Cała prawda o szyfrowaniu i RODO

Pierwsza część wzbudziła spore zainteresowanie i wysyp dodatkowych pytań. Dały mi one pomysły na co najmniej kilka artykułów. Bardzo mnie cieszy, że konieczność szyfrowania danych to nie jest dla przedsiębiorców temat abstrakcyjny, lecz jedynie funkcjonalność, z którą muszą się zmierzyć. Odpowiadam więc na kolejne pytania związane z tymi zagadnieniami. Zobacz sam, że szyfrowanie to nie jest czarna magia.

Czy muszę wszystko szyfrować i wszędzie? Nawet jeżeli nie są to dane osobowe?

Nie, nie musisz. Natomiast o wiele łatwiej jest stosować podejście, że szyfrujesz wszystkie dane i wszędzie, a nie szukasz wyjątków, kiedy dane możesz pozostawić niezaszyfrowane. Ja śpię spokojniej, wiedząc, że wszystkie dane mojego przedsiębiorstwa są zaszyfrowane. Tak samo korzystam z narządzi do komunikacji ze współpracownikami i klientami, które zapewniają szyfrowanie transmisji danych. A ponieważ wymóg szyfrowania pojawia się w kolejnych obszarach prowadzenia biznesu moje podejście pozwoli mi w przyszłości zaoszczędzić czas i pieniądze.

Czy każdy VPN zapewnia szyfrowanie danych?

Trzymając się ściśle terminologii informatycznej sam VPN nie szyfruje danych. W ostatnich latach nastąpiło jednak uproszczone pojmowanie tego, czym jest VPN i można powiedzieć, że w większości przypadków ruch w połączeniu VPN jest szyfrowany.

VPN to taki wirtualny „kabel”, który łączy ze sobą dwa urządzenia. Ten „kabel” biegnie przez sieć Internet poprzez sieci kolejnych operatorów, łącząc Twój komputer czy telefon z innym systemem. W ten sposób Twoi pracownicy pracujący w terenie mogą łączyć się z siecią Twojej firmy i wewnętrznym systemem CRM, bez konieczności podłączania go bezpośrednio do Internetu.

Większość usług VPN zapewnia szyfrowanie danych, ale nie wszystkie

Sama grupa technologii ukrywająca się pod nazwą VPN nie zapewnia jednak szyfrowania. Odpowiedzialne za to są inne mechanizmy, które można uruchomić jako element pracy połączenia VPN. Dlatego w przypadku tuneli szyfrowanych najczęściej mówi się o IPSec VPN oraz SSL VPN. To właśnie IPSec i SSL są tymi mechanizmami, które zapewniają szyfrowanie.

Jeżeli w dokumentacji lub ofercie widzisz samo słowo „VPN” upewnij się, że połączenie jest szyfrowane oraz jakie algorytmy są do tego celu wykorzystywane i jaka jest długość klucza szyfrującego (patrz następne pytanie).

O co chodzi z tymi dziwnymi oznaczeniami?

Zapewne mówisz o takich oznaczeniach jak AES-128-CBC, AES-256-CBC, XTS-AES-128, XTS-AES-256, RSA-2048, RSA-4096, DES, 3DES, MD5, SHA-1, SHA-256 albo dłuższych. Są to oznaczenia algorytmów, funkcji skrótu, lub grup algorytmów i funkcji skrótu (wtedy różne nazyw masz rozdzielone myślnikami) wraz z informacją o długości klucza szyfrującego. Spotkasz się z nimi, gdy generujesz certyfikat dla swojej witryny internetowej, podpis cyfrowy czy szyfrowane połączenie VPN.

Mam dla Ciebie dobrą wiadomość. Nie musisz się o tych wszystkich algorytmach uczyć, nie musisz rozumieć jak działają. To zadanie osób związanych z kryptografią, bezpieczeństwem IT i Twojego administratora IT. Jeżeli przyjdzie Ci coś samodzielnie konfigurować czy analizować spójrz jedynie na oznaczenia i stosuj się jedynie do kilku zasad:

  • Nie korzystaj nigdy z algorytmów DES oraz 3DES, gdyż nie są one już bezpieczne i da się je prosto złamać. 
  • Nie korzystaj z algorytmu DSA, jedynie z RSA lub ECDSA.
  • W miarę możliwości ograniczaj stosowanie MD5, a już na pewno nie korzystaj z niego gdy występuje on jako jedyny algorytm funkcji skrótu. Staraj się korzystać z SHA.
  • Staraj się korzystać z algorytmów z możliwie najdłuższym kluczem. Im dłuższy, tym bezpieczniej. Minimalne zalecane wartości dla popularnych algorytmów to: AES-128, RSA-2048, SHA-256, ECDSA-224.

Czy trudno jest zaszyfrować pocztę elektroniczną?

I tak i nie, a na pewno jest łatwiej, niż jeszcze nawet 2 lata temu. Szyfrowanie treści e-maili czy załączanych do wiadomości plików niestety jeszcze do niedawna nie było prostym zadaniem.

Osoby chcące zaszyfrować wiadomości e-mail musiały znać podstawy działania kryptografii asymetrycznej (pisałem o niej w poprzednim artykule) i wiedzieć jak z niej korzystać. Każda z nich musiała też samodzielnie wygenerować swoją parę kluczy, oraz  przekazać klucz publiczny drugiej osobie. Niezbędna też była wiedza techniczna o tym, w jaki sposób bezpiecznie przechowywać klucz prywatny. Na domiar złego programy pocztowe nie obsługiwały domyślnie szyfrowania. Użytkownicy musieli instalować dodatkowe programy i wtyczki umożliwiające szyfrowanie i deszyfrowanie wiadomości i załączników. Efekt tego był taki, że nawet wielu informatyków nie radziło sobie z tym dobrze, a co dopiero handlowiec, sekretarka czy księgowy.

Na szczęście czasy się zmieniły, a szyfrowanie stało się nie tyle opcją dodatkową poczty elektronicznej, co jednym z podstawowych wymagań. Dlatego też udało się problem szyfrowania wiadomości często sprowadzić do kliknięcia jednego przycisku w kliencie poczty elektronicznej. Tak jest na przykład w przypadku usługi poczty wchodzącej w skład Office365 firmy Microsoft. Korzystając z klienta Microsoft Outlook, wystarczy, że klikniemy odpowiedni przycisk w oknie komponowania nowej wiadomości, by została ona zaszyfrowana. Jeżeli odbiorcą jest inny użytkownik chmurowej usługi Office365, to będzie on w stanie odszyfrować wiadomość. Wystarczy, że także korzysta z klienta Microsoft Outlook czy Outlook Web Access dostępnego przez przeglądarkę internetową. Osoby, które korzystają z innych usług pocztowych nie odczytają tak przygotowanej wiadomości w swoim programie pocztowym. Będą musiały połączyć się z usługą Office365 wykorzystując specjalny odnośnik w otrzymanym mailu (nie muszą zakładać w niej konta). Takie podejście opiera się na zaufaniu do usługi Offic365, lecz dla zdecydowanej większości przedsiębiorców będzie to wystarczająca ochrona. Jak widzisz nie wymaga ona skomplikowanej wiedzy technicznej.

Czym jest funkcja skrótu?

Jest to funkcja matematyczna, która dowolnej dużej liczbie przyporządkowuje liczbę krótką o stałym rozmiarze. Twój arkusz Excela czy dowolny inny plik lub treść wiadomości e-mail jest dla komputera niczym innym jak ogromną liczbą. 

Wyobraź sobie, że wysyłasz swojej księgowej zestawienie wypłat zatrudnianych pracowników. Chcesz mieć pewność, że nikt dokumentu nie przechwycił i nie pozmieniał zawartych w nim danych. Dlatego przed wysłaniem generujesz tak zwany „skrót” pliku  z zestawieniem wypłat. Ma on postać ciągu znaków składających się z liter i cyfr, na przykład:

bf9945e1971ce09ea641aacc368ed716

Wysyłasz swojej księgowej zarówno plik, jak i wartość skrótu tego pliku. Księgowa zapisuje odebrany plik, generuje ponownie jego skrót i porównuje z wartością otrzymaną od Ciebie. Jeżeli się zgadzają, to znaczy, że nikt pliku nie zmienił. Jeżeli zmieniony, usunięty lub dodany zostałby choćby jeden znak, to wartość funkcji skrótu byłaby diametralnie inna.

Przetestuj to samodzielnie. W systemie Windows uruchom Wiersz Poleceń, a następnie wpisz:

certutil -hashfile plik.txt sha256

Wygenerujesz w ten sposób skrót pliku o nazwie „plik.txt” funkcją SHA-256 (staraj się ją zawsze stosować). Możesz też użyć wartości „md5” lub „sha1”. Użyj do testu pliku tekstowego stworzonego w Notatniku. Wygeneruj jej skrót, a następnie zmień w nim jedną literę lub dodaj nowy znak na jego końcu. Zobaczysz, że nowy skrót będzie się diametralnie różnił od poprzedniego, mimo że zmiana dotyczyła jednego znaku.

Jeżeli korzystasz z systemu Linux użyj polecenia „sha265sum „, „sha1sum” czy „md5sum” jako argument podając jedynie nazwę pliku. W systemie MacOS natomiast musisz wydać polecenie „shasum -a 256 plik.txt” lub „md5sum” dla funkcji skrótu MD5.

Nie wiesz jak wdrożyć szyfrowanie danych w swojej firmie? Masz problem z zabezpieczaniem danych zgodnie z RODO? Pozwól, że Ci pomogę!
Konsultacje

Wyślij mi e-book i informuj mnie o nowościach

Podając nam swój adres email wyrażasz zgodę na otrzymywanie od nas wiadomości o nowościach w serwisie RODOwskaz.pl, usługach czy podsumowaniem ważnych zmian i interpretacji prawa związanych z przetwarzaniem danych osobowych w Twojej firmie. W każdej chwili możesz zrezygnować z otrzymywania informacji wypisując się z listy. Odpowiedni odnośnik znajdziesz w każdym mailu. Więcej informacji o przetwarzaniu danych osobowych znajdziesz w naszej polityce prywatności.

Pobierz poradnik, dzięki któremu zaczniesz dostosowywać swoją firmę do wymogów RODO