Как управлять ключами шифрования

Ключи шифрования — это буквенно-цифровые коды или последовательности символов, которые используются вместе с алгоритмом или математическим процессом для преобразования данных простого текста, который можно прочитать, в зашифрованный текст, который невозможно прочесть без расшифровки. Ключи шифрования используются для защиты личных и конфиденциальных данных во время хранения, передачи и использования. Зашифрованные данные или зашифрованный текст можно прочесть только после их расшифровки с помощью соответствующего ключа расшифровки.

Ключи шифрования могут быть симметричными и асимметричными. Симметричный ключ шифрования используется и для шифрования, и для расшифровки, то есть обратного преобразования данных в читаемый текст. При использовании асимметричных ключей один общедоступный ключ (открытый ключ) шифрует данные простого текста, а другой ключ, который никогда не используется совместно и остается закрытым (закрытый ключ), используется для расшифровки данных. Независимо от того, используется ли симметричное или асимметричное шифрование, цель заключается в сохранении конфиденциальности зашифрованных данных. Даже если зашифрованные данные попадают не в те руки, они остаются защищенными. По этой причине защита ключей имеет решающее значение, и в случае потери ключей будут потеряны и данные.

Шифрование имеет давнюю историю использования, особенно при ведении войны. Древние греки использовали перестановочные шифры (тип шифрования), чтобы защитить информацию от попадания в руки врага. В наше время и с наступлением информационной эры шифрование стало незаменимым инструментом защиты данных и приложений. Изначально оно использовалось в основном в банковских и финансовых приложениях, а затем стало широко применяться в условиях цифровой трансформации, став обязательным требованием во многих регулируемых отраслях.

Сегодня шифрование является передовой практикой и используется в широком спектре приложений и отраслей. Поскольку количество повседневных действий, выполняемых в Интернете, постоянно увеличивается, обеспечение конфиденциальности и целостности этих транзакций имеет решающее значение. Банковское дело, финансы, электронная коммерция, электронное государство и здравоохранение — это лишь некоторые примеры из множества отраслей, в которых широко используются технологии шифрования. Большинство людей использует шифрование каждый день, даже не зная об этом. Всякий раз, когда вы совершаете покупку в Интернете, информация о заказе и платеже шифруется с помощью протоколов безопасности на транспортном уровне и уровне защищенных сокетов (TLS/SSL), широко используемого стандарта, в котором для защиты подключений к Интернету применяется как симметричное, так и асимметричное шифрование.

Шифрование используется для защиты конфиденциальности информации. В различных юрисдикциях по всему миру от организаций, обрабатывающих конфиденциальные данные, такие как их интеллектуальная собственность и данные о клиентах, включая информацию, позволяющую установить личность, персональные медицинские данные, платежные данные с номерами кредитных карт и другие виды данных, которые привязаны к физическим лицам, часто требуют защищать данные. С учетом того что организации хранят все больше и больше конфиденциальных данных для продолжения своей повседневной деятельности, хранилища стали основными объектами атак. В результате этого для защиты от атак, которые могут нарушить конфиденциальность данных, навредить бизнесу и подорвать репутацию организаций, как правило, шифруются и передаваемые (по сетям) данные, и неактивные данные (в хранилище).

Поскольку информация стала движущей силой современного бизнеса, данные стали важным ресурсом. Государственные и отраслевые регуляторные органы во всем мире активизировали усилия по обеспечению соблюдения требований о защите данных и неприкосновенности частной жизни лиц, данные которых собираются. В новой нормативной среде шифрование стало вопросом, которому руководители организаций во многих отраслях, включая директоров по информационным технологиям, директоров по информационной безопасности и сотрудников по надзору за нормативно-правовым соответствием, уделяют внимание в первую очередь. Ввиду этого шифрование все чаще внедряется во многие приложения. Поскольку шифрование преобразует конфиденциальные данные, оно также может способствовать сокращению области применения некоторых норм, и, соответственно, повышению уровня безопасности и снижению затрат.

Шифрование — важный инструмент для защиты организаций от нарушений безопасности данных, которые могут привести к причинению значительного экономического ущерба или вреда репутации. Однако степень надежности шифрования напрямую зависит от степени защиты связанных с ним ключей. Если представить шифрование как замок на входной двери, оно может эффективно защитить ваше имущество только в том случае, если ключ будет надлежащим образом защищен. Оставляя ключ под ковриком у двери, вы разрушаете защиту, которую обеспечивает замок. Если ключи шифрования не защищены, то шифровать данные нет смысла, ведь злоумышленники могут найти ключи и получить доступ к данным. Таким образом, надежное управление криптографическими ключами важно для обеспечения эффективности любой схемы шифрования данных.

Управление ключами шифрования включает в себя два основных аспекта: управление жизненным циклом и управление доступом. Управление жизненным циклом включает в себя генерацию, использование, хранение, обновление, архивирование и уничтожение критически важных криптографических ключей. Управление доступом гарантирует, что только аутентифицированные и авторизованные пользователи могут использовать ключи для шифрования и расшифровки данных. Важно подчеркнуть, что к пользователям сегодня относятся как люди, так и приложения (машины). На самом деле обычно доступ к данным в большей степени требуется машинам, чем реальным людям. Чтобы включить аутентификацию и авторизацию пользователей, необходимо выпустить идентификационные данные для людей и машин, которые затем будут проходить проверки. В этом случае составляющей комплексной стратегии управления ключами также становится инфраструктура открытых ключей (PKI).

Качество криптографического ключа измеряется степенью его защиты от подбора. Как и пароли, которые должны быть сильными и трудными для угадывания, ключи также должны быть надежными, разработанными с использованием настоящих генераторов случайных чисел. Федеральные стандарты обработки информации (FIPS) содержат указания по использованию утвержденных аппаратных генераторов случайных чисел. Как правило, они предоставляются сертифицированными аппаратными модулями безопасности (HSM) — специальными платформами, которые генерируют надежные ключи и управляют ими на протяжении всего их жизненного цикла. Хотя HSM обычно развертываются локально, благодаря миграции в облако они стали доступны в качестве услуги на основе подписки. Облачные HSM предоставляют клиентам специальные аппаратные платформы как услугу для генерации ключей и управления ими без необходимости покупать и обслуживать собственное оборудование. В случае миграции приложений и данных в облако организациям необходимо подумать о том, как меняется уровень владения, контроля и принадлежности, чтобы обеспечить надежное состояние безопасности в расширяющейся вычислительной экосистеме.

Ключи, используемые для шифрования в целях защиты конфиденциальности данных или для подписи с целью защиты их происхождения и целостности, гарантируют безопасность криптографического процесса. Независимо от того, насколько сильным является алгоритм, используемый для шифрования или подписи данных, безопасность процесса нарушается в случае компрометации связанного с ним ключа. По этой причине защита криптографических ключей имеет решающее значение.

Ввиду случайного характера ключей, описанного ранее, местонахождение ключей в программном обеспечении может быть довольно легко определить. Злоумышленники, которым необходимы конфиденциальные данные, будут искать ключи, так как они знают, что, имея ключи, можно получить данные. Таким образом, ключи, хранящиеся в программном обеспечении, могут быть обнаружены и получены, что ставит под угрозу безопасность зашифрованных данных. По этой причине при любых обстоятельствах необходимо использовать HSM для защиты ключей. Использование HSM в качестве корня доверия стало передовой практикой в сфере кибербезопасности, рекомендуется профессионалами в области безопасности и многими ведущими поставщиками приложений.

Еще одним фактором, который следует учитывать при защите ключей, является доступ не только внешних, но и внутренних злоумышленников. Использование HSM для защиты ключей и управления ими обеспечивает механизмы для установления двойного контроля, чтобы ни одно внутреннее лицо или организация не могли самостоятельно изменить политики использования ключей и эффективно подорвать установленные механизмы безопасности. Схемы кворума, в которых заранее определено минимальное количество лиц, которые вместе могут вносить какие-либо изменения в HSM и их функции управления ключами, также способствуют повышению уровня безопасности.

Система управления ключами обеспечивает основу централизованного корня доверия, необходимого для соблюдения политики безопасности данных во всей организации. Она не только управляет жизненным циклом всех ключей, но и ведет журналы с метками времени доступа всех пользователей, обеспечивая очень важный инструмент для аудита и соблюдения нормативных требований. В условиях все возрастающего количества угроз кибербезопасности, а также государственных и отраслевых норм, системы управления ключами становятся незаменимыми.

Для соблюдения постоянно увеличивающегося количества государственных и отраслевых норм обеспечения безопасности данных требуется надежное шифрование и эффективное управление криптографическими ключами. В законах о защите частной жизни граждан, таких как Общий регламент Европейского союза по защите персональных данных (GDPR) и Закон Калифорнии о защите персональных данных потребителей (CCPA), а также отраслевых нормах, таких как Стандарт безопасности данных индустрии платежных карт (PCI DSS), помимо прочего, четко определена необходимость в надежном шифровании и управлении ключами, в том числе в использовании сертифицированных продуктов для содействия соблюдению требований.