数据加密是一种将数据从可读格式(明文)转换为不可读的编码格式(密文)的方法。加密数据只能在使用解密密钥或密码解密后才能读取或处理。只有数据的发送者和接收者才能访问解密密钥。raksmart美国服务器商分享数据加密详细概述
在部署加密解决方案时,您应该意识到加密容易受到来自多个方向的攻击:
可以使用计算机程序破解某些加密算法并获得对加密内容的访问权限,尽管更强大的加密需要大量的计算资源才能破解。
传输中的加密数据可能容易受到攻击。授权设备可能会被恶意软件感染,这些恶意软件会在数据通过网络传输时“嗅探”或“窃听”数据。
加密的静态数据可能会受到存储设备上的恶意软件或未经授权的用户访问用户密码或密钥的影响。
尽管如此,数据加密可以阻止黑客访问敏感信息,并且对于大多数安全策略来说都是必不可少的。但是,您的安全策略不应仅仅依赖于加密。推荐阅读:《什么是PHP数据类型及变量》
DES 和其他流行的加密算法
数据加密标准 (DES) 是一种现已过时的对称加密算法——您使用相同的密钥来加密和解密消息。DES 使用 56 位加密密钥(从完整的 64 位密钥中去除 8 个奇偶校验位)并加密 64 位块中的数据。这些尺寸通常不足以满足当今的使用需求。因此,其他的加密算法都成功了 DES:
Triple DES——曾经是标准的对称算法。三重 DES 使用三个单独的密钥,每个密钥为 56 位。总密钥长度加起来为 168 位,但据大多数专家介绍,其有效密钥强度仅为 112 位。
RSA — 一种流行的公钥(非对称)加密算法。它使用一对密钥:用于加密消息的公钥和用于解密消息的私钥。
Blowfish — 一种对称密码,将消息分成 64 位块并一次加密一个。Blowfish 是一种遗留算法,仍然有效,但已被 Twofish 继承。
Twofish — 一种对称密码,利用长达 256 位的密钥。Twofish 用于许多软件和硬件环境。它快速、免费且未获得专利。
高级加密标准 (AES) — 该算法是美国政府和其他组织目前接受的标准。它在 128 位形式下运行良好,但是,AES 可以使用 192 位和 256 位的密钥。AES 被认为可以抵抗所有攻击,但暴力破解除外。
椭圆曲线密码术 (ECC) — 用作SSL/TLS协议的一部分的算法,用于加密网站与其访问者之间的通信。它以更短的密钥长度提供更好的安全性;256 位 ECC 密钥提供与 3,072 位 RSA 密钥相同级别的安全性。
静态数据和数据库加密
静态数据是不在网络或设备之间传输的数据。它包括笔记本电脑、硬盘驱动器、闪存驱动器或数据库上的数据。静态数据对攻击者很有吸引力,因为它通常具有有意义的文件名和逻辑结构,可以指向个人信息、信用卡、知识产权、医疗保健信息等。
如果您的公司没有正确处置其数据资产,它可能会给自己和客户带来安全风险。始终假设攻击者可以访问静态数据。最大限度地减少静态数据量、保留所有剩余数据的清单并对其进行保护是防止数据泄露的关键。推荐阅读:《数据泄露的常见原因、过程及相应保护措施》
数据库加密
在大多数现代应用程序中,数据由用户输入,由应用程序处理,然后存储到数据库中。在较低级别,数据库由操作系统管理的文件组成,这些文件存储在闪存硬盘等物理存储设备上。
可以在四个级别执行加密:
应用程序级加密——数据在写入数据库之前由修改或生成数据的应用程序加密。这使得可以根据用户角色和权限为每个用户自定义加密过程。
数据库加密——可以对整个数据库或其中的一部分进行加密以保护数据。加密密钥由数据库系统存储和管理。
文件系统级加密——允许计算机用户加密目录和单个文件。文件级加密使用软件代理,它会中断对磁盘的读写调用,并使用策略来查看数据是否需要解密或加密。与全盘加密一样,它可以加密数据库以及存储在文件夹中的任何其他数据。
全盘加密——自动将硬盘上的数据转换成没有密钥就无法破译的形式。存储在硬盘驱动器上的数据库与任何其他数据一起被加密。
加密技术和技术
列级加密——数据库中的各个数据列被加密。每列都有一个单独且唯一的加密密钥,增加了灵活性和安全性。
透明数据加密——加密整个数据库,有效保护静态数据。加密对使用数据库的应用程序是透明的。数据库的备份也被加密,防止备份媒体被盗或破坏时数据丢失。
字段级加密——加密特定数据字段中的数据。创建者可以标记敏感字段,以便用户在这些字段中输入的数据被加密。这些可以包括社会安全号码、信用卡号码和银行帐号。
散列- 将字符串更改为类似于原始字符串的较短的固定长度键或值。散列通常用于密码系统。当用户最初定义密码时,它被存储为散列。当用户重新登录网站时,他们使用的密码会与唯一的哈希值进行比较,以确定它是否正确。
对称密钥加密——将私钥应用于数据,对其进行更改,使其未经解密就无法读取。如果用户或应用程序提供密钥,则数据在保存时被加密,在检索时被解密。对称加密被认为不如非对称加密,因为需要将密钥从发送者传输到接收者。
非对称加密——包含两个加密密钥:私有和公共。任何人都可以检索公钥,并且对一个用户来说是唯一的。私钥是只有一个用户知道的隐藏密钥。在大多数情况下,公钥是加密密钥,私钥是解密密钥。
数据库加密的缺点
数据库加密会导致性能下降,尤其是在使用列级加密时。因此,组织可能不愿意使用数据加密或将其应用于所有静态数据。
许多 RDBMS 系统提供内置的加密和密钥管理工具。因此,如果数据中心仅使用一个供应商的数据库,则数据库加密更容易执行。如果您管理来自多个供应商的数据库,则密钥管理可能会成为一个问题,而密钥管理的失误可能会导致安全漏洞。
另一个风险是意外的数据丢失。当使用强密码对数据进行加密时,如果密钥丢失,则无法检索数据。意外丢失或密钥管理不善可能会造成灾难性的后果。推荐相关阅读:《美国服务器迁移时如何保护重要数据不被丢失》
