您当前的位置:   首页 > 新闻中心
加密 vs 令牌化 vs 其他:您需要了解的数据安全术语
发布时间:2020-05-19 18:59:46   阅读次数:

加密 vs 令牌化 vs 其他:您需要了解的数据安全术语(图1)

数据保护领域中的术语通常令人惊讶地不精确。“加密”是我们大家都知道的,或者至少是我们认为的:“一种可逆的算法,它使用密钥(某些秘密材料)使数据不可用。”


但是人们也抛出诸如“令牌化”、“屏蔽”(掩盖) 和“混淆”之类的术语。有时,这些指的是特定技术。有时,它们通常被通用地表示“某种形式的数据保护”。例如,人们经常说诸如“我们[令牌化、加密、掩盖、混淆、保护]数据”之类的事情,而没有指定在不同时间如何以及不同的事情含义。


即使精确地使用这些术语,人们也会经常误解它们之间的差异。这些差异很重要。


混淆和保护

这些是通用术语,表示“数据以某种方式隐藏”。这可能意味着通过加密或其他方法将其替换为其他数据,或者根本不显示它,可能仅显示***-**-****的社会保险号。


实际上,当您不打算调用特定技术时,正是因为它们的不精确性,这些可能是最好的术语。


屏蔽或掩盖

“屏蔽或掩盖”也许是最滥用的术语。有时人们实际上只是在“混淆”或“保护”时,用它来表示“我们隐藏了真实数据”。


但是屏蔽可以更具体,指的是动态数据屏蔽(DDM)或静态数据屏蔽(SDM)。这些技术在概念上相似,意味着在数据流的特定点将生产数据中的敏感信息更改为其他相似的值。


使用数据时会发生DDM:

  • 当数据馈送从一个应用程序发送到另一个不受信任的环境时

  • 显示数据时,例如,在呼叫中心应用程序的屏幕上仅显示信用卡号的后四位,因此可用于帐户验证


尽管DDM占有一席之地,而且显然比没有优势强,但将DDM用作数据保护的主要手段往往会给安全人员带来麻烦,因为这意味着可以保证数据库违规行为会泄露明文。


SDM意味着复制生产数据(全部或部分)并将敏感信息替换为其他值。通常,这样做是为了实现基于生产量,可变性等的实际测试条件,而又没有暴露的风险。


一些SDM工具保留引用完整性。也就是说,所有出现的“鲍勃”(只有“鲍勃”)都可以更改为“托马斯”。其他更改值不一致。有时“鲍勃”变成“托马斯”,有时变成“弗兰克”;也许“鲍勃”和“托马斯”都始终如一地成为“坦率”。


无论哪种情况,都可以使用结果数据而无需考虑安全性,因为它不再包含实际的敏感值。


加密

人们通常在概念上对加密很熟悉,它结合了数学算法和其他一些秘密信息(加密密钥),从而以某种方式转换数据,而如果没有适当的密钥,这种方式基本上是无法反转的。


传统上,这意味着将数据转换为无法读取的二进制字符串,通常比输入更长。如果在使用时对整个文件系统,数据库或数据集进行了加密,然后手动或自动(透明)解密,则此更改通常不会产生重大影响。


另一方面,将字段级加密添加到现有应用程序和数据存储时,显然会产生重大影响:必须更改程序变量,数据库列定义和文件布局,并且磁盘空间使用量有时会急剧增加。


Voltage Security在2000年代后期率先提出的格式保留加密解决了最后一个问题,产生了可保持输入大小和字母的密文。


令牌化、标记化(Tokenization

 作为特定术语,“令牌化”来自支付卡行业数据安全标准(PCI DSS),该标准是用于保护与支付相关的数据的公认标准。


当PCI DSS v1.0于2008年发布时,它要求商家“至少在其存储的任何位置都使[信用卡主帐号或PAN]变得不可读…[使用]强大的单向哈希函数(哈希索引) ,截断,索引标记和填充…[或]强密码学。”


这些选择显然代表了不同的用例:哈希对于匿名化数据非常有用,但是它们的不可逆性使得如果再次需要使用明文,则哈希值将变得不那么有用。


截断意味着仅存储部分数据。同样,这仅在永远不需要完整的明文的情况下才有效。


索引标记和填充通常被人们称为标记化:用随机生成的值替换该值。最新版本的PCI DSS更详细地描述了这种方法:


索引令牌是一种加密令牌,它基于给定的索引替换PAN以获取不可预测的值。一次性垫是一种系统,其中仅将随机生成的私钥用于一次加密消息,然后使用匹配的一次性垫和密钥对消息进行解密。


令牌与加密如何关联

请仔细阅读此声明,因为这样做可以揭示任何密码学家将告诉您的内容:令牌化是一种加密形式。


索引令牌是一次性的:这是“不可预测的价值”。由于PCI DSS专注于信用卡号,因此可以将这个“索引”视为“偏移”:取一个给定的卡号,为其添加一些值(如果超过最大可能数,则“包装”),并且您的令牌。


通常,这是使用数据库来实现的。随机数生成器创建一个表示PAN的期望范围内的值,并将该值存储在数据库中。


重要的是要意识到,在这种情况下,数据库是一个加密密钥。仅仅因为它不是128位,256位或其他定义的大小,并不意味着它不是加密密钥。


给定一个算法和一些秘密信息(在本例中为数据库),明文PAN可以一致地转换为令牌,反之亦然。这就是加密的定义。


加密与令牌化:做出选择

如果令牌化是加密,那么人们为什么要区分它们呢?PCI DSS审核员(合格的安全评估员或QSA)通常更喜欢使用令牌化而不是加密,理由是据称存在差异,即随机生成的令牌与其明文之间没有“数学关系”。


如前所述,这是有缺陷的推理。这种关系以令牌化数据库或元数据表表示的一次性填充的形式存在。


此外,PCI DSS早期出现的第一种保留格式的数据保护方法是数据库支持的标记化方案。这种先发优势可能进一步鼓励了QSA,使其更喜欢使用令牌化。


本地操作与远程操作

但是,大多数令牌化和加密解决方案之间仍然存在很大差异,无论操作是否在端点上执行。


这很重要,因为密钥材料(无论是AES密钥还是任何形式的令牌化表)的可访问性。对于本地操作,该关键材料必须存在于端点上。如果操作是远程执行的(通常是通过诸如REST或SOAP之类的Web服务执行),则该密钥材料将更安全,因为它保留在远程服务器上。


当然,这并不意味着远程操作是不可侵犯的。有缺陷的实现可能会使攻击者发出将受保护的数据转换为明文的请求,并且他们当然可以直接攻击服务器。


但是入侵者发出的大量远程请求通常会在几个级别上可见(网络流量,服务器日志等)。此外,与通常由网络或安全人员管理的端点相比,此类服务器通常受到更严格的控制,并迅速关注已知的安全漏洞。它们通常也是单一用途的,从而进一步降低了折中的几率。


加密通常在本地和作为Web服务提供。在前一种情况下,密钥材料是从服务器下载的,并用于本地操作。本地操作可靠且快速,因为一旦该密钥被下载,它就消除了网络延迟。


另一方面,大多数令牌化仅通过Web服务提供。对于数据库支持的令牌化,原因很明显:多个端点需要令牌化和去令牌化,因此它们需要拥有令牌数据库的单个控制点。该数据库还需要维护和馈送,以及(希望)某种实时复制,以避免发生硬件故障时丢失令牌。


了解可伸缩性问题

数据库令牌化还存在扩展问题。标记化顺序通常如下:

  1. 收到明文值。

  2. 数据库检查了该值的现有令牌;如果找到,则返回令牌。

  3. 如果未找到,则生成新令牌,搜索数据库以确保不发生冲突(相同的令牌表示两个明文值)。

  4. 如果发现冲突,请重复上一步。


随着发行令牌的数量增加,冲突会更频繁地发生。当标记诸如PAN之类的值时,其中存在大量可能的值,这成为一个严重的问题。


处理同步问题

但是,更糟糕的是同步问题。为了提高可伸缩性和可靠性,必须复制令牌化服务器,从而带来两个新问题。首先,相同的明文PAN可以同时到达两个不同的服务器,从而生成两个不同的令牌。


尽管这最终可能会得到解决,但反之则更为有害:两个不同的明文PAN可以攻击两个服务器并产生相同的令牌。通过实时数据库复制可以避免这些问题,但这会进一步增加复杂性和延迟。


非数据库支持的令牌化方法(如电压安全无状态令牌化(SST))允许远程和本地操作。给定令牌化元数据的副本,端点可以执行令牌化,同时保证与其他计算机的一致性并避免实时复制需求。


这种方法还避免了数据库支持的系统特有的扩展问题,包括随着令牌数量的增加而延长令牌生成时间,以及实时数据库复制的费用和延迟(或者,如果未实现这种复制,则更糟糕的是一致性问题)。 。


本地机器风险更大

由于令牌化是加密,因此从安全角度来看,本地令牌化和本地加密是相同的。但是,在这两种情况下,本地计算机上都有足够的信息,以防该计算机受到威胁时严重盗窃数据。


因此,端点上的任何本地数据保护都必须确保对该信息(加密密钥和/或令牌化元数据)进行充分保护,以使其不成为主要攻击面。具有讽刺意味的是,由于令牌化元数据大于AES密钥,因此它“感觉”起来就更容易受到攻击。然而,由于它们是如此之小,所以AES密钥的泄漏将变得更加容易!


QSA不喜欢端点数据保护的原因应该明确:由于大多数此类计算机没有像单用途服务器那样受到严格控制,因此存在通过本地看似无关的配置更改或其他一些应用程序或服务运行而遭受损害的较高风险在那个端点上是脆弱的。


当在云中运行考虑,这变得更加显著,像幽灵/崩溃漏洞的管理员,以防止是不可能的。攻击可能来自恰好在同一硬件上运行的未知且无关的代码。


许多场景使本地操作变得可取,因为它提供了更高的性能和更可预测的响应时间,从而避免了网络延迟/拥塞问题。PCI DSS QSA不太可能签署本地保护,但其他用例可能会受益。这可能需要加固端点,甚至可能需要删除其他服务,以满足法规安全性要求。


了解差异是关键 

数据保护术语可以很精确,以这种方式使用时,通信是最清晰的。了解技术之间的差异至关重要。


为了符合法规,必须了解最重要的区别通常是本地操作和远程操作之间的差异,而不是加密和令牌化之间的差异。


揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:

您还可以得到揽阁信息所提供的优质服务。

揽阁信息是您的信息安全首选专家!


相关阅读

购买咨询电话
021-54410609