireyler ve kuruluşlar, verileri korumak ve düzenleyici standartlara uymak için şifreleme yöntemlerini kullanır. Bir ağ üzerindeki cihazlar arasında bekleyen, taşınan ve uçtan uca verileri şifrelemek mümkündür.

Bekleyen veri şifrelemesi

Bekleyen veriler, depolama alanınızda bulunan verilerdir. Depolamadaki veriler; bir sabit sürücüde, bulutta veya bir veri tabanında depolanan veriler olabilir. Örneğin, kuruluşlar genellikle bulutta beklemedeyken şifrelenmiş kritik verilerin senkronize bir yedeğini tutar.

Taşınan veri şifrelemesi

Taşınan veriler, bir sistemden diğerine bir ağ üzerinden aktarılan verileri ifade eder. Bir web tarayıcısı ve bir sunucu arasındaki etkileşim buna örnek verilebilir. Banka gibi güvenli bir web sitesini ziyaret ettiğinizde tarayıcı ve sunucu, bir tür taşınan veri şifrelemesi kullanır. Bu taşınan iletişim şifrelemesine Aktarım Katmanı Güvenliği (TLS) denir. Birisi bu bankacılık verilerini ağ üzerinden ele geçirse bile veriler okunamaz durumda olacaktır.

Uçtan uca şifreleme (E2EE)

Uçtan uca veri şifreleme, taşımaya geçmeden önce gönderici sistemdeki verileri şifreler. Alıcı sistem, verileri aldıktan sonra yerel olarak bir şifre çözme anahtarı kullanır. Örneğin, güvenli bir mesajlaşma uygulaması, cihazınızdaki mesaj içeriğinde uçtan uca şifreleme gerçekleştirir. Verilerin şifresi yalnızca onayladığınız kişi tarafından kendi uygulamasında alındıktan sonra çözülür.

Kuruluşlar, hassas veya düzenlenmiş verileri güvence altına almak için genellikle şifreleme kullanır.

Finansal veriler

Depolama ve taşıma sırasında şifreleme; işlemler, hesap ayrıntıları ve kredi geçmişleri gibi hassas finansal verilerin güvenliğini sağlamak için en iyi uygulamadır. Finans sektöründe, Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (PCI-DSS) gibi çok sayıda uyumluluk düzenlemesi, katı veri şifreleme kuralları ve süreçleri gerektirir. Buradaki şifreleme, dolandırıcılığı ve yetkisiz erişimi önlemeye yardımcı olur.

Ticari veriler

Birçok kuruluş; teklifler, müşteri sözleşmeleri, hizmet düzeyi sözleşmeler (SLA'lar) ve tedarikçi sözleşmeleri gibi hassas iş verilerini de şifrelemek isteyecektir. Belirli endüstriler ve ülkeler, şifreleme standartlarını kapsayan Genel Veri Koruma Yönetmeliği (GDPR) gibi düzenlemelere ve yasalara uymayı gerektirir. Şirketler, veri ihlali durumunda finansal zararlardan veya itibar zararlarından kaçınmak için verileri şifreler.

İnsan kaynakları verileri

Federal ve yerel yasaların bir karışımı tipik olarak kuruluşların insan kaynakları (İK) verilerini, özellikle çalışanların kimliği tanımlayabilecek bilgilerini (PII) nasıl güvence altına almaları gerektiğini düzenler. İK verileri de yaygın olarak üçüncü taraf platformlarla paylaşılır ve bu, verilerin ifşa edilmesi veya ele geçirilmesi için fırsatlar yaratabilir.

Kimliği Tanımlayabilecek Bilgiler (PII)

Kimliği tanımlayabilecek bilgiler (PII), ifşa edilirse bir kişiyi tanımlamak için kullanılabilecek verileri içerir. İsimler, adresler ve sosyal güvenlik numaralarının tümü PII örnekleridir. PII'yı şifrelemek, kuruluşların kimlik hırsızlığını önlemesine yardımcı olur ve küresel gizlilik yasalarına uyumu sağlar.

Örneğin, Avrupa Birliği'ndeki GDPR ve California Tüketici Gizliliği Yasası (CCPA) gibi düzenlemeler, kuruluşların kendi gözetimindeki PII'yı korumalarını gerektirir. Şifreleme, bu standartları karşılamak için yaygın olarak kullanılan bir araçtır.

Korunan Sağlık Bilgileri (PHI)

Sağlık hizmeti sağlayıcıları, sigortacılar ve İK departmanları; bir kişiyle ilişkili tıbbi veya sağlıkla ilgili bilgileri içeren, korunan sağlık bilgileriyle (PHI) ilgilenir. PHI örnekleri arasında elektronik tıbbi kayıtlar, tedavi geçmişleri ve eczane reçete verileri bulunur.

ABD'deki Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) gibi yasalar, veri güvenliği önlemlerinin uygulanmasını zorunlu kılmaktadır. Bu önlemler elektronik PHI'nin (ePHI) gizliliğini, bütünlüğünü ve erişilebilirliğini korur. PII'da olduğu gibi şifreleme, HIPAA ve diğer PHI standartlarını karşılamak için kullanılan yaygın bir araçtır.

Bir karma algoritması; dosya veya mesaj gibi verileri alır ve verilere özgü, karma adı verilen bir karakter dizesini hesaplar. Birisi veya bir şey orijinal verileri biraz bile değiştirirse karma değeri de değişir. Bu nedenle veri bütünlüğünü ve orijinalliğini doğrulamaya yardımcı olmak için karmalar sıklıkla kullanılır.

Şifrelemenin aksine karma algoritmaları tek yönlü matematiksel fonksiyonlardır. Kriptografik anahtarları yoktur ve tersine çevrilemezler. Kuruluşlar, verilerin gerçek ve değiştirilmemiş olduğunu doğrulamak için genellikle karma ve şifrelemeyi birlikte kullanır.

Dijital imzalar, bir göndericinin kimliğini doğrulamak için kullanılan araçlardır. Dijital imzalar hem genel anahtarla veri şifreleme hem de karma yöntemlerini kullanır.

Dijital imzalar aşağıdaki süreçte çalışır:

1. Gönderici, gerçek ve değiştirilmemiş olduğunu kanıtlamak için verilerinin bir karmasını oluşturur.
2. Gönderici daha sonra dijital bir imza oluşturmak için bu karmayı şifreler.
3. Alıcı, verileri ilişkili imza ile birlikte alır. Şifre çözme anahtarını imza üzerinde çalıştırır ve şifresi çözülmüş orijinalle karşılaştırmak için verilerin yeni bir karmasını oluşturur.

Her iki karma eşleşirse alıcı, tanımlanan göndericinin verileri gönderdiğinden ve taşıma sırasında herhangi bir değişiklik gerçekleşmediğinden emin olabilir.

Günümüzde en yaygın kullanılan simetrik şifreleme standardı, Gelişmiş Şifreleme Standardı'dır (AES) ve dünyadaki internet trafiğinin çoğu, AES kullanılarak şifrelenir. En yaygın asimetrik standarti Rivest-Shamir-Adleman'dır (RSA). RSA, hesaplama açısından AES'den daha yoğundur ve dijital imzalar gibi küçük hacimli verileri şifrelemek için daha yaygın olarak kullanılır.

AES ve RSA'yı birlikte kullanabilirsiniz. RSA, küçük hacimli verileri şifrelemede en verimli olduğundan yüksek hacimli, simetrik anahtarla şifrelenmiş aktarımlarla gönderilen AES anahtarlarını şifreleyebilir.

Gelişmiş Şifreleme Standardı (AES)

AES, 2001 yılında ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından kurulan bir simetrik şifreleme spesifikasyonudur. AES, kriptograflar Joan Daemen ve Vincent Rijmen tarafından geliştirilen bir şifreleme algoritması kullanır ve 128 veya 256 bit (AES-128 ve AES-256 olarak bilinir) şifreleme anahtarı boyutlarını destekler.

RSA

RSA'nın adı; 1977'de onu geliştiren MIT bilim adamları Rivest, Shamir ve Adleman'dan gelmektedir. Özel ve genel anahtarlar oluşturmak için gizlice oluşturulmuş, büyük asal sayı çiftlerini kullanır. RSA, şifreleme modeli için "asal çarpanları" kullanır. RSA anahtarları oluşturmak için kullanılanlar gibi son derece büyük sayıların asal çarpanlarını tersine çevirmek için hesaplama açısından verimli bir yöntem yoktur.

Veri Şifreleme Standardı (DES)

Veri Şifreleme Standardı (DES), NIST tarafından 2002 yılında AES tercih edildiği için kullanımdan kaldırılan eski bir şifreleme standardıdır. 64 bitlik bloklardaki verileri şifrelemek için 56 bitlik bir anahtar kullanır ancak araştırmacılar, bu sistemin, kaba kuvvet saldırılarına eğilimli olduğunu bulmuştur. Modern giriş tekniklerine ve veri ihlallerine karşı savunmasız olmasına rağmen DES bugün hâlâ eski sistemlerde kullanılmaktadır.

Seçtiğiniz veri şifreleme teknikleri, verileri güvence altına almaktan daha fazlasını yapmalıdır. Bu teknikler, iş hedefleriyle örtüşmeli ve düzenleyici gerekliliklere uyumlu olmalıdır.

Kuruluşunuz için şifreleme tekniklerini seçerken şu dört faktörü göz önünde bulundurun.

Varlık duyarlılığını değerlendirin

Tüm veriler aynı derecede güvenlik gerektirmez. Hassas veriler tam uçtan uca şifreleme gerektirebilir. Daha az hassas veriler daha az şifrelemeye ihtiyaç duyabilir veya hiç şifrelemeye ihtiyaç duymayabilir.

Güvenlik ortamını anlayın

Finansal kurumlar veya devlet kurumları gibi bazı kuruluşlar bir bütün olarak hedef alınabilir. Uygulama şirketleri gibi diğerleri, kendi altyapılarında asgari düzeyde bekleyen veri bulundurabilir ve bu da güvenlik riski oluşturabilir. Kuruluşunuzdaki her dijital varlık grubunun risk profiline uygun teknikleri seçin.

Modern standartları kullanın

Tüm şifreleme algoritmaları aynı düzeyde koruma sunmaz. DES, türevi 3DES ve diğer eski standartlar; tipik olarak modern saldırılara karşı koruma sağlayamaz. AES-256 şifreleme ve 2048 bit anahtarlı RSA gibi mevcut standartları kullanan şifreleme hizmetlerine bakın.

Uyumluluk gereksinimlerini karşılayın

Birçok endüstri ve yargı alanı, hassas verileri korumak için şifreleme gerektiren özel düzenlemelere sahiptir. Örneğin, PCI-DSS, kuruluşların tüketici kredi kartı bilgilerini güvenli bir şekilde işlemesini ve iletmesini zorunlu kılmaktadır.

AWS, bulut tabanlı şifrelemeyi ve anahtar yönetimini destekleyen bir dizi hizmete sahiptir.

AWS CloudHSM; özel Federal Bilgi İşleme Standartları (FIPS) 140-2 Düzey 3 tek kiracılı donanım güvenlik modülü (HSM) bulut sunucularında şifreleme anahtarları oluşturmanıza ve kullanmanıza olanak tanır. AWS CloudHSM, kendi Sanal Özel Bulutunuzda (VPC) çalışan müşteriye ait, tek kiracılı HSM bulut sunucularını kullanarak uyumluluğu destekler.

AWS Anahtar Yönetimi Hizmeti (AWS KMS), uygulamalarınızdaki verileri şifrelemek için kullanılan anahtarları oluşturmanıza ve kontrol etmenize olanak tanıyan bir hizmettir. AWS KMS, AWS Şifreleme SDK'si (yazılım geliştirme kiti) veri şifreleme kitaplığını kullanır.

AWS Payment Cryptography, bulutta barındırılan ödeme uygulamalarında şifreleme işlemlerini basitleştirir.

AWS Gizli Bilgi Yöneticisi, sahip olduğunuz ve AWS KMS'de depoladığınız şifreleme anahtarlarını kullanarak bekleyen gizli bilgileri şifreler.

Hemen ücretsiz bir hesap oluşturarak AWS'de veri şifrelemeyi kullanmaya başlayın.