Autor: Tomáš Přibyl, externí odborný redaktor ICTsecurity

Byť si to mnohdy neuvědomujeme, šifrování používáme dnes a denně. Třeba v GSM telefonech, v internetovém bankovnictví, v přijímači satelitní televize… Zkrátka: šifrování není jen pro tajné služby, ale též pro běžného smrtelníka. S jeho pomocí můžete ochránit svá data jako žádným jiným způsobem.

Trocha teorie šifrování

Šifrování je nejjednodušším a nejúčinnějším způsobem ochrany elektronických dat. Jeho princip je jednoduchý: pomocí určitého algoritmu se skryje obsah informace tak, aby toto informaci mohla získat pouze oprávněná osoba. Původní informaci je přitom možné v plné šíří rekonstruovat pomocí stejného nebo odlišného algoritmu.

Šifrovací postup se skládá ze dvou částí: jednak je to metoda a jednak konkrétní způsob jejího provedení. Ve světě ICT technologií se primárně používá šifrování softwarové, kdy jsou data zašifrována pomocí šifrovacího klíče a/nebo přístupového hesla. (I když čím dále častěji se lze setkat i se šifrováním hardwarovým, které fyzicky probíhá pomocí dedikovaného čipu.)

V zásadě se dá říci, že rozlišujeme dva základní druhy softwarového šifrování, a to symetrické a asymetrické. Při symetrickém je k šifrování i dešifrování používán jediný klíč (zpravidla chráněný přístupovým heslem nebo podobným prvkem). Výhodou tohoto druhu šifrování je jeho rychlost a snadnost. Na druhé straně má velmi vážný bezpečnostní nedostatek: každý, kdo má přístup k šifrovacímu klíči, může také dešifrovat libovolná data. Tady i data, která byla zašifrována tímto klíčem, ale nebyla určena pro tuto osobu. Díky těmto omezením se symetrického šifrování používá především při ochraně dat nebo při zálohování – ale nikoliv při komunikaci.

Naproti tomu šifrování asymetrické přináší řadu výhod, ovšem jeho implementace je v praxi složitější. Jde o to, že využívá dvojice šifrovacích klíčů. Zatímco jedním klíčem se data zašifrují, druhým klíčem se dešifrují. Klíč sloužící k zašifrování dat se nazývá veřejný a může jej použít prakticky kdokoliv. Klíč sloužící k odšifrování dat se nazývá soukromý a měl by zůstat pouze v rukách oprávněné osoby (tedy osoby, pro kterou byla data zašifrována). Nevýhodou asymetrického šifrování je skutečnost, že je trochu pomalejší (což ale při dnešních výpočetních výkonech počítačů není zase tak velký problém) a náročnější na klíčovou správu. Už není možné (resp. možné to je, ale není to žádoucí, protože by došlo k eliminování výhod asymetrického šifrování), aby všichni používali jediný veřejný klíč – proto je potřeba, aby každý člen systému (nebo alespoň ti, kdo budou šifrované zprávy přijímat) vlastnil klíčový pár (veřejný plus soukromý klíč).

Vlastní šifrování může probíhat buď on-line (tedy neustále: v praxi jde o trvale zašifrované soubory, složky nebo celé disky) nebo on-demand (na vyžádání, jen v případě potřeby).

Šifrovací politika

Šifrování není nic mimořádně složitého, nákladného nebo náročného – na druhé straně ho ale není dobré zjednodušovat a aplikovat stylem „dnes se rozhodneme, zítra šifrujeme“. Před implementací musíme provést analýzu potřeb a nasazení, aby výsledek měl co nejmenší dopad na běh organizace.

V zásadě je zapotřebí postupovat stejně jako v případě nasazení jiných bezpečnostních prvků. Nejprve je nutné stanovit aktivita – tedy co vlastně budeme šifrovat. Protože šifrovat všechno je zbytečné, nepotřebné a nepohodlné. Potvrdí vám to třeba grafik, který běžně pracuje s obřími soubory, kde by šifrování veškerých dat jeho práci nesmírně prodloužilo. Je dobré stanovit jen určitý okruh chráněných dat a zde být důsledný.

Jakmile víme CO potřebujeme chránit, můžeme se rozhodnout JAK to budeme chránit. Čili vybereme si nejvhodnější metodiku ochrany dat a nakládání s nimi (včetně třeba předpisů, které budou zapovídat určitá data byť v šifrované podobě vynášet z organizace nebo které stanoví, že majitelé notebooku budou smět na svých přístrojích uchovávat jen nezbytně nutné minimum dat potřebné k práci).

A až úplně na závěr si vybereme nejvhodnější software, který přesně reflektuje naše požadavky. Jistě, lze postupovat i jinak: nejprve vybrat software a následně dle jeho možností stanovit nejvhodnější metodiku (třeba v případě, že software je již zakoupený nebo je součástí nějakého balíčku, který již používáme). Ale vždy je lepší stanovit si podmínky a ze široké nabídky na trhu vybrat nejvhodnější aplikaci – než se snažit upravit stávající systém dle možností příslušné aplikace. Ostatně, čím menší zásahy do systému bude nutné provést, tím jednodušší bude nasazení šifrování v praxi i jeho přijetí uživateli či managementem.

Nezapomeňte ještě na školení uživatelů (i člen vedení organizace je uživatel!), aby pochopili silné i slabé stránky šifrování. Nebude pak docházet k situacím, kdy se na počítači budou nacházet data ve dvou formátech: v zašifrované podobě (aby bylo předpisům učiněno zadost) i v podobě odšifrované (se kterými se dá pohodlněji pracovat).

Nezapomínejte na šifrování!

Dnes a denně se setkáváme se zprávami o odcizených počítačích nebo zapomenutých či ukradených noteboocích. O úspěšných hackerských útocích vůči datům, o únicích citlivých osobních údajů. Většině z těchto problémů se pochopitelně dalo předejít – třeba právě použitím tisíce let staré metody jménem šifrování…

Bezpečnostní management | Šifrování