Šifrování

Co je šifrování?

Šifrování je proces kódování informací (převod otevřeného textu na šifrovaný) tak, aby k nim neměly přístup neoprávněné osoby. V případě ztráty nebo odcizení dat v zašifrované podobě, je riziko jejich prozrazení velmi malé. Útočník totiž nebude mít dešifrovací klíč.

Šifrování používáme běžně, jen si to často neuvědomujeme. Bez silného šifrování dat se například neobejde bezpečné online nakupování či internetové bankovnictví. Ve firmě šifrování chrání duševní vlastnictví společnosti, know-how a zároveň také osobní údaje zákazníků, zaměstnanců i obchodních partnerů.

To vše může útočník či zloděj zpeněžit či zneužít.

Šifrování dat jako součást online zabezpečení 

Při přenosu dat přes internet, například při přístupu k webovým stránkám, může komunikace probíhat přes komunikační protokol HTTPS, který k šifrování komunikace využívá protokol TLS/SSL. To zajistí, že citlivé informace, jako jsou přihlašovací údaje nebo platební údaje, jsou šifrovány a chráněny během jejich přenosu.

Některé e-mailové služby také podporují šifrování přenosu dat (např. pomocí TLS/SSL) nebo koncového šifrování, které se hodí, pokud posíláte citlivé informace.

Pro ochranu dat uložených na zařízeních se používá šifrování celého disku. Toto opatření pomáhá chránit obsah dat na disku v případě ztráty nebo krádeže zařízení.

Šifrování se používá také při vytváření záloh dat. V případě, že někdo získá přístup k zálohám, nedokáže je přečíst bez správného klíče.

Citlivá data je možné ukládat na šifrovaná úložiště. Může to být externí šifrovaný disk nebo cloudové úložiště s pokročilými šifrovacími mechanismy.

Proč používat šifrování?

Pro běžného uživatele může šifrování přinášet několik výhod, zejména pokud jde o bezpečnost a ochranu citlivých informací. Zde jsou některé z hlavních výhod šifrování pro běžného uživatele: 

  • Šifrování chrání osobní údaje, jako jsou hesla, bankovní údaje a další citlivé informace, před neoprávněným přístupem. To pomáhá ochránit soukromí uživatele. 
  • Při provádění online transakcí, jako jsou nákupy, platby nebo bankovní operace, šifrování snižuje riziko krádeže údajů. 
  • Používání šifrované e-mailové komunikace chrání obsah e-mailů před cizími osobami. Když se uživatel připojuje k veřejné Wi-Fi síti, šifrování zabraňuje útočníkům ve sledování a zachytávání přenášených dat, což posiluje bezpečnost připojení. 
  • Šifrování disku na zařízeních, jako jsou počítače a mobilní telefony, chrání data i v případě, že je zařízení ztraceno nebo odcizeno. 
  • Při používání cloudového úložiště šifrování chrání nahraná data před neoprávněným přístupem poskytovateli služby nebo třetích stran. 
  • Šifrování může posloužit jako účinná obrana proti ransomwaru. Při používání šifrovaných komunikačních nástrojů (například šifrovaných chatů) se snižuje riziko zneužití obsahu komunikace.

Vybrané metody šifrování dat

Šifrování dat v klidu

  • Celodiskové šifrování – celý disk je automaticky šifrován, a tak uživatel nijak neovlivňuje, zda se soubor uloží zašifrovaně nebo ne. Je třeba ale počítat s vyššími nároky na hardware a časovými nároky na šifrování.
  • Šifrování na úrovni souborů nebo složek – uživatel vybírá a šifruje pouze ta data, která chce chránit. Jednotlivé složky nebo soubory jsou šifrované vždy jedním klíčem, kterým mohou být opět dešifrovány. Šifrování je rychlejší než v případě šifrování celého disku a nižší jsou i hardwarové nároky.

Šifrování dat v při přenosu

  • End-to-End Encryption (E2E) (koncové šifrování) – jedná se o metodu, kdy jsou informace šifrovány a dešifrovány pouze na koncových zařízeních. To zaručuje důvěrnost přenášených dat a eliminuje se riziko jejich zachycení nebo zpracování na serveru, který komunikaci zprostředkovává. Často kombinuje symetrické a asymetrické šifrování nebo využívá Diffieho-Hellmanovu výměnu klíčů.
  • Client-to-Server Encryption (C2S) – metoda, kdy je zpráva šifrovaná jen pro server, přes který komunikace probíhá, ale mezi klientem a serverem běží data v nešifrované podobě. Tato forma šifrování komunikace není nejbezpečnější, protože ji útočník může odposlechnout.

Proč šifrovat firemní data? 

Šifrování poskytuje vrstvu ochrany pro osobní údaje zaměstnanců, finanční údaje, obchodní tajemství a strategické plány. To pomáhá zabránit neoprávněnému přístupu a zneužití těchto dat. 

Mnoho průmyslových odvětví má předepsané právní normy a regulace, které vyžadují ochranu citlivých informací. Šifrování může pomoci firmě dodržet tyto normy a minimalizovat riziko pokut nebo právních problémů. 

Šifrování pomáhá chránit data před nelegitimním přístupem nebo únikem v případě ztráty zařízení nebo narušení bezpečnosti pocházejícímu zevnitř nebo vně společnosti. Šifrování proto slouží i jako obrana proti interním hrozbám, např. zaměstnancům s neoprávněným přístupem. Únik citlivých informací může vážně poškodit reputaci firmy. Šifrování dat přispívá k budování důvěryhodného obrazu firmy a signalizuje, že se firma aktivně stará o bezpečnost svých dat a klientů. 

Šifrování a předpisy

Šifrování dnes vyžaduje nebo doporučuje také mnoho předpisů a zákonů, včetně nařízení GDPR, PCI-DSS, HIPAA, SOX a GLBA. Pokud jsou osobní údaje řádně zašifrovány, je mnohem méně pravděpodobné, že případy narušení dat budou považovány za selhání při dodržování předpisů.

Jak zajistit šifrování dat? 

Zajištění šifrování dat vyžaduje kombinaci technických opatření, správy politik a vzdělávání zaměstnanců. Níže uvádíme kroky, které můžete podniknout k zabezpečení šifrování dat ve vaší firmě: 

  • Vytvořte jasnou a komplexní bezpečnostní politiku, která zahrnuje šifrování dat. Definujte, která data budou šifrována, jakými metodami a kdo bude mít přístup k dešifrovaným datům. 
  • Využívejte VPN (Virtual Private Network) pro bezpečné připojení k síti z vzdálených míst a šifrování e-mailů při přenosu citlivých informací. 
  • Používejte šifrování disku pro zařízení, jako jsou počítače, notebooky a mobilní telefony. Šifrování disku chrání data uložená na zařízení a poskytuje vrstvu bezpečnosti i v případě ztráty nebo odcizení. 
  • Jestliže využíváte cloudové služby, zkontrolujte, zda poskytovatelé podporují šifrování dat v klidu i při přenosu.  
  • Správa šifrovacích klíčů je zásadním prvkem procesu šifrování. Zajistěte bezpečné ukládání a správu šifrovacích klíčů. Pravidelně je obnovujte a monitorujte jejich použití. 
  • Zaveďte vícefázové ověřování (2FA) pro přístup k citlivým systémům a datům. To poskytuje další vrstvu ochrany i v případě, že heslo bylo kompromitováno. 
  • Pravidelně monitorujte šifrovaná data a provádějte audity. Reagujte na neobvyklé aktivity nebo incidenty. 
  • Zajistěte, aby zaměstnanci byli obeznámeni s bezpečnostními postupy týkajícími se šifrování. Školení by mělo zahrnovat povědomí o důležitosti šifrování a postupy pro bezpečné zacházení s šifrovanými daty. 
  • Udržujte šifrovací software a systémy aktuální. Pravidelně zálohujte šifrovaná data, abyste minimalizovali riziko ztráty dat v případě problémů s klíči nebo jiných incidentů.

Druhy šifrování

Druhy šifrování

  • Symetrické šifrování - k šifrování i dešifrování se používá jeden klíč, který komunikující strany musí znát.
  • Asymetrické šifrování - využívá dvojici klíčů: veřejný (nemusí ho znát příjemce zprávy) a soukromý (nezná ho odesílatel zprávy). Asymetrické šifrování tak umožňuje nejen důvěrnou komunikaci, ale i ověření a identifikaci odesílatele. Pravost veřejného klíče může být ověřena pomocí digitálního certifikátu.

Doporučené algoritmy symetrického šifrování

  1. Advanced Encryption Standard (AES) – délka klíčů: 128, 192 a 256 bitů
  2. Twofish – délka klíčů: 128 až 256 bitů
  3. Camellia – délka klíčů: 128, 192 a 256 bitů
  4. Serpent – délka klíčů: 128, 192 a 256 bitů
  5. SNOW 2.0, SNOW 3G – délka klíčů: 128, 256 bitů

(Zdroj: NÚKIB, 2022)

Diffieho-Hellmanova výměna klíčů (D-H) 

Metoda bezpečné výměny šifrovacích klíčů přes veřejný kanál. Jedná se o jeden z prvních protokolů a praktických příkladů výměny veřejných klíčů uskutečněných v oblasti kryptografie.

RSA (Rivest–Shamir–Adleman) 

První algoritmus vhodný jak pro šifrování, tak pro elektronické podepisování (tj. přiložení ověřeného digitálního podpisu k datové zprávě).