保护数据已成为每个组织运营的关键部分。然而，选择最好的数据加密方法可能很难使用所有可用选项。在这里，我们讨论了各种可用的加密方法、每种方法的优缺点以及简化数据加密的方法。

数据加密算法

加密是使用数学算法和密钥将敏感数据（明文）转换为混淆数据（密文）。密钥是给定长度的一组随机位。为了保护数据，密钥必须保持安全。

数据加密可以进一步分为两种类型，对称加密和非对称加密。

对称加密

在对称加密中，相同的加密密钥用于加密和解密数据。因此，使用它的所有各方都必须对这个单一密钥保密。

当今最常见的对称加密算法是高级加密标准 (AES)，它以安全着称并被广泛使用。

AES 可以是确定性的或随机的。确定性意味着对于给定的密钥和明文，密文始终相同，而随机意味着密文每次都不同。当有少量明文输入时，随机密文值提供额外的安全性，也称为低基数。例如，一个人的年龄在 0 到 122 之间1所以基数是 123 个可能的输入。在一种极端情况下，基数可能是二，比如回答“患者是否被诊断患有 II 型糖尿病，真/假”。在那种情况下，确定性系统将无法正常工作，因为坏人只需验证一个人是否患有糖尿病并了解每个人的情况。但是，随机系统将对每个人提供不同的价值，从而提供额外的安全性。

非对称加密

非对称加密，也称为公钥加密，是一种使用两个不同的密钥来加密和解密数据的加密类型。一个密钥，称为公钥，用于加密，可以与任何人自由共享，而另一个密钥，即私钥，保密并用于解密。对于数字签名和身份验证用例，私钥用于加密，公钥用于解密以验证密钥持有者的身份。

非对称加密解决了对称加密的一个主要挑战，因为它提供了一种在不安全的渠道（例如互联网）上交换敏感信息的安全方式，而无需共享密钥。这是因为只有拥有私钥的人才能解密数据，即使用于加密数据的公钥已广为人知。

非对称加密最常用的示例之一是 RSA 算法，以其发明者 Ron Rivest、Adi Shamir 和 Leonard Adleman 的名字命名。

加密类型的优点和缺点

格式保留加密

格式保留加密 (FPE) 是一种加密类型，允许在保留其原始格式的同时对数据进行加密。与通常生成固定长度密文的传统加密不同，FPE 生成的密文保留明文的原始长度和格式。

FPE 通常用于明文数据格式很重要的情况，例如信用卡号、社会保险号和其他类型的敏感数据。通过保留原始格式，FPE 允许在需要与原始明文数据相同格式的系统和应用程序中使用加密数据。

2016 年 NIST 发布了定义 FPE 的 SP 800-38G。它使用行业标准 AES，以及带来的性能和安全性优势，但修改了过程，使密文与明文具有相同的长度和格式。

FPE 已被证明是高度安全和高性能的，具有一百万或更多的任何基数。这可以转换为具有六位或更多位数字的任何数字数据 (0-9)；所以电话号码、社会安全号码、国民身份证、驾驶执照和信用卡很容易满足这一要求。因此，大多数字母数字（0-9、AZ、az）数据以更短的可能长度满足这一需求，例如姓名和地址。FPE 输出库可以由数字 (0-9)、字母（AZ、az）或两者组成。

部分 FPE 也是可能的。例如，社会安全号码 111-22-3333 可以部分混淆为 532-58-3333，以便客户支持人员可以使用最后四位数字来识别客户。

FPE 最近已成为大多数将数据迁移到云的组织最喜欢选择的算法。它保证数据在其网络边界之外时将受到保护，而且它不会破坏任何期望以特定方式格式化数据的应用程序。

机密计算和隐私增强计算

传统数据加密方法的一个共同缺点是无法对密文数据进行数学运算、搜索或排序操作。如果组织必须执行此类操作但不允许解密敏感数据本身，这就是隐私增强计算 (PEC) 发挥作用的地方。隐私保护分析是另一个术语。共有三个竞争版本。

同态加密是对加密数据进行的复杂数学运算，以实现数学运算。这种方法的安全性受到质疑，但最大的问题是它需要如此多的处理能力，以至于性能降低了几个数量级。到今天为止，这在很大程度上是不切实际的。

安全多方计算 (SMPC)是一种将敏感数据分成几部分并在多方之间共享的过程。密钥或秘密也被破解并在各方之间分发。使用几种方法中的一种组合键，然后以计算结果的方式对所有数据片段进行计算，但各个输入是无意义的。SMPC 的缺点是它需要单独的函数来充当“各方”并进行计算，从而导致一些额外的延迟。

Private Enclave应用了在计算机处理器的独立且高度安全的部分中执行所有内存和处理的概念。英特尔处理器提供了这种能力，他们称之为“SGX”。加密的数据进入，被解密和处理，然后只发送结果。SGX 的一个缺点是无法进行分布式计算，因为一切都被限制在一个“飞地”中。此外，您的数据库处理器都必须是具有 SGX 功能的英特尔处理器。最后，在 SGX 中发现了几个漏洞。尽管每个计算设备和应用程序都是如此，这就是为什么修补和更新是所有安全实践的一部分。

结论

数据加密已成为保护各种规模组织的敏感信息的关键。可用的加密类型包括对称和非对称加密，每种都有自己的优势和局限性。对称加密比非对称加密更快、更高效，但它需要安全的密钥管理，而非对称加密提供安全的密钥分发，使其具有高度可扩展性。格式保留加密 (FPE) 是一种新型加密，可保留明文的原始格式，使其成为敏感数据（如信用卡号和社会保险号）的理想选择。借助 FPE，组织现在可以在不损害其应用程序数据格式的情况下保护其在云中的数据，使其成为大多数将数据迁移到云的组织的首选算法。

理想情况下，与揽阁信息联系后，组织可以寻找能够简化部署和管理的最佳数据加密解决方案。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 育碧（Ubisoft）被黑客攻击48小时：900GB数据险遭泄漏

• SK Telecom与Thales合作开发后量子密码学

• 勒索软件制裁：有什么影响？

• 关于“欧盟-美国数据隐私框架”的问与答

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置