<  All articles

Шифрование данных: как предотвратить утечку информации и защитить свой бизнес

Шифрование данных

С развитием телекоммуникационных технологий, увеличивается и количество способов обмена данными. Проблемы такого обмена заключаются в том, что существующие методы безопасности не обеспечивают должную защиту от перехвата данных или их подмены.

Для того чтобы избежать возможных негативных последствий от раскрытия пересылаемой информации и обеспечить её защиту, специалистами и учёными в области криптографии были разработаны соответствующие меры безопасности.

В настоящее время, одним из самым эффективных методов защиты данных является шифрование.

Что же такое шифрование, какие бывают его виды и как оно поможет обезопасить важную конфиденциальную информацию от возможных утечек? Давайте разбираться.

Что такое шифрование данных

Шифрование — это математическое преобразование данных в нечитаемый, зашифрованный вид. Главная цель шифрования — обеспечить конфиденциальность и безопасность данных при их пересылке, хранении и во время использования.

Например, при  преобразовании простого (обычного) текста в некий цифровой код, читаемый текст шифруется в нечитаемый набор символов. В данном случае необходимым знанием для расшифрования исходного текста является алгоритм и секрет, с помощью которых этот текст был зашифрован.

Существуют различные типы и методы шифрования данных. Все они призваны выполнять одну задачу – обеспечивать надежную защиту конфиденциальных данных.

Виды шифрования данных

Алгоритмы шифрования помогают преобразовать информацию в нечитаемый текст, который легко расшифровать, если вы знаете исходный алгоритм. Без такого знания произвести расшифрование практически невозможно, так как процесс угадывания требует значительного количества времени и вычислительных ресурсов.

Современное шифрование данных включает в себя:

  • Симметричное шифрование данных
  • Асимметричное шифрование данных
  • Криптографию на эллиптических кривых
  • Хеширование
  • Цифровую подпись 
  • Управление ключами шифрования

Симметричное шифрование данных

Алгоритмы симметричного шифрования обеспечивают аутентификацию и целостность данных. 

Аутентификация позволяет проверить источник сообщения. Целостность же гарантирует, что содержимое сообщения не было изменено с момента отправки.

При шифровании с симметричным ключом используется один открытый ключ (общий секрет). Открытый ключ используется для одновременного шифрования и дешифрования сообщения. Для современных симметричных алгоритмов основной оценкой криптостойкости выступает длина ключа. 

AES шифрование 

Примером симметричного шифрования является алгоритм AES (Advanced Encryption Standard). Это алгоритм блочного шифрования с симметричным ключом. 

Для создания зашифрованного текста, алгоритм AES использует цикл операций по подстановке, замене, перестановке и линейном перемешивании входных данных в блоке. Цикл преобразования данных называется «раундом». За один раунд AES использует таблицу подстановки данных, производит сдвиг строк, перемешивает столбцы и добавляет раундовые ключи.

Например, для ключа в 128 бит алгоритм проводит 10, для 192-битного — 12  и 256-битного — 14 раундов. Увеличение количества раундов делает шифрование данных с длинами ключей 192 и 256 бит еще более сильным и трудным для взлома.

Такая реализация алгоритма позволяет AES быть надежным, безопасным и эффективным для шифрования больших объёмов данных. Но главное его преимущество в том, что AES устойчив к множественным известным методам криптоанализа (напр., дифференциальный и линейный криптоанализы, атака усеченных дифференциалов) и взлому.

Twofish шифрование 

Ещё одним симметричным алгоритмом блочного шифрования является алгоритм Twofish.

При использовании алгоритма Twofish, одна половина ключа шифрования используется как ключ шифрования, другая — служит для изменения алгоритма. Такой подход обладает большим запасом прочности и устойчивости к взлому. Сильным шифрованием считается шифрование с длиной ключа в 256 бит.

Асимметричное шифрование данных

Алгоритмы асимметричного шифрования используют два ключа: открытый и закрытый.

Открытый ключ может быть предоставлен всем, а закрытый ключ должен знать только его владелец. Эти два ключа связаны друг с другом математически и по сути представляют собой числа с определенными свойствами.

Если шифрование выполняется с помощью открытого ключа, расшифрование может происходить только с помощью связанного с ним закрытого ключа и наоборот. Таким образом, открытый ключ делают делают доступным для общественности, позволяя отправлять зашифрованные этим ключом сообщения, расшифровать которые способен только владелец соответствующего закрытого ключа.

RSA шифрование 

Алгоритм RSA (Rivest-Shamir-Adleman) — это шифрование с открытым ключом, которое используется для защиты конфиденциальных данных, когда они отправляются по небезопасной сети. Отправитель сообщения использует открытый ключ получателя для шифрования сообщений.

Надёжность и безопасность шифрования RSA обеспечивается тем, что злоумышленнику очень трудно вычислить закрытый ключ, зная лишь открытый. В случае, если злоумышленник перехватил открытый ключ, он все равно будет бесполезен, так как для расшифровки сообщения ему необходимо иметь закрытый ключ (принадлежащий получателю).

На сегодняшний день невозможно вычислить коэффициенты чисел больше 768 бит. Именно поэтому все современные криптосистемы используют минимальную длину ключа в 3072 бита.

Практическим примером использования ассиметричного шифрования может быть сквозное (End-To-End, EE2E) шифрование.

Криптография на эллиптических кривых

ECC (Elliptic Curve Cryptography) использует криптографию на основе эллиптических кривых. Эллиптическая кривая — множество точек, описываемое некоторым уравнением.

Преимуществом использования эллиптических кривых при шифровании данных можно считать скорость работы эллиптических алгоритмов. Эффективность такого шифрования существенно повышается за счёт использования меньшей длины ключей шифрования. 

Для криптографических алгоритмов минимальной надежной длиной ключа считается длина от 163 бит.

ECDH (Elliptic Сurve Diffie-Hellman, протокол Диффи-Хеллмана на эллиптических кривых) – это алгоритм, основанный на криптографии эллиптических кривых. Он устанавливает порядок обмена и генерирования ключей.

ECDSA (Elliptic Curve Digital Signature Algorithm) – ещё один алгоритм, основанный на ECC-криптографии. Алгоритм используется для генерирования и проверки цифровых подписей.

Хеширование

Хеширование – процесс, при котором вы вводите данные любой длины и размера, а на выходе получаете строку из цифр фиксированной длины. Величина строки зависит от выбранного алгоритма функции хеширования.

Хеширование используется для проверки подлинности данных. 

Например, вы решили написать сообщение. В этом случае, для текста сообщения генерируется свой уникальный хеш. При малейшем изменении текста, его хеш полностью меняется. Таким образом, обеспечивается условие, при котором соблюдается целостность полученного сообщения.

Хеширование обеспечивает достаточно высокую безопасность: даже если злоумышленник сможет овладеть хешем, такие данные будут бесполезны для него, ведь он не сможет их прочитать. Другими словами, восстановить текст сообщения из хеша невозможно.

Хеширование также позволяет обеспечить сохранность пароля. Вместо того, чтобы хранить сам пароль, достаточно хранить только его хэш. При вводе пароля, система проверяет и сопоставляет хэш вводимого пароля с тем, что хранится. 

Хеширование использует алгоритмы, известные как хэш-функции.

Хеш-функции

Хеш-функция – это функция, которая выполняет преобразование данных по определенному алгоритму.

Главной особенностью хеш-функций является их стойкость: получение двух одинаковых хешей из двух разных массивов исходных данных (при их обработке одной и той же хеш-функцией) невозможно.

SHA-3 (Secure Hash Algorithm Version 3) – это функция, предназначенная для создания цифровых отпечатков выбранной длины из входных данных любого объема.

HMAC (Hash-based Message Authentication Code, код проверки подлинности (аутентификации) сообщений) — способ проверки целостности передаваемых данных.

Хеш-функции также используется для создания и проверки цифровых подписей.

Цифровая подпись 

Цифровая подпись – это некоторый массив данных, сгенерированный с использованием закрытого (приватного) ключа. 

Цифровая подпись используются для того, чтобы подтвердить, что сообщение действительно пришло от настоящего отправителя (только отправитель обладает закрытым ключом). 

Процесс создания и проверки цифровой подписи в общем виде можно представить так:

  1. Формирование строки с определенным массивом данных.
  2. Генерация пары закрытый-открытый ключ.
  3. Шифрование строки закрытым ключом отправителя с использованием хеш-функции. 
  4. Формирование подписи.
  5. Добавление к подписи открытого ключа подписывающего. 
  6. Верификация подписи получателем письма (принадлежит ли она тому, кому должна принадлежать) с помощью открытого ключа и сертификата ключа.
  7. Проверка авторства сообщения, т.е. принадлежит ли подпись его владельцу.

Так как подписываемые цифровой подписью файлы и сообщения уязвимы к атакам с использованием открытого ключа, подпись ставится не на сами данные, а на их хэш. В таком случае, при верификации подписи будет доступен только хэш исходного текста.

Для вычисления хэша используются криптографические хэш-функции. Если используемая хеш-функция криптографически стойкая, то вычислить исходный текст будет сложно, а значит атака такого типа становится невозможной.

Управление ключами шифрования

Одной из главных трудностей при шифровании информации является управление ключами. Так как открытый ключ доступен каждому, необходимо:

  • применить способ, который позволит проверить, что ключ принадлежит именно его владельцу; 
  • защитить ключ от подмены злоумышленником.

В свою очередь, задачи управления ключами сводятся к таким:

  • не допустить несанкционированного использования ключей;
  • обеспечить защиту ключей;
  • сохранить конфиденциальность ключей и передаваемых данных.

Чтобы обеспечить безопасную доставку ключей, используются разные способы: 

  • использование выделенных безопасных каналов для доставки ключей, считающихся безопасными;
  • использование двух видов ключей: ключей шифрования и ключей шифрования данных;
  • разделение передаваемого ключа на составные части и дальнейшая их передача по различным каналам. 

Если осуществлять передачу ключей шифрования по открытому каналу связи, то злоумышленник может легко их перехватит. Поэтому ключи должны передаваться по защищенному каналу связи.

Например, именно поэтому решение StealthMail использует комбинацию таких способов: 

  1. При авторизации пользователя в системе у него генерируются клиентские ключи для авторизации в сервисе. 
  2. Создается защищенный канал связи. 
  3. При открытии канала, происходит соединение с сервером. 
  4. После установки соединения, происходит генерация части ключа на устройстве и части ключа на сервере по защищенному каналу.
  5. Происходит расшифровка ключей с двух сторон: на стороне пользователя и на стороне сервиса, и далее создаётся отдельный ключ, который расшифровывает содержимое письма.

Атаки на зашифрованные данные

Cегодня компании уязвимы как ко внутренним, так и внешним угрозам как никогда ранее. Непреднамеренная или (что еще опаснее) намеренная утечка данных может нанести непоправимый ущерб бизнесу: финансовые потери, отставка руководства, штрафы и удар по репутации – это далеко не все проблемы, с которыми сталкиваются компании вследствие ненадлежащей защиты конфиденциальных данных.

Так как практически вся конфиденциальная информация передается в открытом виде и по общедоступным каналам связи и может хранится в незашифрованном виде на устройствах пользователей или на облачных серверах, она [конфиденциальная информация] должна быть защищена в первую очередь.

Шифрование данных обеспечивает высокий уровень защиты данных. По этой причине большинство кибератак направлено на взлом шифрования. Но бывает и так, что поиск уязвимостей в самой системе шифрования сводится к уязвимости тех, кто её использует.

«Грубая сила»

Подбор ключа, или brute-force (перевод от англ. атака перебором, дословно – «грубая сила») — это угадывание пароля путем перебора всех возможных вариантов с учётом длины пароля и символов, которые его составляют. 

Уровень защиты прямо пропорционален размеру пароля: чем длиннее ключ, тем больше времени и ресурсов уйдет у взломщика на его подбор. 

При этом, атака перебором — самая медленная. Это очень трудоемкий процесс в плане времени и ресурсов. Если вариантов решений большое множество, то на атаку полным перебором может уйти несколько лет или даже десятилетий.

Устойчивость к атаке перебором определяется тем, насколько надежен ключ шифрования, используемый в криптосистеме: с увеличением длины ключа, сложность взлома возрастает по экспоненте.

Атака по сторонним каналам

Атаки по сторонним каналам (SCA, Side Channels Attacks) – это атаки на устройства шифрования, когда злоумышленник: 

  • знает о времени выполнения шифрования; 
  • располагает данными о расходуемой мощности; 
  • владеет информацией о звуках, издаваемых во время работы устройства;
  • измеряет электромагнитное излучение, генерируемое устройством.

Криптоанализ

Криптоанализ подразумевает поиск методов расшифровки зашифрованной информации в коде. Задача криптоанализа сводится к выяснению ключа шифрования.

Протокол SMTP

Основным стандартом для асинхронного обмена сообщениями является протокол SMTP. 

Данный протокол используется только для передачи сообщений по электронной почте. Он не создавался для того, чтобы обеспечить конфиденциальность переписки.

StealthMail: профессиональное решение по защите корпоративной почты 

StealthMail — передовое решение в области электронной кибербезопасности для корпоративного сектора.

Это программное решение, которое обеспечивает многоуровневую защиту информации, а также безопасность и конфиденциальность вашей деловой переписки по электронной почте.

StealthMail использует комбинацию различных криптографических методов вместе с улучшенными алгоритмами шифрования данных для обеспечения максимальной защиты и повышения безопасности при общении по электронной почте. 

Надёжность и защиту данных в StealthMail обеспечивают следующие алгоритмы и методы шифрования:

  • ECC 512 бит (включая ECDH, ECDSA, ECIES);
  • RSA 8192 бит для аутентификации и цифровой подписи; 
  • AES 256 бит для хранения зашифрованных данных;
  • Twofish 256 бит для передачи данных;
  • AES и Twofish в нескольких разных потоковых режимах;
  • Современные методы хеширования, в том числе SHA3-512 и HMAC;
  • Потоковое шифрование (зависимость следующего пакета данных от предыдущего);
  • Все данные хранятся в зашифрованном виде: при пересылке, при хранении и при использовании.

В дополнение к методам обеспечения по повышению уровня безопасности данных, использование StealthMail предоставляет множество дополнительных преимуществ: 

  • верификация пользователя;
  • цифровые подписи данных для исключения несанкционированного доступа и подмены данных;
  • второй фактор для установки защищённого соединения;
  • запатентованный протокол передачи данных Secure Dynamic Communication Network and Protocol (SDNP);
  • механизм передачи зашифрованного контента писем с использованием stealth-ссылок;
  • добавление «мусорных данных» в поток данных для увеличения надёжности шифрования.

Чтобы обеспечить вашей организации комплексную защиту деловой переписке по электронной почте, получить более подробную техническую информацию о решении StealthMail, ознакомьтесь с Техническим руководством или оставьте заявку на бесплатную пробную версию уже сегодня.

Info

We use cookies to improve your experience