什麼是資料加密?
資料加密會對資料片段進行打亂處理,使任何沒有金鑰的人員、服務或裝置都不可讀取該資料。藉助加密技術,檔案、磁碟、物件、串流,以及其他類型的資料在加密者與金鑰持有者間保持私密。即便第三方能夠存取加密資料,若沒有金鑰,他們亦無法存取這些資料。資料加密是企業網路安全的基礎組成部分。
資料加密的運作方式?
通常來說,現代化加密系統會使用對稱加密或非對稱加密,這兩種都是加密形式。
對稱加密
對稱金鑰加密利用單一私有金鑰,對資料進行加密與解密。對稱金鑰的運作方式是,傳送者與接收者皆必須預先擁有加密金鑰。
一般來說,對稱加密比非對稱加密更速度更快、效率更高,因此,非常適合用於加密大量資料。
非對稱加密
對稱加密使用的是公有金鑰與私有金鑰對:
- 公有金鑰是指用於對他人傳送給您的資料進行加密的金鑰。您需要將此加密金鑰公開分享給您的聯絡人。這不需要保密。
- 私有金鑰是指由您妥善保管,並且用來對他人透過公有金鑰傳送給您的機密資料進行解密的金鑰。
使用此系統,無須安全地交換共享的金鑰,這正是對稱加密其中一個最主要的限制。
組織往往採用下列方式來使用非對稱加密:
- 使用數位簽章
- 保障 Web 瀏覽 (HTTPS) 工作階段的安全性
- 對之前未交換過金鑰的各方之間的敏感訊息進行加密
有時,非對稱加密被稱為公有金鑰加密。
資料加密的用途?
個人與組織利用加密方法,來對資料提供保護,以及遵循監管標準。可對靜態資料、傳輸中資料,以及網路中各裝置間的端對端資料進行加密。
靜態加密
靜態資料是指您存放於儲存體中的資料。儲存體中的資料可以是存放於硬碟的資料、存放於雲端的資料,或者存放於資料庫中的資料。舉例來說,組織往往會在雲端確保同步備份關鍵資料,以及對靜態資料加密。
傳輸中加密
傳輸中的資料是指透過網路,從一個系統傳輸至另一個系統的資料。例如,Web 瀏覽器與伺服器間的互動。若您造訪銀行等安全網站,瀏覽器與伺服器會使用傳輸中加密技術。這種傳輸中通訊加密被稱為傳輸層安全性 (TLS)。有人可能會透過網路來攔截這些銀行資料,但無法讀取這些資料。
端對端加密 (E2EE)
端對端資料加密是指在傳送系統上對資料進行加密,然後再傳送資料。接收系統在收到解密金鑰之後,會在本機使用解密金鑰。舉例來說,一個安全訊息應用程式能夠將您裝置上的訊息內容進行端對端加密。僅當您核准的聯絡人透過其應用程式收到資料後,資料才會被解密。
應當對哪類資料進行加密?
組織通常會使用加密技術,以便保護敏感資料或受監管資料。
金融資料
在儲存與傳輸期間加密是保障敏感金融資料 (包括交易、帳戶詳情與信用記錄) 安全性的最佳實務。在金融領域,支付卡產業資料安全標準 (PCI-DSS) 等眾多合規法規,皆要求嚴格的資料加密規則與程序。在這些領域加密,有助於組織詐欺及未經授權的存取。
商業資料
此外,很多組織還想對提議、客戶合約、 服務水準協議 (SLA),以及供應商合約等敏感的商業資料進行加密。特定產業與國家要求遵循涵蓋加密標準的各項法規及法律,例如《一般資料保護規範》(GDPR)。公司可對資料進行加密,以免資料外洩造成經濟或聲譽損失。
人力資源資料
通常而言,聯邦與地方法律共同規範組織保護人力資源 (HR) 資料的方式,特別是員工的個人身分識別資訊 (PII)。此外,人力資源資料通常與第三方平台分享,這可能產生了揭露或攔截資料的機會。
個人身分識別資訊 (PII)
個人身分識別資訊 (PII) 包括若披露,可能會被用於識別個人的資料。姓名、地址,以及社會安全號碼均為個人身分識別資訊的範例。對個人身分識別資訊加密,有助於組織防止身分盜竊,以及確保遵守全球隱私權法律。
舉例來說,歐盟的 GDPR 與加州消費者隱私法案 (CCPA) 等法規要求組織保護其保管的個人身分識別資訊。加密是滿足這些標準的常用工具。
受保護的健康資訊 (PHI)
醫療保健服務提供者、保險公司,以及人力資源部門需要對受保護的健康資訊 (PHI) 進行處理,包括與個人關聯的醫療或健康相關資訊。受保護的健康資訊範例包括電子醫療記錄、治療歷史資料,以及藥房處方資料。
美國《健康保險流通與責任法案》(HIPAA) 等法律強制要求實作資料安全措施。這些措施可保護電子 PHI (ePHI) 的機密性、完整性與可用性。如同受保護的健康資訊,加密也是一項用於滿足 HIPAA 及其他 PHI 標準的常用工具。
雜湊處理與資料加密有何差異?
雜湊演算法可接收檔案或訊息等資料,以及對資料而言唯一的一串字元 (稱為雜湊值) 執行運算。若有人或某些事對原始資料做出哪怕是輕微的變更,雜湊值亦會隨之改變。因此,雜湊值經常用於協助驗證資料的完整性與真實性。
相較於加密技術,雜湊演算法為單向數學函數。它們不使用加密金鑰,也無法逆轉。組織往往會將雜湊與加密結合使用,用於確認資料的真實性與完整性。
數位簽章與資料加密有何差異?
數位簽章是一項確認傳送者身分的工具。數位簽章可同時利用公有金鑰資料加密以及雜湊技術。
數位簽章透過以下程序運作:
- 傳送者對其資料進行雜湊處理,以證明資料的真實性且未被篡改。
- 然後,傳送者對該雜湊值進行加密,以便建立數位簽章。
- 接收者可接收資料及關聯的簽章。他們執行解密金鑰對簽章進行解密,以及生成資料的新雜湊值,以便與解密後的原始資料做比較。
如果兩個雜湊值相符,接收者就能確信已識別的傳送者傳送了資料,而且在傳輸中沒有任何更改。
常見的資料加密標準有哪些?
目前,運用最廣泛的對稱加密標準是進階加密標準 (AES),世界上大多數網際網路流量皆使用 AES 來進行加密。最常見的非對稱標準是 Rivest-Shamir-Adleman (RSA)。RSA 比 AES 的運算量更大,並且更常用於加密數位簽章等少量資料。
您可將 AES 與 RSA 結合使用。由於 RSA 最擅長加密少量資料,因此,使用該規範可對透過大容量、對稱金鑰加密傳輸來傳送的 AES 金鑰進行加密。
進階加密標準 (AES)
AES 是美國於 2001 年制定的一種對稱加密規範。國家標準技術研究所 (NIST) 進行驗證。AES 使用由密碼學家 Joan Daemen 與 Vincent Rijmen 開發的加密演算法,且支援 128 位元或 256 位元加密金鑰長度 (分別稱為 AES-128 和 AES-256)。
RSA
RSA 的名稱源自於 1977 年開發該規範的麻省理工學院科學家 Rivest、Shamir 與 Adleman。其利用機密生成的成對大素數來建立私有金鑰與公有金鑰。RSA 在其加密模型中使用了數學中的「因式分解問題」。目前尚無運算高效的方法,能夠透過逆向工程處理像用於生成 RSA 金鑰的那種極大數字的質因數。
資料加密標準 (DES)
資料加密標準 (DES) 是一項較舊的加密標準,美國國家標準與技術研究院 (NIST) 於 2002 年將其淘汰,轉而採用 AES。這項標準採用 56 位元金鑰,對 64 位元資料區塊進行加密,研究人員發現這種方式容易受到暴力破解攻擊。儘管 DES 容易受到現代入侵技術與資料外洩的攻擊,但如今這項標準仍然用於舊式系統中。
選擇資料加密技術的考量有哪些?
您選擇的資料加密技術應不只是起到保護資料的作用。這些技術應與業務目標保持一致,且滿足監管要求。
為您的組織選擇加密技術時,考慮下列四項因素。
評估資產敏感度
並非所有資料皆要求具備同樣的安全性。敏感資料可能要求進行全面的端對端加密。敏感度較低的資料則可能需要較低程度的加密,或者無須加密。
了解安全環境
對於金融機構或政府機構等一些組織,在整體上可能會成為攻擊目標。對於應用程式公司等其他組織,在其自身的基礎結構上儲存的靜態資料量可能很少,這也可能會構成安全風險。選擇適當的技術,來應對您的組織內每個數位資產集的風險狀況。
利用現代標準
並非所有加密演算法皆會提供同等層級的防護。通常而言,DES、其衍生版本 3DES,以及其他較舊的標準皆不能抵禦各種現代化攻擊。尋找利用 AES-256 加密技術,以及透過 2048 位元金鑰加密 RSA 等最新標準的加密服務。
達到合規要求
眾多產業與司法管轄區皆設有專門的法規,要求對敏感資料進行加密保護。舉例來說,PCI-DSS 要求組織安全地處理及傳輸消費者信用卡資訊。
AWS 如何為滿足您的資料加密要求提供協助?
AWS 提供各種各樣的服務,來為以雲端為基礎的加密與金鑰管理提供支援。
AWS CloudHSM 讓能夠您在專門的聯邦資訊處理標準 (FIPS) 140-2 3 級單一租用戶硬體安全模組 (HSM) 執行個體上,生成及使用加密金鑰。AWS CloudHSM 使用客戶擁有的單一租用戶 HSM 執行個體,這些執行個體在您自己的虛擬私有雲端 (VPC) 執行,藉此來促進合規。
AWS Key Management Service (AWS KMS) 服務讓您能夠建立及控制用於加密您的應用程式內資料的金鑰。AWS KMS 可使用 AWS Encryption SDK (軟體開發套件) 資料加密程式庫。
AWS Payment Cryptography 可簡化雲端託管付款應用程式中的密碼編譯操作。
AWS Secrets Manager 使用您擁有且存放在 AWS KMS 的加密金鑰,加密閒置的密碼。
歡迎立即建立免費帳戶,開始在 AWS 上進行資料加密。