Klíče k vaší bezpečnosti

Telekomunikační operátoři musejí, pokud nechtějí přijít o značné příjmy plynoucí z digitální zábavy, ve velmi...


Telekomunikační operátoři musejí, pokud nechtějí přijít o značné příjmy
plynoucí z digitální zábavy, ve velmi krátké době přejít na novou architekturu
svých sítí, kterou představuje například IN nebo IMS. Strana 28
Není nač čekat
Ti vedoucí IT, kteří se opozdili s aplikací virtualizace svých serverů x86
kvůli obavě, že se technologie ještě neosvědčila, by si měli uvědomit, že tento
projekt má být zcela v popředí jejich seznamů priorit pro nejbližší dobu.
Strana 29
Integrace IS
Společnost Vltava-Labe-Press (VLP) se rozhodla změnit svoje klíčové podnikové
procesy jejím partnerem pro oblast ekonomiky se stal systém ERP BYZNYS Win
společnosti J.K.R. Strana 26
Když Arthur Scherbius v roce 1918 vynalezl Enigmu, byl tento přístroj schopen
šifrovat zprávy pomocí několika substitucí jedné po druhé, realizovaných
prostřednictvím elektrických spojení. Byl to zrod moderní kryptografie, jímž
započala cesta od šifrování zpráv armádního charakteru až k novému prostředí
informačních technologií.
Kryptografie se stala kritickou součástí dnešního výpočetního a komunikačního
prostředí," říká Syam S. Pillai, šéf globálního IT ve společnosti Habib Bank
Zurich (HBZ). "Ať jde o jakéhokoliv poskytovatele služeb, všichni musejí
kryptografii používat, neboť informace jejich klientů jsou ukládány a přenášeny
přes privátní a veřejná média. Pokud by byly viditelné pro třetí strany, mohlo
by být soukromí klientů kompromitováno a dokonce by mohly vzniknout i finanční
ztráty," dodává.
Předpokladem u všech šifrovacích systémů je to, že vždy existuje možnost
zachycení zprávy. Cílem je proto učinit obsah zprávy pro toho, kdo ji zachytí,
nemožným (nebo v každém případě alespoň velmi obtížným a časově náročným)
rozšifrovat. Každý realistický šifrovací systém také předpokládá, že ten, kdo
šifrovaný obsah zachycuje, možná nakonec nalezne obecný kryptovací vzorec, jenž
je ke kódování použit. Proto bezpečnost zprávy zcela závisí na tom, aby nebylo
možné zjistit klíč zprávy i specifické detaily o tom, jak byl přesně systém
nakonfigurován.
Absolutně kritická je bezpečná cesta pro přenos/předání klíče zprávy směrem k
určenému příjemci. Mělo by existovat několik různých takových klíčů, třeba
různé způsoby, jak mohl být systém konfigurován, když byla zpráva šifrována.
Jinak by je ten, kdo ji zachytí, mohl jednoduše všechny vyzkoušet. Splétání kódu
Zaměříme-li pohled na to, jak korporátní sektor realizuje svoji každodenní
práci, jak vyměňuje životně důležité informace či jak zasílá vysoce důvěrné
e-maily, stává se potřeba nasazení kryptovacích technologií nezbytností.
"Šifrovací systémy jsou v každodenním světě využívány pro mnoho účelů, jako
například pro internetovou e-commerce, pro mobilní telefonní sítě či pro
bankomaty," poukazuje Peter Barlow ze společnosti Secure Computing. "Některé z
důležitých aplikací zabezpečují data při přenosu, při ukládání dat, autentizaci
nebo při kontrole integrity dat," dodává.
Dnes je tato technologie využívána rovněž pro síťové šifrování, autentizaci či
pro kontrolu přístupu (správu identit). Rovněž masová adopce chytrých karet
pomohla kryptografii vymanit se z tradičních prostředí mainframů a serverů a
učinit ji přístupnou tak, aby každý mohl mít svůj osobní bezpečnostní modul,
PSM (Personal Security Module). Všichni nyní mohou využívat PSM v podobě
chytrých karet jako prostředí pro důvěryhodný computing či jako strážce své
elektronické identity ve virtuálním světě. Jednou z největších oblastí využití
šifrování je bankovní sektor, který používá šifrovací systémy prakticky všude.
Kontroly přístupů, on-line bankovnictví, chytré karty, zabezpečení klientských
a bankovních informací jsou jen některými z oblastí, kde byly tyto technologie
nasazeny.
Obzvláště on-line bankovnictví se ukázalo být populární službou a problémy
vztahující se k bezpečnosti se objevily také zde. "Poskytovat bezpečné
bankovnictví přes internet nebo prostřednictvím bezdrátových zařízení je
závažný problém, jemuž banky v současnosti čelí. Důvěrnost dat musí být
udržována za jakoukoliv cenu a v tomto spojení hraje šifrování velmi důležitou
roli," říká Hossam Elkobrosy z National Bank of Abu Dhabi (NBAD). "Tok
informací, který směřuje dovnitř i ven, musí být zabezpečen za každou cenu,
přičemž ochrany je dosaženo kombinací hardwarových a softwarových šifrovacích
nástrojů," dodává Elkobrosy.
Další velkou doménu pro použití kryptografie představují firemní e-mailové
servery, které zpracovávají vysoce důvěrná data ve všech koutech světa. Ačkoliv
mnohé organizace uznávají výhody šifrované e-mailové komunikace, náklady,
složitost implementace i pokračující nutnost správy se často ukazují být
deprimujícím faktorem. Výsledkem je, že riziko posílání nešifrovaných (tedy
zranitelných) e-mailů obsahujících citlivé informace je často akceptováno jako
provozní riziko.
"V dnešní době posílá stále více a více lidí i to, co by mohlo být považováno
za důvěrné informace, e-mailem, neboť je to velmi pohodlné," říká David
Kennedy, viceprezident organizace Glob@lCerts.
"Šifrování e-mailu je něčím, co se během tří let stane pro všechny firmy
komoditním produktem. Je zde ale mnoho zákazníků finančních a bankovních
institucí, kteří chtějí detaily týkající se jejich účtů či on-line obchodování
vidět okamžitě a nechtějí, aby své informace získali, spoléhat na hlemýždí
e-mail," dodává.
Částečky puzzle
Není pochyb o tom, že kryptografie může být ve své celistvosti velmi komplexní
záležitostí, avšak je-li obnažena k základům, nedělá šifrovací systém nic
jiného, než že maskuje zprávu tak, že skrze tuto masku mohou vidět pouze určití
lidé. Umění prolomit takový šifrovací systém je označováno jako kryptoanalýza
(dešifrování, luštění šifrovaného textu). Šifrování proto znamená jakoukoliv
proceduru pro konverzi prostého textu na šifrovaný text, zatímco dešifrování
znamená proceduru převodu šifrovaného textu na nešifrovaný, prostý text. Celý
tento koncept stojí na dvou velmi důležitých pilířích, na algoritmech a
klíčích. Společným šifrovacím standardem, který je snadné aplikovat pro mnoho
stran i komponent, je PKI (Public Key Infrastructure). "Integrace těchto dvou
elementů dává vzniknout unikátnímu digitálnímu podpisu, zatímco klíče poskytují
různé úrovně síly šifrování," vysvětluje Alexandre Stervinou, technický
konzultant pro kryptografické nástroje ve společnosti RSA. "Matematické operace
spojené se zašifrováním zprávy znemožňují, aby byla data přečtena jakoukoliv
neautorizovanou osobou, neboť pouze skutečný adresát vlastní klíč pro odemčení
kódu a získání zabezpečeného textu ze zprávy," doplňuje.
Dvěma hlavními typy kryptografických technologií jsou symetrický klíč (soukromý/
neveřejný klíč) a asymetrický klíč (veřejný klíč). U typu využívajícího
soukromý klíč sdílejí jak odesílatel, tak příjemce společné tajemství, zatímco
u asymetrického typu odesílatel a příjemce sdílejí veřejný a soukromý klíč
samostatně.
Dnes se nicméně používá množství algoritmů a vynořuje se spousta termínů.
Například existuje něco, co je označováno jako "produktová šifra". Je to
vlastně bloková šifra, která opakovaně provádí několik slabých operací, jako je
třeba substituce, přesunutí, modulární doplnění/multiplikace a lineární
transformace. Bloková šifra představuje takovou šifru, která kóduje určitý blok
dat řekněme 8 bajtů najednou a poté pokračuje dalším blokem.)
V souhrnu lze říci, že nezbytným faktorem u jakéhokoliv produktu využívajícího
kryptografii by měla být jednoduchost použití. Měl by využívat otevřené
standardy a nikoliv proprietární technologii, aby jej bylo možné integrovat s
ostatními aplikacemi, nemělo by jít o desktopový produkt a konečně by většina
uživatelů měla mít smysl pro bezpečnost a věřit tomu, že jejich důvěrná data
jsou chráněna, ať už během přenosu nebo ve stavu, kdy jen spočívají na disku.
"Bezpečnost šifrovacího algoritmu závisí na složitosti algoritmu a na délce
klíče," říká Nabeel Murshed z firmy Secude. Superpočítači zabere například v
případě 256bitového klíče stovky let, než jej nalezne," poznamenává. Úroveň
šifrování závisí na tom, nakolik jsou data kritická, nebo na metodě přenosu,
přičemž čím vyšší je úroveň šifrování, tím více zdrojů se pro mechanizmus
šifrování/dešifrování vyžaduje.
Hlídky na stráži Šifrovací technologie ušly velký kus cesty od doby, kdy byly
před skoro devadesáti lety poprvé nasazeny pro vojenské využití. V průběhu doby
a při vysoké rychlosti inovací dosáhla kryptografie stavu extrémní robustnosti
je totiž nasazována ve všech sférách korporátních činností. K nejznámějším
technikám patří DES (Data Encryption Standard) a AES (Advanced Encryption
Standard), zatímco k nejbežnějším asymetrickým postupům se řadí RSA (Rivest,
Shamir, Adleman), DSA (Digital Signature Algorithm) či ECC (Elliptic Curve
Cryptography).
Téma šifrovacích technologií se přitom točí nejen kolem šifrovacích algoritmů,
ale také kolem dalších přidružených elementů. Jednou z nejpopulárnějších
technologií pro šifrování, kterou v dnešní době používá snad každý, je SSL
(nejnovější verze je často označována jako TLS, Transport Layer Security).
"Pokud uživatel navštíví zabezpečené webové stránky, jeho prohlížeč pro
rozšifrování provozu používá, aby bylo možné přistupovat k obsahu, protokol
SSL," vysvětluje Stervinou. "Většina SSL systémů využívá kódy RSA, které
umožňují komunikujícím bodům sjednotit podporovaný algoritmus (peer
negotiation), dále zajistí výměnu klíčů pro šifrování pomocí veřejného klíče,
autentizaci pomocí certifikátů a konečně i šifrování provozu založené na
symetrické šifře," dodává.
Klíčové prvky
Mechanismy autentizace a kontroly přístupů představují dva kritické
bezpečnostní prvky, jež by ráda posílila snad každá banka. Jako první linie
obrany proti podvodníkům a neautorizovaným vstupům tvoří tyto dva systémy
základ bezpečnostní infrastruktury každé finanční instituce. Sofistikované
systémy pro kontrolu přístupu jsou nasazeny ve všech bankách na světě, jsou
však dostačující?
Nedávné incidenty týkající se průlomů na fyzické i logické úrovni prokázaly, že
i takzvané nejmodernější kontrolní systémy mohou být oklamány a zmateny. Je zde
proto potřeba druhá vrstva opatření pro prevenci narušení, která může zamezit
proniknutí. Odpověď leží v konceptu, jenž je nyní přijímán předními bankami a
finančními institucemi po celém světě.
"Vzestup útoků prostřednictvím phishingu a krádeží on-line identit v důsledku
zranitelnosti pevných hesel vede banky všude na světě k tomu, že svou pozornost
obracejí ke dvoufaktorové autentizaci, aby tak vyřešily bezpečnost
bankovnictví." V bankovnictví s využitím tokenu pro dvoufaktorovou autentizaci
mají zákazníci solidní ochranu proti krádeži hesla, neboť dvoufaktorové tokeny
vydávají "pouze jednorázový" vstupní kód, který nemůže být zlodějem použit
opakovaně," popisuje Barlow.
Při každé transakci si je banka vědomá identity zákazníka, s nímž transakci
provádí. Techniky jednofaktorové autentizace, jako jsou třeba hesla, nejsou
dostatečně silné proti moderním kyberútokům typu phishing a pharming. Banky už
dvoufaktorové techniky dlouhou dobu používaly ve fyzickém světě při výběrech
hotovosti v bankomatech a pokladních transakcích, kde je od uživatele
vyžadováno, aby předložil kartu a vložil PIN nebo se podepsal na transakční
proužek.
Stejná technologie je nyní nasazována v prostředí elektronického bankovnictví a
e-commerce, takže umožňuje využít stejné metody, ovšem tentokrát v on-line
prostředí. Použití této techniky v elektronickém bankovnictví posiluje
konglomerát bezpečnostní sítě a do značné míry rovněž zvyšuje důvěru zákazníka.
"Dvoufaktorová autentizace se postupně stává součástí každodenního života i v
bankovní sféře," potvrzuje Naveed Moeed, konzultant firmy RSA. "Šifrované
čipové karty se svými unikátními digitálními otisky tvoří páteř této
technologie a odvracejí hrozby, jež přístupové systémy nebyly schopny
rozpoznat," dodává.
Rovněž Visa vyvinula úsilí, aby své operace a služby udržela chráněné proti
útokům ze všech představitených úhlů. "Nově vyvinuté prostředky, jako jsou
multifunkční čipové karty či on-line bezpečnostní program ,Verified by Visa,
představují některé z kroků, které jsou podnikány pro zlepšení bezpečnosti
elektronických platebních transakcí s tím, jak více a více vlád začíná získávat
zkušenosti se systémovou efektivitou automatizace plateb oproti tradiční
hotovosti," říká Neil Smith ze společnosti Visa.
Je evidentní, že banky vždy nesly hlavní břemeno externích útoků, jež se snaží
kompromitovat citlivá data a transakce. Řada předních bank se nachází uprostřed
procesu začlenění této formy autentizace, která je považována za nástroj
bezpečné autentizace klientů, v některých případech dokonce snižuje nutnost
použití biometrických zařízení. "Bezpečnostní riziko je rozděleno a udržováno
na více než jednom místě, takže pokud dojde k ohrožení na jednom místě,
nezpůsobí to žádné další problémy a kompromitovaná část může být nahrazena,"
vysvětluje Pillai. "Nabízíme zákazníkům nástroje ,Secure Key (bezpečný
klíč), ,Challenge Mechanisms (mechanismy výzvy) nebo ,CRAM technologies
(technologie CRAM, Challenge-Response Authentication Mechanism) a také chceme
posílit možnosti spravovat účty (jak firemní, tak osobní) pomocí autorizace na
více úrovních," doplňuje.
Tento názor podpořil i Raigangar z banky NBA, když zdůraznil, že s rostoucím
počtem incidentů ohrožení uživatelských informací stoupá i důležitost
mechanizmů dvoufaktorové autentizace. "Takové nástroje by mohly pomoci učinit
přítrž rostoucímu počtu krádeží identity, a to pomocí takových zařízení, jako
jsou malé digitální tokeny. Uživatelé mohou používat unikátní náhodně
generovaná čísla spolu s uživatelským ID/heslem pro přístup k informacím a
službám, jako je třeba zmiňované internetové bankovnictví," říká. "S rostoucím
využitím internetových aplikací už banky podnikly několik kroků k zabezpečení
elektronických transakcí pomocí průmyslových standardů, jako jsou třeba
protokoly SSL, TLS, IPSec, S-HTTP, SSH-2 a další. Budeme se ale samozřejmě také
držet průmyslových standardů (FIMACS) a řešení založených na nejlepších
praktikách," dodává.
"Nedávné útoky prokázaly, že na bezpečnostní frontě je toho třeba udělat více,
a to obzvláště v prostředí webu," říká Elkobrosy. "Na našem webu budeme pro
on-line bankovnictví nasazovat dvoufaktorovou autentizaci a abychom provedli
generální renovaci našich současných bankovních operací, své šifrovací nástroje
posílíme například o adopci AES protokolů," uzavírá Elkobrosy.(pal) 6 1359

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.