ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ ІНФОРМАЦІЇ ЗА ДОПОМОГОЮ ШИФРУВАННЯ ТА ТОКЕНІЗАЦІЇ ТА ЇХНІ ВІДМІННОСТІ
11.05.2022 02:17
[1. Information systems and technologies]
Author: Фірман Ігор Володимирович, студент спеціальності «Кібербезпека», 4 курс
Національний університет «Львівська політехніка», м. Львів
Дані у сучасному світі це своєрідне золото. Сьогодні всі підприємства, великі чи малі, певною мірою збирають, зберігають, отримують або передають дані. І незалежно від того, який пристрій, технологія чи процес використовуються для керування, зберігання чи збору, ці дані мають бути захищені. Для прикладу, через злочинну діяльність глобальні платіжні системи щорічно втрачають більше 11 мільярдів доларів [1].
Безпека даних — це набір стандартів і технологій, призначених для захисту цієї цифрової інформації від несанкціонованого доступу, пошкодження або крадіжки протягом усього її життєвого циклу. При правильному застосуванні надійні стратегії безпеки даних захищають активи організації від кіберзлочинної діяльності, а також від внутрішніх загроз і людських помилок.
Хоча безпека даних охоплює всі аспекти інформаційної безпеки, ми обмежимо наше обговорення рішеннями для шифрування файлів і баз даних. Ці рішення служать останньою лінією захисту конфіденційної інформації, приховуючи її вміст за допомогою шифрування або токенізації. Розглянемо детальніше два терміни, пов’язані з безпекою даних.
Шифрування даних — це термін, що позначає процес використання алгоритму для перетворення звичайної текстової інформації в нечитабельну форму, яка називається зашифрованим текстом. Цей зашифрований текст генерується за допомогою ключа шифрування. Щоб розшифрувати цей нечитаний текст до його вихідного формату звичайного тексту, знадобиться алгоритм і ключ дешифрування.
Існує два основних підходи до шифрування:
• Симетричне ключове шифрування. У шифруванні симетричним ключем один ключ використовується як для шифрування, так і для дешифрування інформації. Цей метод аналогічний ключу, за допомогою якого можна замикати та відмикати двері будинку. Істотний недолік цього шифрування полягає в тому, що якщо ключ зламаний, він може розблокувати всі дані, які використовувався для захисту.
• Шифрування з асиметричним ключем (або шифрування з відкритим ключем). Цей метод використовує два різних ключі для шифрування та дешифрування. Для боротьби з проблемою, пов’язаною із скомпрометованим ключем, було розроблено асиметричне шифрування ключа, щоб дозволити кільком сторонам обмінюватися зашифрованими даними, не керуючи тим самим ключем шифрування. Крім того, цей відкритий ключ можна вільно розповсюджувати, оскільки він лише блокує дані і ніколи не розблокує їх.
Токенізація як термін походить від стандарту безпеки даних індустрії платіжних карток (PCI DSS). Це різновид шифрування, який полягає у процесі перетворення значущої частини даних у випадковий рядок символів, який називається маркером. Маркер не має значущої цінності і служить лише заміною фактичних даних. Однак ви не можете використовувати його для вгадування вихідних даних у разі порушення. Це тому, що токенізація, на відміну від шифрування, не використовує криптографічний метод для перетворення конфіденційної інформації в зашифрований текст.
Жоден алгоритм чи ключ не можна змінити, щоб отримати вихідні дані. Замість цього токенізація використовує базу даних сховища маркерів, яка зберігає зв’язок між маркером і конфіденційним значенням. За бажанням, реальні дані в сховищі можуть бути додатково захищені за допомогою шифрування, що забезпечує подвійний рівень безпеки даних.
Дизайн токена також визначається належним чином, щоб зробити його більш корисним і зручним для користувачів. Наприклад, коли ви отримуєте на свій телефон повідомлення про будь-яку онлайн-транзакцію, останні чотири цифри можуть бути збережені в маркері. Токенізований номер буде відображатися як «**********1234».
Це робиться тому, що ви можете побачити посилання на фактичний номер банківського рахунку або номер картки, яка використовується для оплати. У такому випадку з метою безпеки продавець має лише токен, а не реальний номер картки.
Найпоширенішим застосуванням токенізації є захист даних платіжних карток. Це допомагає продавцям зменшити свої зобов’язання відповідно до вимог стандарту безпеки даних індустрії платіжних карток, розроблений Радою зі стандартів безпеки індустрії платіжних карток (Payment Card Industry Security Standards Council, PCI SSC). Для обробки карткового платежу токен передається в сховище, де індекс використовуєтьсядля отримання відповідного реального значення цього токена для процесу авторизації. Для кінцевого користувача ця операція виконується браузером або програмою майже миттєво.
Токени все частіше використовуються для захисту інших типів конфіденційної або ідентифікаційної інформації, включаючи адреси електронної пошти, номери телефонів, номери рахунків, водійські посвідчення, номери соціального страхування тощо.
Різниця між шифруванням та токенізацією
Шифрування та токенізація різняться багатьма способами, але основна відмінність між ними полягає в методі захисту, який використовує кожен. У той час як токенізація використовує маркер для захисту даних, шифрування використовує ключ.
Для детальнішого порівняння розглянемо наступні пункти:
• Шифрування легко масштабувати для великих обсягів даних, оскільки воно використовує ключі для шифрування або дешифрування даних. Тоді як за допомогою токенізації досить важко безпечно масштабувати, зберігаючи показники продуктивності, оскільки база даних збільшується в розмірі.
• Ми можемо використовувати шифрування як для структурованих полів, так і для неструктурованих даних (наприклад, цілі файли). Навпаки, токенізацію можна використовувати лише для полів структурованих даних (наприклад, платіжних карток або номерів соціального страхування).
• Хоча шифрування полегшує обмін конфіденційними даними з третіми сторонами (які мають ключ шифрування), токенізація ускладнює обмін даними, оскільки вимагає прямого доступу до сховища маркерів, що відображає значення маркерів.
• Одним із недоліків шифрування даних є те, що воно порушує такі функції, як сортування та пошук. З цією метою були розроблені нові схеми шифрування, які зберігають формат і доступні для пошуку, щоб захистити інформацію без шкоди для функціональних можливостей кінцевого користувача. Хоча такі схеми мають компроміс із меншою міцністю шифрування. За допомогою токенізації ви можете підтримувати формат без шкоди для безпеки.
• За допомогою шифрування вихідні дані залишають організацію, але в зашифрованому вигляді. Тоді як при токенізації вихідні дані ніколи не залишають організацію, що задовольняє певні вимоги відповідності.
Оскільки все більше підприємств продовжують переносити свої дані в хмару, такі методи захисту даних, як шифрування та токенізація, будуть широко використовуватися для захисту даних, що зберігаються в хмарних сервісах. Ці заходи безпеки є надійними по-своєму, кожен з яких має свої переваги та недоліки. Проте обидва вони мають однакову цінність у забезпеченні безпеки цифрового світу як для підприємств, так і для кінцевих користувачів.
Література
1. Гудмен Марк. Злочини майбутнього. – Харків : Вид-во «Ранок» : Фабула, 2019. – 592 с.
2. Технології захисту інформації [Електронний ресурс] / Ю. А. Тарнавський; КПІ ім. Ігоря Сікорського. – Київ : КПІ ім. Ігоря Сікорського, 2018. – 162 с. https://ela.kpi.ua/bitstream/123456789/23896/1/TZI_book.pdf
3. Токенізація. Що це таке? [Електронний ресурс]. – 2017. – Режим доступу до ресурсу: https://blog.easypay.ua/uk/tokenizatsiya-shho-tse-take/.
4. Tokenization vs Encryption – Benefits & Uses Cases [Електронний ресурс]. – 2018. – Режим доступу до ресурсу: https://www.skyhighsecurity.com/en-us/cybersecurity-defined/tokenization-vs-encryption.html
_______________________
Науковий керівник: Дудикевич В.Б., доктор технічних наук, професор, завідувач кафедри захисту інформації Національного університету «Львівська політехніка», м. Львів