A criptografia é a base da segurança cibernética e pode proteger com eficácia a privacidade do consumidor e os dados confidenciais contra invasores. Quando dados criptografados são roubados, o que poderia ter sido uma violação grave é apenas um mero incidente: algo contra o qual é preciso continuar a se proteger, mas que tem impacto mínimo e pode nem mesmo exigir divulgação pública.
OpenText™ Voltage™ O SecureData usa chaves e algoritmos criptográficos, e o gerenciamento adequado das chaves criptográficas é essencial para o uso eficaz da criptografia: o gerenciamento inadequado de chaves pode tornar inúteis algoritmos fortes. O National Institute of Standards and Technology (NIST) publica "Recommendations for Key Management" (Recomendações para gerenciamento de chaves) na Special Publication 80057 (Parte 1, Revisão 5).
Voltage A criptografia oferece proteção à privacidade dos dados, neutraliza a violação de dados e gera valor comercial por meio do uso seguro dos dados.
Saiba maisA criptografia moderna e forte nunca é quebrada, mas é frequentemente contornada. Não importa quanta criptografia seja feita: se as chaves não estiverem bem protegidas, basta pouco para que um hacker obtenha as joias da coroa, com impacto significativo nos negócios e na reputação. O gerenciamento de chaves é tão importante quanto a implementação de uma criptografia forte e, com muita frequência, é o calcanhar de Aquiles dos programas de segurança e privacidade de dados corporativos.
Há duas maneiras de criar uma chave criptográfica: gerar uma chave aleatória ou calculá-la. É fácil entender por que as chaves aleatórias são boas. Não há nenhum truque computacional que ajude um invasor a adivinhar um valor aleatório que seja melhor do que apenas adivinhar todos os valores possíveis até obter o correto. Mas também é possível gerar chaves dinamicamente, de uma maneira tão segura quanto a abordagem tradicional: usando material de semente aleatório gerado uma vez e, em seguida, derivando chaves sob demanda com base na combinação de um "nome" de chave ou um "identificador" com esse material de semente.
A maneira mais segura de calcular uma chave é usar uma função de derivação de chave (KDF) segura, cujo resultado é uma chave derivada. As chaves derivadas são tão seguras quanto as chaves aleatórias, mas têm algumas vantagens práticas significativas. Em particular, elas tornam muito mais baratos a compra, o uso e a manutenção dos sistemas que as empregam.
O gerenciamento tradicional de chaves envolve uma sequência complexa: gerar chaves, marcá-las como "ainda não usadas", fazer backup delas, disponibilizá-las, atribuir nomes, marcá-las como "em uso", desativá-las para que não estejam mais disponíveis e muito mais, incluindo replicação, sincronização, arquivamento e gerenciamento de permissões. Isso é tedioso e as instalações que usam muitas chaves de criptografia descobrem rapidamente que o gerenciamento de chaves dá tanto ou mais trabalho do que a própria criptografia.
A desvantagem da abordagem de geração de chaves aleatórias é que você deve fazer backup de cada nova chave antes de usá-la para criptografar dados. Se não fizer isso, os dados protegidos não poderão ser descriptografados se o armazenamento de chaves falhar.
Comparativamente, as chaves derivadas oferecem algumas vantagens práticas significativas. Como o segredo é alterado apenas raramente, os backups não são necessários com frequência e a necessidade de toda a sequência criar-ativar-nome-ativar (além da autorização) é eliminada. Vários servidores de chaves podem ser criados a partir de um único backup e têm a garantia de derivar as mesmas chaves das mesmas entradas, uma vez que o material de semente original é reutilizado, sem a necessidade de replicação ou sincronização em tempo real. Também não há risco de perda de chaves: se um aplicativo perder uma chave derivada, ela poderá ser derivada novamente com a mesma facilidade com que foi gerada.
Independentemente da solução de gerenciamento de chaves, um desafio significativo é garantir que as chaves não sejam mal utilizadas pelos usuários. É fundamental desconectar os usuários e os desenvolvedores do gerenciamento de chaves. As equipes de aplicativos não devem estar envolvidas no armazenamento, na proteção ou na rotação de chaves de criptografia, nem devem ter permissão para possuir chaves. Em vez disso, elas devem receber identificadores de chaves e uma interface para uma camada de abstração que automatize a geração, a recuperação, o armazenamento em cache, a proteção e a atualização de chaves.
Voltage O SecureData da OpenText™ implementa o gerenciamento de chaves sem estado, oferecendo às empresas escala sem precedentes e gerenciamento de chaves simplificado. Com o Voltage SecureData, o gerenciamento de chaves também é abstraído, o que significa que os desenvolvedores nunca possuem chaves e, portanto, não precisam armazená-las. Em vez disso, eles armazenam identidades - nomes de chaves - que podem ser cadeias de caracteres significativas, como PAN, SSN, SensitiveData etc. Os desenvolvedores podem armazenar essas identidades em arquivos de propriedades sem nenhuma proteção, pois elas não são confidenciais. O software cliente SecureData cuida dos processos de gerenciamento de chaves - recuperação de chaves, segurança, cache, etc. Com a operação remota baseada em REST, as chaves nunca são expostas fora do servidor SecureData. O SecureData permite a derivação de chaves no servidor SecureData ou em um HSM.
A criptografia pode ser difícil, e o gerenciamento de chaves é ainda mais difícil, mas há maneiras de facilitar o gerenciamento de chaves e, ao mesmo tempo, cumprir totalmente até mesmo os padrões mais rigorosos. Voltage O SecureData facilita o gerenciamento de chaves, ajudando a proteger esse aspecto essencial de um programa de segurança de dados.
Proteja dados de alto valor e mantenha-os utilizáveis para a TI híbrida
Entenda e proteja os dados para reduzir os riscos, apoiar a conformidade e controlar o acesso aos dados