Cara Mengamankan Kunci Kriptografi di Lingkungan yang Tidak Bersahabat

Ketika datang untuk mengamankan data rahasia Anda, enkripsi secara universal diakui sebagai persyaratan, tetapi itu bukan peluru perak untuk keamanan. Achilles Heel untuk enkripsi adalah kunci kriptografi. Penyerang akan berusaha mencari kunci kriptografi ini karena akan dengan mudah mendapatkan akses ke data terenkripsi. Pada dasarnya, jika mendapatkan kuncinya, maka akan mendapatkan datanya

Bagaimana penyerang mencuri kunci enkripsi?
Sebagian besar organisasi rentan terhadap serangan pencurian utama karena dua alasan:

Implementasi Kriptografi yang tidak memperhitungkan lingkungan yang tidak bersahabat: Ini terutama berlaku untuk smartphone dan perangkat seluler lainnya; kode biner aplikasi tersedia di toko aplikasi untuk dipelajari dan dimanipulasi oleh penjahat. Peretas dapat dengan mudah merekayasa balik aplikasi untuk menangkap kunci enkripsi dan mendapatkan akses ke data.

Praktik yang buruk menyebabkan paparan kunci saat menyimpan dan menggunakan kunci: Ini adalah masalah umum dan memprihatinkan. Ketika Marriott International dilanggar pada tahun 2018, kunci enkripsi mereka, serta data mereka, dikompromikan. Kunci mereka telah disimpan di server yang sama dengan data yang dimaksudkan untuk dilindungi. Untuk menempatkan ini dalam perspektif – itu lebih buruk daripada meninggalkan kunci rumah Anda di bawah tikar, itu seperti meninggalkan kunci di pintu bagi siapa pun untuk membuka.

Faktanya, manajemen kunci adalah masalah keamanan siber yang berkembang dan sulit dipecahkan di banyak perusahaan, menurut sebuah laporan dari Ponemon Institute. Pada tahun 2020, 69% perusahaan khawatir tentang pengelolaan kunci enkripsi - naik dari 67% tahun sebelumnya. Lebih dari seperempat bisnis yang disurvei mencantumkan manajemen dan penyimpanan kunci sebagai tantangan utama dalam strategi enkripsi data mereka dengan lebih dari setengahnya mengatakan bahwa manajemen kunci "sangat menyakitkan."

Kriptografi kotak putih adalah pendekatan khusus perangkat lunak yang sangat kuat untuk melindungi kunci kriptografi di lingkungan yang tidak bersahabat. Pustaka C tunggal yang mudah dan kuat, dapat dimasukkan dalam kasus penggunaan sistem seluler, desktop, cloud, dan tertanam.

Apa itu kriptografi kotak putih?

Kriptografi kotak putih mengubah kunci kriptografi yang digunakan dalam implementasi perangkat lunak tujuan umum. Itu berarti bahwa bahkan jika penyerang mendapatkan kendali atas perangkat dan lingkungan eksekusi aplikasi Anda, mereka tidak akan dapat melihat kunci atau data terenkripsi Anda, bahkan jika perangkat di-root atau di-jailbroken.

Sementara setiap vendor menerapkan kriptografi kotak putih secara berbeda, prinsip utamanya adalah sama: kriptografi kotak putih menggabungkan metode enkripsi dan kebingungan untuk menanamkan kunci kriptografi dan cipher dalam kode aplikasi sehingga kode dan kunci enkripsi terlihat tidak dapat dibedakan oleh penyerang. Ini mencegah kunci tersebut ditemukan atau diekstraksi dari aplikasi. Kriptografi kotak putih dirancang untuk melindungi kunci kriptografi dan operasi kriptografi di lingkungan yang tidak bersahabat, dengan desain ia mengasumsikan penyerang memiliki kendali penuh atas sistem dan mengasumsikan itu diserang secara langsung setiap saat.

Siapa yang membutuhkan kriptografi kotak putih?

Sebagian besar organisasi dapat memperoleh manfaat dari kriptografi kotak putih, terutama dalam skenario berikut:

Setiap organisasi dengan aplikasi yang berharga: Sebagian besar organisasi memiliki aplikasi seluler yang sering merupakan bagian yang diharapkan dari tumpukan teknologi perusahaan. Sementara aplikasi seluler adalah manfaat besar bagi individu dan bisnis, mereka juga rentan terhadap peretas. Penjahat tidak hanya dapat mengakses binari melalui app store, banyak aplikasi bergantung pada kunci kriptografi yang dihasilkan di backend (misalnya dalam HSM) tetapi digunakan dengan cara yang tidak terlindungi dalam aplikasi seluler pada handset. Jika penyerang root atau jailbreak perangkat, mereka dapat dengan mudah mendapatkan kunci. Dengan menggunakan kriptografi kotak putih, tim pengembangan dapat menggunakan keamanan kunci yang kuat dalam aplikasi dengan cara agnostik perangkat keras dan menjaga terhadap kerentanan yang ditimbulkan oleh perangkat keras yang tidak didukung dan perangkat yang dikompromikan.

Organisasi yang bermigrasi ke cloud: Ketika aplikasi murni on-premise, organisasi biasanya memiliki brankas kunci dengan perangkat keras khusus yang diinstal di pusat data mereka sendiri. Perangkat keras digunakan untuk menyimpan kunci dan untuk melakukan fungsi kriptografi apa pun. Mereka juga cenderung mempercayai perimeter mereka, dan pindah ke cloud mengubah tingkat kepercayaan itu. Sebagai bagian dari proses migrasi cloud, perusahaan harus memilih siapa yang akan mengelola dan menyimpan kunci kriptografi yang digunakan untuk mengenkripsi data yang disimpan di cloud. Salah satu metode untuk melakukan ini adalah pendekatan Hold Your Own Key (HYOK). Dengan pendekatan ini, organisasi menghasilkan, mengelola, dan menyimpan kunci enkripsi di lingkungan mereka sendiri. Penyedia cloud tidak memiliki akses ke kunci dan tidak dapat mengakses konten file terenkripsi. Kriptografi kotak putih memungkinkan organisasi untuk melindungi kunci dan rahasia dalam aplikasi, bahkan ketika mereka berjalan di lingkungan penyedia cloud publik multi-penyewa.

Amankan kunci enkripsi Anda dengan zKeyBox Zimperium

Manajemen kunci kriptografi yang aman adalah bagian penting dari enkripsi dan strategi keamanan data secara keseluruhan. Jadi apakah kunci kriptografi Anda disimpan di aplikasi seluler Anda atau di suatu tempat di backend Anda, kriptografi kotak putih harus digunakan untuk melindungi kunci Anda. 

ZKeyBox Zimperium menyediakan kriptografi kotak putih untuk melindungi dari serangan pencurian utama. Kunci kriptografi tidak pernah terungkap dalam teks biasa; tidak pada disk, tidak dalam memori, tidak dalam perjalanan, bahkan selama pelaksanaan operasi kriptografi. Hal ini membuat sangat sulit bagi penyerang untuk menemukan, memodifikasi, atau mengekstrak kunci. zKeyBox juga memungkinkan Anda untuk memegang kunci Anda sendiri; aplikasi Anda mungkin berjalan di cloud publik multi-penyewa, tetapi kunci Anda akan dilindungi dari penyerang yang ingin berkompromi dengan Anda melalui pihak ketiga Anda.