Ochrona danych - strategie szyfrowania

Elementem zarządzania kluczami jest wybór miejsca przechowywania kluczy. Jednym z rozwiązań jest przechowywanie kluczy w zastrzeżonych tablicach bazy danych lub pliku. Jednak wszyscy administratorzy z uprzywilejowanym dostępem będą także mogli uzyskać dostęp do tych kluczy i deszyfrować dowolne dane w systemie. Zasady dobrych praktyk powinny oddzielać klucze od baz danych, gdzie rezydują szyfrowane dane, przechowując klucze w innych miejscach. Należy więc wdrożyć strategie wydzielonej pamięci dla kluczy z typem dostępu zastrzeżonym do wybranych osób.

W większości programowych rozwiązań kryptograficznych operacje szyfrowania/deszyfrowania mają miejsce w ogólnie dostępnej pamięci operacyjnej komputera. W rozwiązaniach sprzętowych, takich jak karty chipowe czy tokeny kryptograficzne, obróbka kryptograficzna wykonywana jest w specjalizowanych obszarach pamięci, które są dostępne wyłącznie dla tego sprzętu. Jest to metoda bardziej bezpieczna i szybsza.

Wiele produktów przechowuje klucze kryptograficzne w chronionych urządzeniach komputerowych. Tego typu klucze powinny być same szyfrowane i chronione przez trudne do złamania hasła lub inne rozwiązania sprzętowe. W coraz większym zakresie klucze kryptograficzne są przechowywane w rozwiązaniach sprzętowych. Karty chipowe stają się coraz powszechniejsze w dwuskładnikowym uwierzytelnianiu, ale też są już opracowane bardziej uniwersalne rozwiązania, przyczyniające się do silniejszego szyfrowania. Większość płyt głównych komputerów PC będzie mieć niebawem układ TPM (Trusted Platform Module), który może być używany do bezpiecznego przechowywania kluczy kryptograficznych dla różnego rodzaju systemów operacyjnych i aplikacji. Technologia BitLocker w systemie Vista może przechowywać klucze szyfrowania woluminów właśnie w mikroukładzie TPM.

Należy pamiętać, że dobra kryptografia to broń obusieczna. Jeżeli nie można zagwarantować niezawodnego archiwizowania i zarządzania kluczami, to nie należy w ogóle implementować szyfrowania. W razie zagubienia lub zniszczenia kluczy szyfrujących bez odpowiednich metod odzyskiwania dane mogą zostać utracone bezpowrotnie.


TOP 200