Cała prawda o szyfrowaniu i RODO

Gdy rozmawiam z przedsiębiorcami, jedno z najczęściej zadawanych mi pytań dotyczą bezpieczeństwa danych, nie tylko tych osobowych. Jednym z aspektów bezpieczeństwa jest niewątpliwie szyfrowanie. Przeszukałem swoje maile i przypomniałem sobie spotkania z przedsiębiorcami przy różnych okazjach, aby zebrać dla Was najczęściej przewijające się pytania dotyczące bezpieczeństwa związanego z szyfrowaniem danych. Okazało się, że jest ich całkiem sporo, zarówno tych technicznych jak i czysto praktycznych. Zebrałem je dla Was w jednym miejscu.

Czy RODO narzuca mi szyfrowanie danych?

I tak i nie. Samo rozporządzenie nie mówi wprost nic o wymogu szyfrowania danych, czy szerzej o jakichkolwiek technicznych aspektach przetwarzania danych osobowych. Jednak narzuca na administratora obowiązek „wdrożenia odpowiednich środków technicznych i organizacyjnych, by zapewnić spełnienie wymogów niniejszego rozporządzenia.” 

Aby zapewnić należyte mechanizmy ochrony, administrator musi postępować zgodnie z rekomendacjami i najlepszymi praktykami, o których mówią eksperci danej dziedziny. W informatyce szyfrowanie danych jest jednym z wymaganych mechanizmów zabezpieczenia jakichkolwiek danych. Zarówno gdy są zapisane na różnego rodzaju nośnikach, jak i w trakcie ich przesyłania poprzez publiczną sieć Internet. Dlatego musisz stosować ten mechanizm ochronny u siebie.

Na czym polega to szyfrowanie?

Wyobraź sobie, że szyfrowanie to efekt pracy magicznej maszynki. Wrzucasz w nią jakiś plik, wkładasz klucz i dostajesz plik zaszyfrowany. Nikt nie jest w stanie go odczytać, programy go nie rozpoznają. Jeżeli chcesz go odszyfrować, to ponownie wrzucasz go do maszynki, wkładasz klucz (czasem ten sam, czasem inny, ale powiązany z tym poprzednim, co użyłeś do szyfrowania) i otrzymujesz ponownie oryginalny odszyfrowany plik, którego zawartość jest zrozumiała dla Ciebie albo dla aplikacji. Tak w uproszczeniu działa szyfrowanie.

To co się dzieje w tej maszynce to już bardziej skomplikowana sprawa. Dawniej mógł tam siedzieć mały elf, który miał specjalną księgę szyfrów i tłumaczył otrzymany plik na jego podstawie. Obecnie w skrzynce siedzi matematyka. Nie jest ona tajna, algorytmy szyfrowania są jawne i dobrze opisane. Istotę stanowi klucz.

To, tak jak w Twoim zamku do mieszkania. Zapewne wiesz, jak on działa. Ufasz mu, bo wiesz, że jest bardzo dużo możliwych do stworzenia kombinacji kluczy do zamków tego typu co w Twoich drzwiach. Wszystkie klucze mają tę samą budowę, ale różnią się na przykład głębokością poszczególnych nacięć znajdujących się na nich. Możliwych ich kombinacji jest na tyle dużo, że jest mało prawdopodobne, by w jednym mieście wojewódzkim były dwa zamki, do których pasowałby ten sam klucz. A nawet jeżeli to jak znaleźć drugi zamek? 

Czy współczesne metody szyfrowania da się złamać?

Mówiąc krótko – TAK. Nigdy nie było takiego sposobu szyfrowania, którego nie dałoby się złamać. Czasem wymagało to fizycznej kradzieży książki szyfrów, czasem rozwiązania problemu logicznego lub matematycznego. Obecna kryptografia opiera się na matematyce. Powszechnie używane algorytmy są jawne, dobrze opisane (i w większości przypadków dobrze zaimplementowane komputerowo). Ich siła tkwi w modelu matematycznym, który leży u podstaw jego bezpieczeństwa. 

Próba złamania szyfru w istocie sprowadza się do próby znalezienia klucza szyfrującego. Każdy sposób szyfrowania danych da się złamać próbując wszystkie kolejne wariacje klucza. Metoda taka nazywa się brute-force. Są oczywiście bardziej wyrafinowane metody czy modele odnajdywania klucza szyfrującego. Siła samego algorytmu tkwi jednak w takim doborze wartości numerycznych niezbędnych do stworzenia klucza, że operuje się na bardzo wielkich liczbach. Zatem możliwości do sprawdzenia jest wiele i może to zająć dziesiątki czy setki lat.

Bezpieczeństwo współczesnej kryptografii opiera się na fakcie, że na złamanie klucza obecne superkomputery potrzebowałyby kilkadziesiąt lat. Za te kilkadziesiąt lat informacja, którą zaszyfrowaliśmy, prawie na pewno nie będzie nikomu już przydatna.

Różnica między szyfrowaniem symetrycznym i asymetrycznym

Czytając o kryptografii i zabezpieczaniu danych, na pewno spotkasz się z pojęciem szyfrowania symetrycznego oraz szyfrowania asymetrycznego. Różnica polega na tym, że w szyfrowaniu symetrycznym stosuje się pojedynczy klucz zarówno do szyfrowania, jak i do odszyfrowania danych. Klucz ten musi znajdować się pod szczególną ochroną i być znany jedynie nadawcy i odbiorcy danej wiadomości.

Zaletą algorytmów z kluczem symetrycznym jest przede wszystkim ich prędkość działania oraz fakt, że wymagają mniejszej mocy obliczeniowej niż algorytmy z kluczem asymetrycznym. Problemem staje się jednak dystrybucja i ochrona samego klucza. Niewątpliwym problemem jest też to, że musi on zostać dostarczony do każdego, kto ma uzyskać dostęp do zaszyfrowanych danych, co niesie za sobą niebezpieczeństwa także natury związanej z kontrolą dostępu. Przykładem współczesnego algorytmu szyfrowania symetrycznego jest algorytm AES. Stosuje się go między innymi do szyfrowania nośników danych takich jak dyski twarde.

Szyfrowanie asymetryczne zwane jest także kryptografią klucza publicznego. Wynika to z faktu, że wykorzystywane w niej są dwa ściśle powiązane ze sobą klucze. Klucz stosowany do szyfrowania danych nazywany jest kluczem publicznym, gdyż udostępniany jest on wszystkim osobom, które mają dane zaszyfrować. Klucz deszyfrujący znany jest jedynie odbiorcy wiadomości, dlatego nazywa się go kluczem prywatnym. We wszystkich algorytmach szyfrujących uzyskanie klucza prywatnego na podstawie znanego klucza publicznego musi być obliczeniowo bardzo trudne, a gwarantują to wykorzystywane w tym celu modele matematyczne. Przykładem szyfrowania asymetrycznego jest algorytm RSA.

Algorytmy asymetryczne wymagają większej mocy obliczeniowej niż symetryczne, gdyż do zapewnienia odpowiedniego bezpieczeństwa wykorzystywane są klucze o większej długości.  W praktyce stosuje się najczęściej kombinację tych dwóch lub więcej metod. Dzieje się tak choćby w przypadku zabezpieczania dostępu do stron za pomocą protokołu TLS. Dane przesyłane między Twoim komputerem a serwerem są szyfrowane przy użyciu klucza symetrycznego, ten jednak jest uzgadniany każdorazowo przy użyciu algorytmu klucza asymetrycznego.

Ale co to jest ten klucz i o co chodzi z jego długością?

Klucz to nic innego jak seria bitów, czyli danych, używanych do szyfrowania i deszyfrowania informacji. Możesz też o nim myśleć jak o pewnej informacji umożliwiającej szyfrowanie. Za generowanie kluczy odpowiadają algorytmy. Matematyka.

Bezpieczne przechowywanie kluczy to osobny problem, z którym każdy użytkownik musi się zmierzyć. Z pomocą przychodzi jednak technologia. Na przykład w większości komputerów przenośnych znajduje się specjalny moduł TPM (Trusted Platform Module), można też wykorzystać do tego specjalne klucze takie jak Yubikey. 

Nie wiesz jak wdrożyć szyfrowanie danych w swojej firmie? Masz problem z zabezpieczaniem danych zgodnie z RODO? Pozwól, że Ci pomogę!
Konsultacje

Wyślij mi e-book i informuj mnie o nowościach

Podając nam swój adres email wyrażasz zgodę na otrzymywanie od nas wiadomości o nowościach w serwisie RODOwskaz.pl, usługach czy podsumowaniem ważnych zmian i interpretacji prawa związanych z przetwarzaniem danych osobowych w Twojej firmie. W każdej chwili możesz zrezygnować z otrzymywania informacji wypisując się z listy. Odpowiedni odnośnik znajdziesz w każdym mailu. Więcej informacji o przetwarzaniu danych osobowych znajdziesz w naszej polityce prywatności.

Pobierz poradnik, dzięki któremu zaczniesz dostosowywać swoją firmę do wymogów RODO