Rambler's Top100
Реклама
 
Статьи
Джейсон ХАРТ  20 октября 2015

Ключи шифрования – так чьи же они?

В последние годы тема шифрования получает все больший резонанс. Все началось с заявления исполнительного директора Google Эрика Шмидта о том, что ответом на правительственную слежку станет шифрование всего и вся.

Джейсон ХАРТ, вице-президент и технический директор по защите данных, Gemalto

Apple в стремлении занять комплиментарную позицию по отношению к правоохранительной системе присоединилась к инициативе шифрования. Популярный сервис облачного хранения Box сделал шифрование основным элементом своей стратегии привлечения корпоративных заказчиков. Также они представили интересную возможность, известную как пользовательские ключи, которая позволила заказчикам получить полный контроль над используемыми ключами, играющими важнейшую роль при шифровании данных.

Другие популярные сервисы, в числе которых Salesforce.com и AWS, самостоятельно осуществляют управление ключами для своих заказчиков. У каждого поставщика есть свои преимущества и недостатки. Однако все это ставит на повестку дня важный вопрос, на который предстоит ответить компаниям: «Чьи же это ключи, в конце концов?».

До сегодняшнего дня управление ключами – обработка, контроль и хранение для тех клиентов, которые могут сами расшифровывать и получать доступ к защищенной информации, – оставалось без особого внимания, несмотря на то, что является важнейшим элементом процесса шифрования. Многие организации поручают его своим поставщикам услуг или хранят ключи разрозненно по всей своей ИТ-инфраструктуре, как в аппаратном, так и в программном виде. Однако отсутствие централизованного контроля может поставить под удар целостность процесса шифрования. На самом деле управление ключами даже важнее, чем шифрование данных как таковое. Если что-то случается с ключами, весь набор данных может быть украден или утрачен, и вы ничего не сможете с этим поделать.

Тот факт, что крупнейшие игроки на рынке облачных услуг начали активно работать с этой технологией, является признаком того, что заказчики начали воспринимать управление ключами более серьезно. И не зря. Подтвердить соответствие нормативно-регулирующим требованиям можно, только если вы способны продемонстрировать, что полностью контролируете данные. Но так ли это на самом деле, если вы не владеете ключами шифрования и не имеете над ними полного контроля?

Компания Salesforce добавила важные элементы защиты в свою Platform Encryption, чтобы предотвратить какие-либо ошибки при работе с клиентскими с ключами со своей стороны. Но в результате ключи не выходят за пределы сети Salesforce. Этого может быть недостаточно для тех организаций, которые обязаны соблюдать строгие регуляторные требования и стандарты безопасности по защите данных. Однако такой подход вполне адекватен и даже привлекателен для множества организаций, которым вполне достаточно просто хорошего уровня защиты.

Альтернативный метод, который, к примеру, применяется компанией Box, исключает дополнительного посредника из процесса и передает ключи непосредственно заказчику. И хотя такой подход выглядит сложным и требующим личного участия, он действительно эффективен, если вам нужно исключить даже малейшую возможность раскрытия ваших ключей поставщиком услуг.

Если провести аналогию с реальной жизнь, то это все равно, что отдать своему соседу все ключи от дома или машины. Каждый раз, когда вам нужно попасть домой или куда-то поехать, нужно будет обращаться к соседу. А что, если он их потеряет? При управлении ключами на стороне пользователя весь контроль переходит в руки владельца данных, в связи с чем внешние уязвимости полностью исключаются из уравнения. Именно в этом кроется причина того, что такие компании, как Box, начинают предоставлять управление ключами заказчикам.

Если данный подход станет трендом, то вместе с предлагаемыми решениями будет необходимо давать соответствующие предупреждения, ведь администрирование ключей – это сложная задача, которая может создать множество проблем при неправильной реализации. Необходимо обеспечить создание, обращение и удаление ключей на постоянной основе. Каждый из этих непростых шагов занимает к тому же много времени. Ошибки же могут привести к появлению новых уязвимостей, самая ощутимая из которых – это утеря ключей, что ведет к полной потере данных. По этим причинам управление ключами – серьезная задача, которую многие организации не хотят брать на себя.

Тем не менее с учетом всего сказанного отрадно, что все больше и больше известных игроков на этом рынке, похоже, всерьез задумываются над нюансами шифрования, и особенно над проблемой управления ключами. Вопрос о том, в чьих руках должны находиться ключи от данных, действительно важен, и теперь на него обратили должное внимание. Рост угроз повышает грамотность заказчика в вопросах безопасности, и фраза «Где мои ключи?» теперь выдает не дилетанта, а профессионала.

Каждый громкий взлом усиливает значение шифрования, вот почему все больше участников рынка открыто обсуждают и предлагают свои варианты ответа на вопрос о контроле над ключами. Однако каковы бы ни были эти варианты, четко оговоренное владение и ответственное управление ключами имеют первостепенное значение. Открытая борьба самых известных ИТ-компаний за поиск лучшего решения в этой области интересна сама по себе и, кроме того, принесет результаты, которые будут полезны для всех. 

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!