Szyfrowanie danych to techniki służące do kodowanie informacji w celu zapewnienia ich poufności. Szyfrowanie uniemożliwia nieuprawniony dostęp do danych. Pozostają one nieczytelne dla osób nieposiadających klucza deszyfrującego.
W przypadku całego ekosystemu cyberbezpieczeństwa szyfrowanie stanowi nierzadko ostatnią linię obrony przed dostępem do danych przez niepowołane osoby. Firmy zabezpieczają się przed nieuprawnionym dostępem intruzów, ograniczając dostęp do zasobów organizacji i stosując różne technologie: hasła, MFA, systemy antywirusowe, endpoint protection. Szyfrowanie nierzadko okazuje się ostatnią linią obrony przed wyciekiem czy kradzieżą danych, bo jeśli już cyberprzestępca uzyska dostęp do zasobów i będzie miał dostęp do zbioru danych (tekstu czy pliku), to pozostaną dla niego nieczytelne.
Co powinniśmy szyfrować?
Wszelkiego rodzaju umowy, oferty, faktury, dane osobowe, dane finansowe, wyciągi bankowe, polisy ubezpieczeniowe, zbiory danych osobowych, dokumenty wysyłane do biura rachunkowego czy prawnika, sprawozdania okresowe firm, projekty, mapy, plany, strategie I inne ważne dla organizacji dokumenty.
Czemu przeciwdziała szyfrowanie?
Szyfrowanie przeciwdziała szeroko rozumianemu szpiegostwu gospodarczemu, invoice hacking, business email compromise, ransomware nowej generacji z podwójnym wymuszeniem, wyciekom danych, szpiegostwu na poziomie państw, jest zalecane jako metoda zarządzaniem ryzykiem przez wiele regulacji (NIS2, GDPR, DORA) i wymagana przez certyfikację na zgodność z systemami zarządzania, jak ISO 27001.
Szyfrowanie symetryczne
Szyfrowanie symetryczne wykorzystuje ten sam klucz, zarówno do szyfrowania tekstu, jak i jego deszyfrowania. Przed przystąpieniem do wymiany poufnych wiadomości należy więc ustalić klucz, znany wyłącznie nadawcy oraz odbiorcy. Konieczne jest przekazanie go za pośrednictwem bezpiecznego i sprawdzonego kanału informacyjnego, oczywiście odmiennego od tego, którym przesyłamy szyfrogram. Przykładami szyfrów symetrycznych są: kod Cezara, 3DES, AES. Zaletą szyfrowania asymetrycznego jest szybkość i łatwość użycia. Najczęściej szyfrowanie symetryczne stosowane jest przy użyciu takich aplikacji jak WinZip czy PDF zabezpieczony hasłem. Problemem w szyfrowaniu asymetrycznym jest przekazanie sekretu (klucza deszyfrującego) do odbiorcy. Najczęściej w tym miejscu szyfrowanie ulega „kompromitacji”. Nierzadko też osobtóre szyfrują, popełniają podstawowy błąd – przesyłają klucz deszyfrujący tym samym kanałem komunikacyjnym co szyfrogram. Sytuację można porównać do zamknięcia drzwi (nawet pancernych) na 4 zamki, ale z naklejeniem kartki na drzwi „klucze są pod wycieraczką” i schowaniem ich tam.
Szyfrowanie asymetryczne
Asymetryczne metody szyfrowania wiadomości polegają na ustaleniu odrębnego klucza dla nadawcy i odbiorcy. Dysponują więc oni oddzielną parą kluczy, na którą składa się klucz prywatny oraz publiczny. Klucz prywatny należy przechowywać w ukryciu, natomiast drugi jest dostępny dla wszystkich zainteresowanych. Asymetria polega na tym, że nadawca szyfruje komunikat za pomocą publicznego klucza odbiorcy, a adresat odtajnia wiadomość przy użyciu swojego prywatnego klucza. Przykładem szyfru asymetrycznego jest RSA np. z kluczem 2048/3072/4096 bitów. Istotna jest implementacja utworzenia kluczy (jest to operacja matematyczna, która np. w RSA opiera się na parze liczb pierwszych). Istnieje niewielka szansa, że agresor odszyfruje poufną wiadomość, ale musimy pamiętać, że klucz prywatny powinien być rzeczywiście prywatny – tzn. dostawca usługi nie powinien mieć do niego dostępu. Powinniśmy zapewnić bezpieczeństwo klucza – na przykład poprzez przechowywanie go w formie zaszyfrowanej. Niewątpliwą zaletą szyfrowania asymetrycznego jest wysoki poziom bezpieczeństwa, zaś wadą złożoność obliczeniowa, co oznacza, że procesy szyfrowania i deszyfrowania zabierają dużo czasu i wymagają dużych zasobów obliczeniowych.
Szyfrowanie end to end
Przywykliśmy do przyjmowania tego określenia jako pewnik, że dane są bezpieczne. Ale nie jest to równoznaczne z tym, że dostęp do danych ma tylko nadawca i odbiorca. Może w sposób bezpośredni tak, ale pośredni – nie. W implementowanym rozwiązaniu często pojawia się określenie „trzeciej strony” – nierzadko z dopiskiem „zaufanej”. Trzecią stroną nazywamy podmiot albo proces kóry może mieć dostęp do zaszyfrowanych danych przez potwierdzanie tożsamości odbiorcy, właściciel medium komunikacyjnego, przez które przesyłany jest jakiś sekret (hasło, klucz). Samo istnienie owej trzeciej strony już teoretycznie oznacza, że dostęp jest możliwy. A jeśli jest trzecia strona, to może być i czwarta, i piąta, i kolejna – może być nim i haker, i służby specjalne.
Połączenie szyfrowania symetrycznego z asymetrycznym
Dość ciekawym rozwiązaniem pozwalającym na zapewnienie szybkości (szyfrowanie symetryczne), bezpieczeństwa (asymetryczne), uniwersalności i możliwości szyfrowania dla wielu odbiorców (szyfrowanie symetryczne) jest metoda stosowana w kilku otwartych standardach szyfrowania i rozwiązaniach komercyjnych, jak np. Cypherdog Encryption.
Jak to działa? Przed każdym procesem szyfrowania generowany jest unikalny klucz symetryczny, który następnie szyfrowany jest asymetrycznie z użyciem kluczy publicznych odbiorców. Właściwe dane szyfruje się kluczem symetrycznym. Przekazywana porcja danych zawiera nagłówek z blokami zaszyfrowanych kluczy symetrycznych oraz właściwy szyfrogram.
Po stronie odbiorcy następuje próba deszyfrowania asymetrycznego z użyciem klucza prywatnego bloków z nagłówka przesłanej porcji danych, w celu uzyskania odszyfrowanego klucza symetrycznego, który służy do odszyfrowania właściwych danych.
Trzecia strona i problemy kryptografii
Analizując rozwiązanie szyfrujące pod kąntem bezpieczeństwa powinniśmy uzyskać odpowiedzi na kilka pytań, m.in.: Kto ma lub może mieć dostęp do kluczy deszyfrujących? Czy klucz publiczny można podmienić?
Kim jest trzecia strona przekazująca klucz deszyfrujący? Potwierdzająca wiarygodność klucza publicznego – Certification Authority? Czy trzecią stroną jest dostawca rozwiązania komunikacyjnego lub szyfrującego?
W każdym rozwiązaniu ważna jest jego implementacja, bo wszystko rozbija się o szczegóły. Każdy element każdego procesu związanego z danymi powinien być dokładnie przemyślany i zaprojektowany w taki sposób, żeby uniknąć jakiejkolwiek możliwości odczytu danych przez niepowołaną stronę.
Na koniec
Mając wiedzę opisaną w tym artykule, możemy skutecznie implementować najnowsze rozwiązania szyfrujące zarówno w naszych organizacjach, jak i życiu prywatnym. Wiemy już, na co zwracać uwagę i jakie pytania zadawać sobie analizując różne rozwiązania. Warto także testować wersje trial różnych aplikacji, aby przekonać się o ich skuteczności. Cypherdog Encryption oferuje 14-dniową wersję próbną, którą można pobrać bezpłatnie ze strony.
