Hỏi Chuyên gia
Lên kế hoạch cho giải pháp phù hợp yêu cầu phải có sự hiểu biết về các mục tiêu bảo mật của dự án. Hãy để các chuyên gia của Kingston hướng dẫn cho bạn.
Hỏi Chuyên giaMã hóa là một phương pháp xáo trộn dữ liệu để không ai có thể đọc được ngoại trừ các bên được ủy quyền. Quá trình mã hóa chuyển đổi bản thô thành bản mã bằng khóa mật mã. Khóa mật mã là một tập hợp các giá trị toán học được cả người gửi và người nhận biết và đồng thuận.
Bất kỳ ai sở hữu khóa mật mã đúng đều có thể giải mã hoặc phiên dịch dữ liệu được mã hóa. Đó là lý do tại sao các chuyên gia mật mã không ngừng phát triển các loại khóa tinh vi và phức tạp hơn. Các mã hóa an toàn hơn sử dụng các mật khẩu mã hóa có độ phức tạp đủ để tin tặc không thể thực hiện được việc giải mã toàn diện (còn được gọi là brute force’).
Dữ liệu có thể được mã hóa khi ở trạng thái nghỉ" (trong kho lưu trữ) hoặc đang truyền" (trong khi được truyền đi). Có hai cách phân loại mã hóa chính: đối xứng và bất đối xứng.
Tính riêng tư: chỉ chủ sở hữu và người nhận dữ liệu mới có thể đọc, giúp ngăn chặn những kẻ tấn công, ISP, thậm chí cả chính phủ khỏi dữ liệu nhạy cảm.
Tính bảo mật: mã hóa giúp ngăn chặn vi phạm dữ liệu; nếu một thiết bị của công ty bị mất hoặc bị đánh cắp nhưng nội dung đã được mã hóa, dữ liệu sẽ vẫn được bảo mật.
Tính toàn vẹn dữ liệu: mã hóa cũng ngăn chặn hành vi nguy hiểm như tấn công trên đường dẫn truyền dữ liệu (chặn thông tin trong quá trình truyền dữ liệu), vì không thể xem hoặc giả mạo dữ liệu được mã hóa trên đường truyền dữ liệu.
Các quy định: nhiều quy định của ngành và chính phủ yêu cầu các công ty phải mã hóa dữ liệu người dùng, ví dụ như HIPAA, PCI-DSS và GDPR. Các cơ quan chính phủ và nhà thầu của Hoa Kỳ phải tuân theo FIPS (Tiêu chuẩn xử lý thông tin liên bang).
Thuật toán mã hóa là cách dữ liệu được chuyển đổi thành bản mã. Mật khẩu mã hóa được thuật toán sử dụng để thay đổi dữ liệu một cách nhất quán sao cho mặc dù trông có vẻ ngẫu nhiên nhưng mật khẩu giải mã có thể dễ dàng chuyển đổi trở lại thành văn bản thô. Các thuật toán mã hóa phổ biến bao gồm AES, 3-DES, SNOW (tất cả đều đối xứng) và mật mã đường cong Elliptic và RSA (cả hai đều bất đối xứng).
Giống như tất cả các mã hóa bất đối xứng, RSA sử dụng phép tính thừa số nguyên tố (nhân hai số nguyên tố rất lớn với nhau). Việc bẻ khóa mã hóa này rất khó vì các số nguyên tố ban đầu phải được xác định, về mặt toán học thì đây là một công việc không hề dễ dàng. Việc bẻ khoá theo kiểu Brute Force với RSA gần như là không thể.
Khi một máy tính thực hiện hàng triệu hoặc thậm chí hàng tỷ lần cố gắng bẻ khóa mật khẩu hoặc mật khẩu giải mã, thì đó được gọi là một cuộc tấn công Brute Force. Các máy tính hiện đại có thể thực hiện các phép hoán vị khả thi một cách cực kỳ nhanh chóng. Mã hóa hiện đại cần phải có khả năng phục hồi trước kiểu tấn công này. Mật mã học là một cuộc chạy đua vũ trang không ngừng giữa những người phát triển các phương pháp bẻ khóa mã hóa nhanh hơn và những người phát triển các hệ thống mã hóa tiên tiến hơn.
Mã hóa dữ liệu lưu trữ đám mây: dữ liệu hoặc văn bản được chuyển đổi thông qua các thuật toán mã hóa sau đó được đưa vào lưu trữ đám mây. Tương tự như mã hóa nội bộ, ngoại trừ việc khách hàng cần tìm hiểu xem các mức mã hóa khác nhau của nhà cung cấp phù hợp với nhu cầu của bản thân như thế nào về độ nhạy cảm của dữ liệu/bảo mật.
Mã hóa có thể phủ nhận: mã hóa với nhiều phương tiện mã hóa khả thi được sử dụng để đánh lừa nếu dữ liệu có khả năng hoặc bị chặn có chủ đích trong quá trình truyền dữ liệu.
FDE (mã hóa toàn bộ đĩa): mã hóa cấp độ phần cứng. Dữ liệu trên ổ cứng được mã hóa tự động và không ai có thể đọc được nếu không có mật khẩu xác thực phù hợp. Ổ cứng cũng sẽ trở thành vật vô dụng trong bất kỳ máy tính nào không có mật khẩu.
BYOE (Bring Your Own Encryption): (Mô hình mã hóa của riêng bạn) một mô hình bảo mật điện toán đám mây cho phép khách hàng xem phiên bản ảo của phần mềm mã hóa của riêng họ cùng với ứng dụng được lưu trữ trên đám mây. Còn được gọi với cái tên khác là BYOK.
EaaS (Encryption as a Service): (Mã hóa dưới dạng dịch vụ) một dịch vụ đăng ký dành cho khách hàng sử dụng dịch vụ đám mây không thể quản lý mã hóa của riêng họ. Bao gồm FDE, mã hóa cơ sở dữ liệu hoặc mã hóa tệp.
E2EE (End to End Encryption): (Mã hóa đầu cuối) bảo vệ dữ liệu trong quá trình truyền dữ liệu. Các tin nhắn như WhatsApp được mã hóa bằng phần mềm máy khách hàng, được chuyển đến trang web của máy khách, sau đó được người nhận giải mã.
Mã hóa cấp trường: dữ liệu trong các trường trang web cụ thể được mã hóa (ví dụ: SSN, số thẻ tín dụng, dữ liệu tài chính/liên quan đến sức khỏe. Tất cả dữ liệu trong trường đã chọn sẽ tự động được mã hóa.
Mã hóa cấp độ cột: một cách tiếp cận trong đó tất cả các ô trong cùng một cột có cùng mật khẩu để truy cập và đọc/ghi.
Mã hóa cấp độ đường liên kết: mã hóa dữ liệu khi rời khỏi máy chủ, giải mã ở liên kết tiếp theo, sau đó mã hóa lại khi được gửi lại. Không nhất thiết phải sử dụng cùng một mật khẩu/thuật toán ở mọi liên kết.
Mã hóa cấp độ mạng: dịch vụ mã hóa ở cấp độ truyền mạng, được triển khai thông qua Giao thức Bảo mật Internet (IPSec), tạo ra một khung liên lạc riêng qua mạng IP.
Mã hóa đồng hình: việc chuyển đổi dữ liệu thành bản mã vẫn cho phép quá trình phân tích và hoạt động như thể không được mã hóa. Hữu ích đối với các thao tác toán học không yêu cầu phá vỡ mã hóa.
HTTPS: cho phép mã hóa trang web bằng cách chạy HTTP qua giao thức TLS. Để máy chủ web mã hóa nội dung mà máy gửi, phải cài đặt mật khẩu chung.
Mật mã lượng tử: phụ thuộc vào cơ học lượng tử để bảo vệ dữ liệu. Không thể đo dữ liệu mã hóa lượng tử mà không thay đổi giá trị của các thuộc tính này (vị trí và động lượng). Mọi nỗ lực sao chép hoặc truy cập dữ liệu cũng sẽ thay đổi dữ liệu, cảnh báo cho các bên được ủy quyền rằng đã xảy ra một cuộc tấn công.
Các chiến lược an ninh mạng cần kết hợp mã hóa dữ liệu, đặc biệt là khi ngày càng có nhiều doanh nghiệp sử dụng điện toán đám mây. Có nhiều phương pháp mã hóa có thể hỗ trợ hoạt động của công ty.
Mã hóa email: vì email là công cụ không thể thiếu trong hoạt động kinh doanh và liên lạc nội bộ nên những kẻ xấu nhắm mục tiêu tấn công vào email hoặc trong những lần vô tình tiết lộ. Có thể quản lý chặt chẽ các ngành như dịch vụ tài chính hoặc chăm sóc sức khỏe nhưng việc thực thi có thể gặp khó khăn, đặc biệt là với email mà người dùng cuối thường không đón nhận các thay đổi đối với quy trình vận hành tiêu chuẩn Có thể trang bị phần mềm mã hóa cho các hệ điều hành và ứng dụng email phổ biến để việc gửi email được mã hóa cũng đơn giản như gửi email không được mã hóa.
Big Data (Tệp dữ liệu lớn): bảo vệ dữ liệu liên tục để tuân thủ quyền riêng tư, phân tích đám mây an toàn, công nghệ mã hóa và mã thông báo để truyền qua đám mây; việc mã hóa có thể đẩy nhanh các hoạt động trên nhiều đám mây bằng cách lấy dữ liệu làm điểm bảo vệ trọng tâm. Bất cứ khi nào dữ liệu nhạy cảm đi qua môi trường đa đám mây, dữ liệu sẽ được mã hóa bằng các công nghệ này.
Bảo mật thanh toán: người kinh doanh, bộ xử lý thanh toán và doanh nghiệp phải đối mặt với những trở ngại to lớn trong việc bảo mật dữ liệu nhạy cảm, có giá trị cao, ví dụ như dữ liệu chủ thẻ thanh toán, để tuân thủ PCI DSS (Bộ tiêu chuẩn bảo mật dữ liệu thẻ thanh toán) và luật về quyền riêng tư dữ liệu. Tuy nhiên, phần mềm mã hóa có thể bảo vệ các giao dịch thương mại điện tử POS, web và giao dịch thương mại di động.
Ngoài các dịch vụ và biện pháp bảo vệ trên, mã hóa cũng đảm bảo tính bảo mật (mã hóa nội dung tin nhắn), xác thực (xác minh nguồn gốc của tin nhắn), không phủ nhận (ngăn chặn sự phủ nhận đối với việc gửi tin nhắn được mã hóa) và tính toàn vẹn (chứng minh rằng nội dung tin nhắn không bị giả mạo).
Mã hóa được thiết kế để ngăn chặn các bên trái phép có thể đọc hiểu dữ liệu thu được không hợp lệ. Tuy nhiên, trong một số trường hợp, việc mã hóa cũng có thể khóa chủ sở hữu dữ liệu. Các doanh nghiệp gặp khó khăn trong việc quản lý khóa vì các khóa cần được lưu trữ ở một nơi nhất định và những kẻ tấn công thường rất giỏi trong việc xác định vị trí của chúng. Quản lý khóa làm tăng thêm độ phức tạp cho quá trình sao lưu và khôi phục vì việc truy xuất khóa và bổ sung khóa cho máy chủ dự phòng trong trường hợp xảy ra sự cố cực kỳ tốn thời gian. Quản trị viên phải có kế hoạch bảo vệ hệ thống quản lý khóa, ví dụ như một bản sao lưu riêng biệt, dễ truy xuất trong trường hợp xảy ra sự cố trên diện rộng.
Có phần mềm có chức năng đơn giản hóa việc quản lý khóa, ví dụ như thuật toán bọc khóa. Thuật toán này mã hóa các mật khẩu (khóa) mã hóa của một tổ chức theo kiểu riêng lẻ hoặc hàng loạt. Khi được yêu cầu, khóa có thể được mở ra, thường sử dụng mã hóa đối xứng.
Mặc dù thực tế là các cuộc tấn công kiểu Brute Force có thể không gây ảnh hưởng các khóa bit cao, nhưng vẫn có lỗ hổng. Kẻ tấn công sẽ bỏ nhiều nỗ lực hơn vào việc giành quyền truy cập trái phép vào các khóa thông qua các phương pháp tấn công phi kỹ thuật. Điều đó có nghĩa là cuộc tấn công sẽ không hướng vào hệ thống mà là cá nhân duy trì và tương tác làm việc với hệ thống đó. Lừa đảo, sử dụng phần mềm độc hại, BadUSB chỉ là một số cách mà tin tặc có thể áp dụng để phá vỡ các biện pháp bảo mật được thiết kế để bảo vệ mạng khỏi các cuộc tấn công từ bên ngoài thông qua khai thác khả năng mắc sai lầm của con người.
Mã hóa dựa trên phần mềm cũng được coi là phương pháp kém an toàn hơn so với mã hóa dựa trên phần cứng. Mã hóa dựa trên phần mềm được gọi là mã hóa linh hoạt’ do tính dễ bị tấn công kỹ thuật từ kẻ xấu. Mã hóa dựa trên phần cứng thường được cho là phương pháp an toàn hơn vì được trang bị các biện pháp bảo vệ vật lý chống giả mạo.
#KingstonIsWithYou #KingstonIronKey
Lên kế hoạch cho giải pháp phù hợp yêu cầu phải có sự hiểu biết về các mục tiêu bảo mật của dự án. Hãy để các chuyên gia của Kingston hướng dẫn cho bạn.
Hỏi Chuyên gia