Imagen de una persona sosteniendo una tableta con la frase "Data Encryption" en un fondo morado.
38
Views

El cifrado tiene mala reputación y, con demasiada frecuencia, los esquemas de protección se implementan de forma imprudente sin cifrado con la esperanza de proteger los datos.

Es una angustia, nada más que una angustia. Te golpea cuando es demasiado tarde, te golpea cuando estás deprimido. Es un juego de tontos, nada más que un juego de tontos. De pie bajo la lluvia fría, sintiéndote como un payaso.

En 1977, el Estándar de Cifrado (DES) se convirtió en el estándar federal para el cifrado simétrico de bloque (FIPS 46). Pero, ¡qué decepción se convertiría el cifrado DES! En menos de 20 años desde su creación, DES sería declarado DOA (dead on arrival / muerto a la llegada), impenetrable NO.

¿Cómo podría ser eso posible?

Una breve historia del cifrado

Dedo presionando una tecla azul con la frase "Data Encryption" en un teclado.
El concepto de cifrado de datos para proteger la información.

Basado en un algoritmo desarrollado por IBM y modificado por la Agencia de Seguridad Nacional (NSA), DES se consideró inicialmente indescifrable en la década de 1970, excepto mediante un ataque de fuerza bruta; es decir, probando todas las claves posibles (DES utiliza una clave de 56 bits, por lo que hay 2^56, o 72.057.594.037.927.936 de ellas).

A finales de la década de 1990, era posible romper DES en cuestión de días. Esto se debió al tamaño de bloque relativamente pequeño (64 bits) y al tamaño de la clave, y a los avances en la potencia de cálculo según la Ley de Moore. Finalmente, el cifrado indescifrable lograría una especie de resurrección.

Aunque originalmente aprobado para el cifrado de datos gubernamentales no clasificados, el cifrado AES fue aprobado para su uso con información clasificada Secreta y de Alto Secreto del gobierno de EE. UU. en 2003.

El cifrado AES es un cifrado de bloque simétrico que opera en bloques de datos de tamaño fijo. El objetivo de AES no era solo seleccionar un nuevo algoritmo de cifrado, sino también aumentar drásticamente tanto el tamaño del bloque como el de la clave en comparación con DES. Donde DES usaba bloques de 64 bits, AES usa bloques de 128 bits. Duplicar el tamaño del bloque aumenta el número de bloques posibles en un factor de 2^64, una ventaja dramática sobre DES. Más importante aún, a diferencia de la clave DES de 56 bits relativamente corta, AES admite claves de 128, 192 y 256 bits.

La longitud de estas claves significa que los ataques de fuerza bruta en AES son inviables, al menos en el futuro previsible. Una ventaja adicional de AES es que no hay claves “débiles” o “semidébiles” que deba evitarse (como en DES, que tiene 16 de ellas).

Pocos hoy discuten la impenetrabilidad virtual del cifrado AES. A través de AES, solo aquellos que poseen claves de administración o a quienes se les otorga permiso para acceder a los datos cifrados pueden leer/usar los datos cifrados.

A pesar de todo eso, el cifrado de datos ha desarrollado una especie de mala reputación y, con demasiada frecuencia, se emplean esquemas de protección de datos sin cifrado para protegerse contra el robo de datos confidenciales.

5 mitos del cifrado de datos

Aquí hay cinco mitos sobre el cifrado de datos en el mercado actual:

  1. El cifrado es demasiado complicado y requiere demasiados recursos

De hecho, el cifrado de datos puede ser muy sencillo de implementar y gestionar. La clave es comprender los tipos de datos que necesita cifrar, dónde residen y quién debe tener acceso a ellos.

  1. Solo las empresas que tienen requisitos de cumplimiento en los que el cifrado es obligatorio por ley necesitan usar el cifrado.

Los datos confidenciales siempre deben cifrarse, ya sea obligatorio o no.

  1. El cifrado acabará con el rendimiento de las bases de datos y las aplicaciones

El rendimiento de las aplicaciones, las bases de datos, los servidores y las redes es una prioridad máxima de TI y los usuarios finales. Cuando se diseña e implementa correctamente, el cifrado no solo puede proteger los datos críticos que se ejecutan a través de esos sistemas, sino que su presencia puede tener un impacto mínimo en el rendimiento que no es perceptible para los usuarios.

  1. El cifrado no hace que los datos almacenados en la nube sean más seguros

Almacenar datos cifrados en la nube es más seguro que almacenar datos no cifrados en la nube. Con demasiada frecuencia, quienes almacenan datos en la nube no saben dónde se almacenan sus datos, ni tampoco saben quién tiene acceso a los datos; razón de más para que todos los datos enviados a la nube se cifren, con las claves de cifrado bajo su control.

  1. Cifrar datos es más importante que la gestión de claves

Demasiadas organizaciones no gestionan sus claves de cifrado, ya sea almacenándolas en el mismo servidor que los datos cifrados o permitiendo que un proveedor de la nube las gestione; dicho comportamiento sin sentido es similar a cerrar la puerta de su automóvil y dejar la llave en la puerta.

Categorías:
Revisiones

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *