数据加密

数据加密是如何工作的? 

数据加密的工作原理主要是利用一个相同的, 或对称, 加密和解密消息的密钥, 这样发送方和接收方应该知道并使用相同的私钥. 用更专业的术语来说，“明文”被转换成“密文”.”

根据美国国家标准与技术研究院(NIST), 的明文, 在被转换成密文之后, 看起来是随机的，不透露任何关于原始数据内容的信息. 一次加密, 没有人(或机器)可以通过读取其加密形式来辨别原始数据的内容.

解密是反转加密的过程，以便它是可读的. 在加密和解密过程中都必须存在对称密钥. 然而，加密不仅仅适用于进出不同环境和云的数据.

• 传输中的数据:这可以包括在两个端点之间移动的数据, 进入和离开云环境, 在内部网络的多个目的地之间, 还有更多. 
• 静态数据这种数据类型的例子包括存储设备，如硬盘驱动器, 闪存, 以及其他可能“静态”存储敏感数据的端点."

如果数据是加密的，并且威胁行为者不拥有密钥, 然后这些数据——即使从技术上讲是被盗的——被认为是无用的. 数据丢失预防(DLP) 技术和工具实际上可以搜索网络上未加密的数据，以便内部人员可以快速加密它. 这样，如果这些数据被泄露，对那些想要利用它的人来说将毫无用处.

数据加密的类型

如上所述，对称密钥只是确保加密数据解码的一种方法. 让我们更深入地看看这个方法以及另一个方法:

对称加密

这种类型的加密将在加密阶段和解密阶段使用相同的密钥. 以那种方式, 这种类型的加密有一个固有的漏洞:如果威胁行为者要识别或窃取密钥——特别是在原始用户不知道的情况下——那么该密钥可能被用来解密信息，并可能被利用来进行其他攻击.

非对称加密

这种类型的加密解决了上面提到的问题, 使用两种类型的密钥:一种“公共”密钥和一种“私有”密钥.数据的发送方必须确保使用公钥进行加密, 而接收方必须拥有私钥才能执行解密.

非对称加密显然是一个更复杂的场景, 然而，重要的是要记住为什么加密被放在首位:维护 数据安全 机密性是指信息在安全组织或企业的内部和外部流动. 在当今的环境中，加密在许多应用程序中被频繁使用.

数据加密标准

数据加密有几种格式或标准. 实现一个对特定组织及其工作流最有意义的标准是很重要的.

• 数据加密标准(DES)本标准规定了在电子硬件设备中实现并用于保护计算机数据的加密算法. 
• 三重数据加密算法(3DES):该标准是DES标准的改进版，使用三个互不相关的64位密钥. 通过使用三个不同的键，连续三次使用算法, 3DES只是增强了DES的密钥大小. 
• 高级加密标准(AES):本标准是安全分组信息加解码的非对称密钥平方数计算, 并致力于替代置换网络(SPN).
• Rivest-Shamir-Adleman (RSA)这个标准是以发明者姓名的首字母来命名的. 该算法包含四个步骤:加密, 解密, 密钥分发和密钥生成. 该标准被广泛认为是世界上最著名的密码系统. 
• Twofish加密:此标准使用较大的加密位大小, 并且使用了一个长达256位的对称密钥. 由于它使用对称格式，因此使用相同的密钥对其进行加密和解密. 但是，由于它的大比特大小，它被认为是极其安全的，难以破解.
• RC4加密该标准是一种“流”密码，这意味着它每次运行一个字节的数据. 它被认为是较弱的加密标准之一, 特别是在21世纪初发现了明显的漏洞之后.

在途的vs. 静态加密

我们在上面定义了静态数据和传输数据, 但是特定的加密协议如何对这些不同状态下的数据起作用呢?

传输中的数据加密

一旦建立了连接，数据就可以传输了, 让数据远离窥探，并在移动过程中尽可能保持安全，这一点至关重要. 根据谷歌云文档在连接建立并通过认证后，传输加密对数据进行保护: 

• 不再需要信任通常由第三方提供的网络底层
• 降低电位 攻击表面
• 当通信被拦截时，防止攻击者访问数据

静态数据加密

静态数据是指存储在某种介质上的数据, 比如笔记本电脑, 云存储, USB驱动器, 等等....... 任何发送到云服务的数据都应该加密，因为它只是“坐在”云环境中, 因为在理论上对公众互联网开放的短暂环境中，它本身就面临着更大的风险.

对静态数据进行加密是一种最佳实践，通过确保数据在不使用时不可读，可以保护数据免受潜在的系统危害或泄露. 这也可以指被认为不再有用的存档数据.

数据加密的挑战

自20世纪诞生以来，加密技术已经走过了漫长的道路, 现在大部分工作都可以自动化. 但是，随着生成式人工智能(GenAI)成为威胁行为者的流行工具，并且随着他们在能力方面的进步 蛮力 它们通过加密协议的方式——很明显，有新的和旧的挑战需要克服.

根据CISA的说法，密钥传输过程中的漏洞是一个重大挑战. 该机构规定，在进行加密密钥传输时，最好禁用Wi-Fi功能. 它接着说, “禁用Wi-Fi功能”的传输目的地被称为“硬化”.“加固确保了加密密钥不会在无意中‘泄露’到无线网络上，这样未经授权的人员就可以访问它们。.

任何希望加密敏感数据的人面临的另一个挑战可能是缺乏WEP/WAP接入点加密. 弱加密机制可以让攻击者强行进入网络并开始攻击 中间人攻击. 加密实现越强，越安全.

数据加密的另一个主要挑战是对云服务提供商(CSP)的固有信任。. 通常, CSP将保持对密钥的控制, 因此，组织永远不会保留对加密过程的100%控制.

信任CSP的员工——以及他们可能利用的任何合作伙伴——对加密过程施加控制，总是会对使用CSP服务和信任他们的数据加密过程的公司承担一些责任. 这就是为什么 责任分担模式 对保护组织的数据如此重要吗.

数据加密的好处

数据加密的好处似乎是显而易见的, 但是，让我们更深入地看看企业可能从采用强大的加密策略中受益的方式. 

• 确保数据不可读如上所述, 如果被盗数据已被严格加密, 它很有可能永远无法读懂，也无法被恶意利用.
• 保持兼容遵守地方和国家的监管标准至关重要, 加密和密钥管理(EKM)是云安全联盟等机构指导的重要组成部分.
• 创造积极主动的文化加密数据是一种主动工具，通常可以在前端自动执行，作为防止恶意行为者的一层保护. 坚持这样做有助于培养一种积极主动的安全文化，最终将使每个人受益.
• 允许雇用远程工作人员加密可以极大地减轻与大量进出云端的敏感或专有数据有关的安全问题——这正是远程工作者在工作中所利用的情况.

阅读更多 

数据保护:最新的Rapid7博客文章