Šifrování a ochrana dat
Šifrování je ve spojení s promyšlenou autentizací nejúčinnějším prostředkem ochrany citlivých dat. Nedá se jednoduše říci: "Zašifrujeme data" a všechno bude v bezpečí. Nejprve se musíme zeptat, o jaký typ dat jde a jak se s nimi manipuluje. Dále potřebujeme definovat, jak se s těmito daty bude nakládat a kdo je bude používat/editovat. Existuje několik způsobů, jak data šifrovat:- na úložišti "at rest" (šifrování disků, výměnných médií, souborů a složek na file serverech a stanicích)
- komunikace "in motion" (linkové šifrátory point to point, network management)
- v aplikaci (zašifrovaná data v rámci databáze nebo CRM aplikace)
Šifrování dat At-rest se používá pro zabránění přístupu k datům neautorizovaným osobám nebo proti zneužití offline dat po krádeži hardwaru. Komunikační linky se šifrují např. mezi pobočkami větších společností, které operují s citlivými daty. Pokud někdo odcizí databázi nebo datové soubory z firemních aplikaci, budou mu k ničemu, pokud budou uvnitř zašifrovány.
Pokud se ovšem k příslušným souborům autentizuje útočník, který zjistil (odhadl, prolomil, ukradl) přístupové údaje některého s privilegovaných uživatelů, není prakticky síla, která by mu zabránila data dešifrovat, vykopírovat a zneužít.
Využíváme-li šifrovací nástroje v citlivých aplikacích, je bezpečnostní podmínkou (často vynucenou standardy) ukládání šifrovacích klíčů na HSM zařízení (Hardware Security Module). Požadavek na použití HSM nastane také při implementaci PKI a uložení privátního klíče kořenové certifikační autority.