Aktualny

Szyfrowanie szyfrowaniem, ale kto ma klucze?

Autor: Przemysław Kucharzewski

Dodano: 26 kwietnia 2021
Szyfrowanie szyfrowaniem, ale kto ma klucze?

Narzędzia do szyfrowanej komunikacji, szyfrowania zasobów stają się coraz bardziej popularne. Wynika to z faktu rosnącej świadomości dotyczącej cyberzagrożeń, wzrostu ich ilości, wielu przykładów wycieków czy kradzieży danych, włączając najnowsze generacje ransomware. Coraz więcej osób zdaje sobie sprawę, że aby poczuć się bezpiecznym warto szyfrować swoje cenne dane, przesyłać je w sposób bezpieczny, przechowywać je w sposób uniemożliwiający odczyt przez osoby niepowołane, hackerów, konkurencję, wywiad gospodarczy, służby specjalne innych państw.

Przechowując dane w chmurze używając wielu popularnych serwisów takich jak GoogleDrive czy Dropbox musimy zdawać sobie sprawę, że są one zabezpieczone wyłącznie za pomocą loginu i hasła (i czasem uwierzytelniane dwuskładnikowego, jeśli takową usługę włączymy). Dane nie są szyfrowane. Dostęp do nich ma operator usługi, a także każdy, kto pozyska nasze dane logowania albo złamie zabezpieczenia.

Szyfrowanie lekiem na całe zło?

Jednym z zaleceń ekspertów ds. bezpieczeństwa, które znajduje nawet umocowanie prawne (np. w RODO, art. 32), jest szyfrowanie danych.. Wielu z nas jednak nie zdaje sobie sprawę, że szyfrowanie szyfrowaniu nie równie (i nie jest to nawet kwestia użytych algorytmów ani długości kluczy). Najważniejsze jest pytanie, jakich kluczy używa się do szyfrowania (publicznych czy prywatnych), gdzie i jak zabezpieczone są klucze, a także bardzo istotna kwestia – czy klucz prywatny jest rzeczywiście kluczem prywatnym, a nie jego atrapą, która ląduje na serwerze dostawcy usługi.

Musimy mieć świadomość, że fizyczne zabezpieczenie w postaci najlepszych drzwi pancernych z wielozapadkowym zamkiem nie będzie skuteczne, jeśli klucze trzymane są pod wycieraczką.

Analogia

Bardzo często w czasie swoich wystąpień stosuje analogię usług do przechowywania danych z coraz bardziej popularnymi (w szczególności w większych miastach) usługami „self storage”, czyli pomieszczeniami do magazynowania samoobsługowego, które można wynajmować na jakiś czas, aby przechowywać w nich różne niepotrzebne w danym momencie rzeczy czy też w trakcie przeprowadzki, remontu.

Recepcjonista weryfikuje

Wyobraźmy sobie taki magazyn, w którym jest recepcja, gdzie pracownik zajmuje się uwierzytelnianiem klientów i wydawaniem kluczy do indywidualnych magazynów wynajętych do danej osoby. Do budynku magazynu przychodzi klient, który na prośbę recepcjonisty musi potwierdzić swoją tożsamość: czy to pokazując dowód tożsamości, czy też odczytując kod przesłany przez recepcjonistę na numer telefonu podany przy podpisaniu umowy, czy też potwierdzając tożsamość klienta na podstawie weryfikacji podanych 4 cyfr chociażby z PESELu i nazwiska panieńskiego matki. Jak się zastanowicie możecie stwierdzić, że każda z tych metod jest nie do końca bezpieczna: można podrobić dowód, można ukraść telefon albo wyrobić duplikat karty SIM, zaś z pozyskaniem PESELu i nazwiska panieńskiego matki nawet średnio rozgarnięta osoba, stosując metody białego wywiadu (OSINT) takie dane znajdzie… gdzieś. Tutaj mamy jeden słaby punkt.

Drugi problem - klucze

Po poprawnej weryfikacji tożsamości danego klienta recepcjonista wydaje klucze, którymi otworzyć można indywidualny magazynek. Musimy mieć tego świadomość, że klucze, które są w posiadaniu recepcji (albo ich duplikat, gdyby klient miał swój IDENTYCZNY) narażone są na szereg zagrożeń: klucze może ktoś ukraść, podmienić (też problem), recepcjonista może zostać zaszantażowany, czuć się zagrożonym może zostać przekupiony. Może się zdarzyć, że przyjdą przedstawiciele różnych organizacji i również nielegalnie będą próbować pozyskać owe klucze („A po co ma pan, panie recepcjonisto, mieć problemy?”). Ba… może zdarzyć się sytuacja, że właściciel budynku z pomieszczeniami może żyć i zarabiać na podstawie tego, co umiejscowione jest w owych skrytkach (np. na podstawie informacji, że ktoś przechowuje w nich obrazy olejne może proponować specjalne usługi przechowywania tychże albo ukierunkowania własnej działalności biznesowej w tym kierunku).

Klucz prywatny daje „pewność”

W powyższym przykładzie najlepszym rozwiązaniem dla klienta byłoby posiadanie swojego własnego jedynego klucza (ewentualnie którego „zapas” trzyma jeszcze w jakimś super bezpiecznym miejscu), którym klient mógłby otwierać i zamykać swój indywidualny magazynek. Dostęp do miejsca owego indywidualnego magazynu recepcjonisty czy właściciela budynku z magazynami jest możliwy usunięciu niezniszczalnego magazynku z modułu, w którym ten magazyn się znajdował.

Serwisy webowe

Zawsze powinniśmy być czujni przy użyciu serwisów webowych, w których przechowujemy albo za pośrednictwem których przesyłamy dane. Użycie serwisu webowego, w którym się logujemy oznacza to, że dostęp do danych może mieć również usługodawca, nawet jeśli dane są szyfrowane (usługodawca ma klucze /publiczne/ i zna także nasze dane uwierzytelniające w tym hasło lub hash hasła i/lub podobnie hasło i hash hasła którym szyfrowany jest klucz)

Dane walutą albo złotem

Nie bez przypadku uznaje się, że dane stają się walutą czy też złotem XXI wieku. Dlatego je chrońmy. Podobnie w gospodarce ma miejsce transformacja cyfrowa, tak przestępczość ulega podobnym zmianom. Zabezpieczajmy swoje dane – szyfrując je. Pamiętajmy jednak, że szyfrowanie szyfrowaniu nie równe i to nie tylko chodzi o stosowane algorytmy – tylko uzyskując odpowiedź: kto ma klucze? Jeśli ktoś mówi o szyfrowaniu „end-to-end” – to gdzie jest to „end” i ile tych „end” jest?

Autor: Przemysław Kucharzewski

VP Sales w Cypherdog - producent rozwiązań cyberbezpieczeństwa. Członek ISSA Polska, IT Corner i Rady Biznesu WSH, redaktor w BrandsIT oraz podcaster w Akademia IT. Od 25 lat w branży IT, związany z dystrybucją przez blisko 20 lat (JTT Computer,VP Sales w Cypherdog - producent rozwiązań cyberbezpieczeństwa. Członek ISSA Polska, IT Corner i Rady Biznesu WSH, redaktor w BrandsIT oraz podcaster w A Incom, AB, Eptimo), Interim Manager u integratorów i producentów rozwiązań IT (Xopero, Newind), skupiony na budowie świadomości z zakresu cyberzagrożeń i rozwijania kanałów sprzedaży rozwiązań z obszaru cyberbezpieczeństwa.

WIDEOSZKOLENIA »

Bezpieczne przechowywanie danych w chmurze

Bezpieczne przechowywanie danych w chmurze

Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.

14.06.2024 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x