Что такое шифрование? Шифрование: Ключевой Элемент ИТ-Безопасности, методы, и способы какие бывают
Шифрование - это распространенный в ИТ метод защиты данных от несанкционированного доступа. Для этого алгоритмы преобразуют данные из читаемого в нечитаемый формат. Теперь информация доступна только тем, у кого есть ключи, необходимые для ее расшифровки.
01
Шифрование: определение
Шифрование – это термин, обычно употребляемый для обозначения методов преобразования вида подлежащего защите контента, чтобы защитить его от несанкционированного доступа. Человечество с древних времен использовало специальные методы трансформации открытого текста – текста на человеческом языке – в закрытый, преобразованный туда же, так что ни владельцу ни посыльному не видно даже тени осмысления. Впоследствии алгоритмы развивались и усложнялись: на смену шифрам пришли криптосистемы с очень длинными ключами, сложными математическими задачами и длинными, изощренными процедурами обмена ключами сами по себе. Шифрование – это центральный элемент информационной безопасности. Шифрование помогает также в области электронной безопасности человеческих и машинных коммуникаций обеспечить конфиденциальность, целостность сообщения от шпионажа или ментального сжатия.
Замок безопасности
02
Какие данные следует шифровать?
По сути, любой тип данных можно защитить с помощью криптографии. Чтобы хранить и обмениваться в облаке персональными данными, необходимо использование шифровального программного обеспечения, шифрующего автоматически все данные и их транспортировку для пользователей. Различные регулирующие нормативы, такие как GDPR или закон об информационной безопасности, вносят требования к безопасности и подлинности цифрового контента для компаний. Нурушение их вызовает серьезные штрафы, зависящие от масштаба нарушения данных. Например, указанные до 20 миллионов евро или до 4 процентов годового мирового оборота, если нарушение относится к сфере работы с данными, при правонарушении или обоих рочаях.
Вы должны защищать эти данные:
- Персональные данные
- Конфиденциальные деловые данные
- Интеллектуальная собственность компании
- Данные о клиентах
- Годовые отчеты
- Документы о выпуске продукции
- Данные об исследованиях и разработках
- Информация для входа в систему в Интернете
- Чаты/почта
03
Когда шифровать данные?
Вопрос о том, когда данные следует шифровать, повторно оценивать бессмысленно: он по крайней мере не менее важен, чем тип данных, которые являются подлежащими защите. Ballard. Использование зашифрованных данных в Интернете стало популярным после работы журналистов над Сноудена в 2013 году. В настоящее время большинство КТВ и ИНИ работают с шифрованием HTTPS, которое защищает маршрут передачи данных. Как практическая практика, это делает горячую стрелу газирования соединения практически непоследовательной и сложно.
Шифрование также используется для хранения данных, когда они не используются активно. Таким образом, компании могут защитить свои данные в центре обработки данных от несанкционированного доступа.
Сквозное шифрование обеспечивает полное шифрование на всем пути передачи данных. Эта технология гарантирует, что только авторизованные отправители и получатели могут получить доступ к соответствующим данным. Даже поставщик услуг со сквозным шифрованием не может просмотреть входящую информацию на своих серверах. По этой причине сквозное шифрование особенно подходит для защиты цифровых средств коммуникации, таких как чаты или электронная почта.
04
Зачем шифровать данные?
Для того чтобы снизить вероятность утечки данных, компании, банки и органы власти могут использовать сквозное шифрование. Обработка персональных данных, в частности, сопряжена с определенным риском, поскольку кибератаки никогда не могут быть полностью исключены. Шифрование является ключевым средством не только безопасное хранения таких конфиденциальные данные на носителях или в архивах, но и их защиты при транспортировке. Отраслевые правила определяют, какой контент должен быть зашифрован и даже какие криптографические методы должны для этого использоваться. Общего регламента по защите данных контроллер обязан принимать соответствующие технические и организационные меры для защиты персональных данных. Компании также должны принимать во внимание текущее состояние техники.
05
Какие существуют виды шифрования?
В принципе, методы шифрования можно разделить на две категории: симметричное и асимметричное шифрование. На практике эти две категории сами по себе не являются взаимоисключающими. На самом деле разработчики часто используют гибридные методы, чтобы объединить сильные стороны обоих методов.
СИММЕТРИЧНЫЕ МЕТОДЫ
Здесь шифрование и дешифрование осуществляются одинаковым принципом. Это означает, что отправитель и получатель договариваются и обмениваются общим ключом перед использованием. Яркий пример: шифр Цезаря, который римский полководец, как известно, использовал для своей военной переписки, также применяет единый ключ и потому является симметричным методом. Для шифрования букв алфавита они циклически сдвигаются вперед на определённое (таинственное) значение. Для расшифровки нужен обратный процесс на ту же величину.
Если классические методы симметричного шифрования работают на уровне букв, преобразуя открытый текст в зашифрованный, то методы компьютерной криптографии шифруют на уровне битов. Различают потоковые и блочные шифры.
Потоковое шифрование
Каждый бит связан с битом потока ключей.
Блочный шифр
Биты, подлежащие шифрованию, группируются в блоки фиксированной длины и преобразуются в шифротекст фиксированной длины.
АСИММЕТРИЧНЫЕ МЕТОДЫ
Эти криптографические методы используют пару ключей для каждого участника: открытый ключ и закрытый ключ. В то же время когда открытый ключ, как следует из его названия, доступен всем, закрытый ключ остается в тайне. Отправитель использует открытый ключ получателя чтобы зашифровать сообщение, а получатель - свой закрытый ключ чтобы расшифровать. Асимметрия возникает из-за того, что данные, зашифрованные с помощью открытого ключа, могут быть расшифрованы только с помощью закрытого ключа пары ключей. Самым известным асимметричным методом является RSA.
ГИБРИДНЫЕ МЕТОДЫ
Сами данные шифруются с помощью симметричного метода. Однако для повышения безопасности при обмене ключами используется асимметричный метод.
Оцените наши индивидуальные решения Security-as-a-Service для ИТ-инфраструктур и веб-приложений.
Запросите бесплатную демонстрацию прямо сейчас
06
Каковы преимущества и недостатки асимметричного и симметричного шифрования?
Разумеется, у различных методов шифрования есть свои преимущества и недостатки, поэтому важно тщательно взвесить, какой из них лучше всего отвечает соответствующим требованиям безопасности.
Как работают симметричные методы
Симметричные методы
Плюсы:
Благодаря сравнительно небольшой длине ключа симметричные методы обычно работают более эффективно.
Минусы:
только один ключ отвечает за шифрование и дешифрование, что создает угрозу безопасности: если два человека обмениваются зашифрованным сообщением, у обоих должен быть один и тот же ключ - по этой причине для безопасной передачи ключа требуется защищенный канал.
количество ключей по отношению к количеству участников растет квадратично
Как работают асимметричные методы
Асимметричные методы
За:
- Высокий коэффициент безопасности
- Возможны электронные подписи
- благодаря асимметричным процедурам возможен широкий спектр приложений (например, трафик электронной почты, а также криптографические протоколы, такие как SSL/TLS)
- Идеально подходит для открытых многопользовательских сред
Минусы:
- Возможно, медленнее, чем симметричные варианты, из-за большей длины ключа
- Требуется больше усилий для использования
- Закрытый ключ не может быть восстановлен
07
Какие существуют стандарты шифрования?
С момента разработки первых криптографических методов прошло несколько лет, и сегодня варианты шифрования характеризуются высокой технологичностью. Вот несколько наиболее важных решений, которые обязательно нужно упомянуть в данном контексте:
RSA
RSA является методом асимметричного шифрования и/или также для цифровой подписи. Он был впервые разработан в центре MIT в 77-78 годы Роном Ривестом, Ади Шамиром и Леонардом Адлеманом. Его безопасность базируется на проблеме разложения очень большого числа на множители. Так как RSA как минимум в 1000 раз медленнее шифрует данные, чем 3DES или AES, на практике его используют лишь для обмена ключами. В принципе, в силу максимизации производительности, загружаемые данные шифруют более быстрым алгоритмом симметричного кодирования.
Расширенный стандарт шифрования (AES)
Расширенный стандарт шифрования (AES) является преемником DES и был опубликован в качестве нового стандарта Национальным институтом стандартов и технологий (NIST) в 2000 году. Названия трех вариантов AES - AES-128, AES-192 и AES-256 - соответствуют выбранной длине ключа. AES обеспечивает очень высокий уровень безопасности; первая теоретическая уязвимость была обнаружена лишь спустя более десяти лет после его стандартизации, хотя на практике она не актуальна. Алгоритм находится в свободном доступе, его можно использовать без лицензионных платежей и реализовывать в программном и аппаратном обеспечении. В США AES-192 и AES-256 официально разрешены для правительственных документов с наивысшим уровнем конфиденциальности.
Стандарт шифрования данных (DES)
Широко распространенный алгоритм симметричного шифрования Data Encryption Standard (DES) был разработан в 1975 году в сотрудничестве между IBM и Агентством национальной безопасности (АНБ). Целью разработчиков было создание стандарта, который был бы настолько же безопасным, насколько и унифицированным для шифрования в правительственных учреждениях. Сегодня DES не считается достаточно безопасным для многих приложений из-за длины ключа, составляющей всего 56 бит. Однако длину ключа можно сравнительно легко увеличить с помощью нескольких приложений. Известный как Triple DES, или TDES, 3DES или DESede, DES по-прежнему часто используется для банковских услуг.
Twofish
Twofish - это алгоритм симметричного шифрования с длиной ключа 128, 192 или 256 бит, который используется с 1998 года как преемник Blowfish, который также используется до сих пор. Алгоритм Twofish не запатентован и опубликован в открытом доступе. Поэтому он свободно доступен для использования всеми желающими.
08
Сценарии применения из практики
Шифрование является неотъемлемой частью многих современных цифровых решений. В частности, криптография используется для защиты коммуникаций в Интернете от несанкционированного доступа. Некоторые сценарии применения:
S/MIME
Secure/Multipurpose Internet Mail Extensions (сокращенно S/MIME) - это стандартная процедура шифрования и подписи электронных писем, которая в основном используется компаниями. С ее помощью компании могут гарантировать как целостность передаваемой информации, так и личность отправителя. В S/MIME используется гибридное шифрование, при котором содержимое электронного письма защищается симметричным шифрованием, а обмен ключами осуществляется асимметричным методом. S/MIME также опирается на иерархическую систему сертификатов для проверки подлинности открытых ключей. Компании и частные пользователи получают сертификаты, необходимые для генерации ключей, от центральных сертификационных центров. Существуют различные классы сертификатов в зависимости от уровня аутентификации; некоторые центры сертификации также предлагают бесплатные сертификаты для частного использования.
PGP
Инструмент Pretty Good Privacy (сокращенно PGP), разработанный Филом Циммерманом, также используется для шифрования и подписи электронной почты. Он использует подход, схожий с S/MIME, но в основном применяется для частного использования. В отличие от S/MIME, в PGP доверенные третьи лица «сертифицируют» необходимые ключи - в так называемой «Сети доверия», состоящей из пользователей PGP, нет централизованных органов. По этой причине PGP или его свободные разновидности OpenPGP и GnuPG также предпочитаются сообществом разработчиков открытого кода для защиты электронной почты.
KEEPASS
Бесплатный менеджер паролей KeePass используется для локального управления данными для входа в систему на настольных компьютерах. Решение с открытым исходным кодом использует методы симметричного шифрования для защиты базы данных паролей. В зависимости от используемой версии KeePass и предпочтений пользователя применяются алгоритмы AES, Twofish или ChaCha20. Зашифрованная база данных может быть снова разблокирована только путем ввода ранее заданного мастер-пароля. KeePass предназначен в первую очередь для использования под Windows; для других операционных систем существуют многочисленные форки проекта, такие как KeePassXC, Keepass2Android или MiniKeePass.
HTTPS
Протокол HTTPS (Hypertext Transfer Protocol Secure) позволяет устанавливать зашифрованные соединения в Интернете. Технически HTTPS включает в себя обычные соединения с помощью HTTP (Hypertext Transfer Protocol) в сочетании с шифрованием и аутентификацией с помощью SSL/TLS (Secure Sockets Layer / Transport Layer Security). SSL и его преемник TLS защищают трафик данных в сети как дополнительный криптографический уровень. На практике TLS используется почти исключительно в настоящее время. Тем не менее, метод шифрования, известный как «SSL/TLS», получил широкое распространение. В TLS используется асимметричный метод обмена ключами. Само зашифрованное соединение, с другой стороны, использует симметричный метод, чтобы избежать потерь производительности. Для уникальной аутентификации серверов и доменов необходимы SSL-сертификаты, которые операторы сайтов могут получить в центрах сертификации.
09
Шифрование: что нужно знать
Сегодня шифрование является неотъемлемой частью ИТ. Широкий спектр алгоритмов шифрования позволяет преобразовывать данные в форму, которая не может быть прочитана посторонними лицами. Только получатель, обладающий необходимым цифровым ключом, может сделать шифрованный текст доступным и снова читаемым. Особенно в государственном секторе и для компаний становится все более важным ознакомиться с криптографическими процессами, их потенциальными недостатками и преимуществами - тем более что во многих случаях этого требуют официальные правила. К самым современным и наиболее безопасным стандартам криптографии относятся AES, Twofish и 3DES.