Aplikovaná kryptografie

Owl

Moderní doba s sebou přináší nové požadavky a ochrana informačních aktiv je dnes jednou z nejvyšších priorit jakékoliv organizace. Nejen z důvodu stále vyšších regulatorních nároků na účinné zabezpečení, ale také s ohledem na fakt, že data se stala tím nejcennějším majetkem a jakýkoliv únik, poškození či ztráta může snadno způsobit provozní problémy a finanční ztráty.

Naše zkušenosti s praktickou kryptografií sahají do dob před založením naší společnosti. Zakladatel Trustica, Dominik Pantůček, je předním odborníkem na kryptografii se specializací jednak na nejnovější novinky v kryptografii eliptických křivek a jednak na praktické použití kryptografických systémů s veřejným klíčem obecně. Jeho dlouhodobé zaměření na související témata lze vysledovat až do roku 1999, kdy měl možnost pracovat s těmi nejlepšími z oboru.

Naší misí je uzavřít mezeru mezi kryptografickými algoritmy, které jsou potřeba pro splnění všech požadavků na ochranu dat, a požadavky našich zákazníků. Ať již tyto požadavky vycházejí z platných nařízení jako Evropské nařízení o ochraně dat (GDPR) či z Britského ekvivalentu (DPA), EIDAS či NIS2, naše řešení k jejich naplnění již používá mnoho zákazníků.

Zabezpečení komunikace

Ačkoliv mnoho nových systémů používá protokol HTTPS pro zajištění bezpečnosti dat a závisí tak často na běžně dostupných důvěryhodných certifikátech vydaných například certifikační autoritou Let's Encrypt, ve skutečnosti tento postup jen zajišťuje důvěrnost a integritu přenášených dat. Klientské certifikáty či moderní metody více-faktorové autentizace by měly být vždy použity souběžně s tímto typem transportu dat pro zajištění dostupnosti dat právě a pouze autorizovaným uživatelům a systémům.

Ostatní protokoly vyžadují také hlubší analýzu. I při použití Secure Shell protokolu (SSH) není možné spoléhat na autentizaci pomocí hesel, ale je vhodné použít primitiva asymetrické kryptografie. Stejně tak virtualní privátní sítě (VPN), které mohou být snadno zabezpečeny pomocí systémů veřejných klíčů by měly být zabezpečeny právě tímto způsobem a my se vždy snažíme vybrat to nejlepší vhodné řešení.

Systémy řízení klíčů

Většina výše uvedených systémů neřeší vystavování nových certifikátů a jejich revokaci při kompromitaci jako součást vlastního protokolu. Nicméně jakýkoliv systém veřejných klíčů by měl být doplněn vhodným systémem řízení klíčového materiálu. Vybrat ten správný a ohodnotit dopad na celkovou bezpečnost řešení je další služba, kterou typicky nabízíme.

Pro malé systémy může být dostačující něco jako certifikační autorita Easy-RSA provozovaná na vlastních systémech, ale v mnoha případech je vhodnější použít složitější řešení. Integrace zvoleného systému může být technologickou výzvou pro všechny zúčastněné, ale naši lidé mají výzvy jako je tato rádi.

Nástroje pro práci s šifrovanými daty

Během let jsme vyvinuli specializované aplikace pro analýzu a použití šifrovaných datových formátů a protokolů. Některé z našich nástrojů se používají pro výměnu přístupových či šifrovacích klíčů v šifrovaných souborech, jiné pro přešifrování dat bez kopírování a další jsou používány pro detekci šifrovaných dat mezi nešifrovanými.

S pomocí těchto komponent jsme byli schopni například navrhnout a implementovat nástroj pro detekci ransomware útoků přímo v systémech datových úložišť pomocí využití statistické analýzy spolu s kryptoanalýzou.

Kryptoanalýza

Návrh nových systémů a rozšiřování existujících formátů vyžaduje provedení plnohodnotné kryptoanalýzy všech použitých kryptografických primitiv a způsobu jejich skladby. Naše dlouhodobé zkušenosti v oboru nám umožňují takovou kryptoanalýzu provést v plném rozsahu a garantovat správnost výsledků dle aktuálních poznatků. Pokud někdo potřebuje zhodnotit výběr a použití kryptografie v konkrétních případech, velmi rádi mu s takovou úlohou pomůžeme.