Verileri yalnızca aktarım sırasında ve kullanımda değil, aynı zamanda kullanımda da koruyan ve böylece şirketleri veri ihlali korkusundan kurtaran yaygın şifreleme, uzun süredir şirket yöneticilerinin, BT ekiplerinin ve uyumluluk uzmanlarının hayali olmuştur.
2023’te, bir dizi veritabanı ve veri güvenliği firmasının, şirketlerin verileri şifreli tutmasına izin verirken arama gibi ortak işlemlere izin vermeye devam eden yazılımlar yayınlamasıyla bu hayaller pratik bir gerçeklik haline gelebilir. Örneğin geçen yıl, veritabanı teknolojisi sağlayıcısı MongoDB, şirketlerin verilerin şifresini çözmeye gerek kalmadan veri kayıtlarını “anlamlı” yollarla aramasına olanak tanıyan Sorgulanabilir Şifreleme yeteneğinin bir ön izlemesini yayınladı. Ve bu hafta, veri güvenliği firması Vaultree, uygulama üreticilerinin – şirketin iddia ettiği – şifrelenmiş veriler üzerinde daha kapsamlı işlemlere izin verdiğini iddia ettiği Kullanımdaki Veri Şifreleme özelliğini denemelerine olanak tanıyan bir yazılım geliştirme kiti yayınladı.
MongoDB güvenlik sorumlusu Kenn White, amacın, şirketlere ve uygulamalarına verimli bir şekilde veritabanlarına erişme ve veritabanlarında arama yapma yeteneği sağlarken, yetkisiz kullanıcıların hassas bilgilerin şifresini çözmesini engellemek olduğunu söylüyor.
“Müşterilerden, ayrıcalıklı kullanıcılar da dahil olmak üzere genel bulut altyapısına yönelik sızıntılar, ihlaller ve saldırılarla ilgili endişeler hakkında çok şey duyuyoruz ve bu nedenle, hassas bilgileri kimlerin görebileceğini sınırlamak için ek güvenlik kontrolleri ve teknik önlemler ekleyebileceğimiz alanlara odaklandık. verileri gerçek zamanlı olarak” diyor. “[W]inanıyorum [encryption-in-use] özellikle operasyonel iş yükleri için çok fazla yenilik potansiyeline sahip bir alan olmaya devam edecek.”
Teknolojiler, bir ağ veya sistem tehlikeye girdiğinde kuruluşların sözde “patlama yarıçapını” en aza indirmesine yardımcı olmayı vaat ediyor. Tipik olarak, bir ihlalden muzdarip olan işletmeler, bir dizi adli soruşturma, düzenleyici dosyalama ve para cezaları ve hassas verilerin ve fikri mülkiyetin potansiyel olarak ifşa edilmesiyle karşı karşıya kalır. Şifrelenmiş veriler, şirketlerin bir ihlalin yıkıcı etkilerinin çoğundan kaçınmasına olanak tanır, ancak düz metin bilgilerinin yanlışlıkla güvensiz bırakılmamasını sağlamak için tipik olarak karmaşık veri mimarisi tasarımları gerektirir.
Birçok teknoloji şirketi, şifreleme kullanımını genişleterek sorunu çözmeye ve uygulamaların verilerin güvenli kullanımına izin vermeye çalıştı. Örneğin 2010’larda Ionic Security, tüm verileri anında şifrelemeyi ve yalnızca belirli ayrıcalıklara sahip yetkili kullanıcılar tarafından kullanılmasına izin vermeyi amaçladı. Twilio, şirketi 2021’de satın aldı.
Vaultree CEO’su Ryan Lasmaili, mevcut teknolojiler diğerlerinin başarısız olduğu yerde başarılı olursa, şirketlerin bir ihlal durumunda önemli ölçüde daha az risk görebileceğini söylüyor.
“Bir sızıntı olup olmadığını biliyoruz ve veriler tamamen şifreleniyor, bu da şirketin mevzuata uygunluk riskini anında azaltıyor” diyor. “Ancak örneğin şu anda GDPR, kullanımdaki veri şifrelemeyi kapsamıyor, çünkü bugüne kadar henüz orada olmadığı görüldü.”
Indy 500’de Lamalardan Kaçınma
MongoDB’nin Sorgulanabilir Şifrelemesi, veritabanı alanlarını şifreler; bu, bilgilerin her zaman kriptografik olarak güvenli olduğu, ancak yine de arama için kullanılabileceği anlamına gelir. Bilgilerin şifresini çözmeye yönelik anahtarlar, her istemcide saklanır ve yalnızca belirli kişilere ve cihazlara hassas alanların şifresini çözme yeteneği verir. Bir veritabanı yöneticisi bile, uygun anahtarlara sahip olmadıkça her alanın şifresini çözemez.
Teknolojileri gerçeğe dönüştürmek, küçük akademik kriptograf grupları tarafından yapılan araştırmalara dayanıyordu. Örneğin, Sorgulanabilir Şifreleme, her ikisi de Brown Üniversitesi’nden Seny Kamara ve Tarik Moataz’ın 2021’de MongoDB tarafından satın alınan Aroki Software adlı bir girişim kurmaya devam eden çalışmalarından geldi.
MongoDB’den White, Ocak ayında USENIX ENIGMA Konferansında yaptığı bir sunumda, Sorgulanabilir Şifrelemenin amacının, gerçekten yararlı sorguları işleyebilen ve geliştiriciler için yeteneği kolaylaştıran teknolojiyi sunmak olduğunu söyledi. Tüm bunların anahtarı, performansın engel olmaması gerektiğidir, dedi.
“Alt doğrusal olmalı – 1.000 belge, bir milyon, 5 milyon ve 100 milyon belge arasındaki fark, alt doğrusal olmalı” dedi. “Akademik çalışmaların çoğu süper doğrusal bir şekilde yapıldı, bu nedenle 10 kayıtta veya 100, 1.000, 5.000 kayıtta harika çalışıyor – bunun ötesinde, acı verici. Ve buna daha fazla CPU atabilirsiniz, ancak siz Bu, Indy 500’de lamalarla yarışmak gibi bir şey – yapabileceğiniz çok şey var.”
Tamamen homomorfik şifreleme (FHE) gibi diğer teknolojiler, şifrelenmiş veriler üzerinde daha kapsamlı operasyonlara izin vermeyi vaat ediyor ve ABD Savunma Bakanlığı tarafından kapsamlı bir şekilde finanse ediliyor. Intel ve Microsoft’tan bir ekip, 2021’de DARPA Sanal Ortamlarda Veri Koruma (DPRIVE) programı kapsamında DoD ile çok yıllı bir araştırma hibesi imzaladı. Ocak ayında, başka bir DPRIVE hibe alıcısı olan Duality Technologies, şifrelenmiş veriler üzerinde makine öğrenimi işlemeyi hızlandırmak için bu programın 2. Aşamasına atandığını duyurdu.
Duality Technologies’in baş teknoloji sorumlusu Kurt Rohloff, “Çoğu şifreleme şeması gibi, yapılandırılmış şifreleme, veri gizliliğini korur – bu, verilerin, yalnızca verileri alması onaylanan kişilerin bu verilere gerçekten erişebileceği bir şekilde korunduğu anlamına gelir” diyor. “FHE ayrıca veri gizliliği sağlar, ancak şifre çözme gerektirmeden veriler üzerinde daha fazla işlem yapılmasına izin verir.”
Daha Fazla Test Gerekli
Yeni şifreleme modelleri ve teknolojileri, genellikle bir test ve değerlendirme maratonunu gerektirir. MongoDB’nin Sorgulanabilir Şifrelemesi, yaklaşımı açıklayan birkaç makale ile yapılandırılmış şifreleme üzerine akademik araştırmalardan kaynaklanmıştır. FHE, onlarca yıllık araştırma ve açık geliştirmeye sahiptir. Vaultree’nin Kullanımdaki Veri Şifrelemesi, büyük ölçüde bir kara kutu olmaya devam ediyor, ancak CEO Lasmaili bilimsel makalelerin yakında çıkacağına söz veriyor.
Siber güvenlik firması Kaspersky, yaygın şifrelemenin olasılıkları hakkındaki bir blogda, bu tür teknolojilerin büyük bir gözetim gerektirdiği konusunda uyardı çünkü küçük yanlış adımlar bile sistemlerin güvenliğini baltalayabilir.
Şirket, “Bu, pratik kriptografinin yaygın bir sorunu oluyor – bir bilgi sisteminin geliştiricileri, kendi özel veri şifreleme gereksinimlerini karşılayan şirket içinde bir şey üretmeye mecbur hissettiklerinde” dedi. “Bu ‘bir şey’, geliştirme süreci en son bilimsel araştırmaları hesaba katmadığı için genellikle savunmasız hale geliyor.”
Kullanımda şifreleme, mevcut durumunda kullanılabilir olduğu için erken bir ipucu talep edebilirken, FHE’deki atılımlar uzun vadede kazanabilir, özellikle de kuantum hesaplama bir farklılaştırıcı olabilir. Duality Technologies’den Rohloff, FHE’nin özellikle kuantum sonrası şifreleme dünyasında işlevsel ve güvenlik avantajlarına sahip olmaya devam ettiğini söylüyor.
“Tam homomorfik şifreleme, genel yapılandırılmış şifrelemeye kıyasla üzerinde çok daha güvenli işlemlere izin veriyor” diyor. “Yapılandırılmış şifrelemenin tüm varyasyonları [are] kuantum bilgisayar saldırılarına karşı korunur, ancak kullanılan tüm tamamen homomorfik şifreleme şemalarının kuantum bilgisayar saldırılarına karşı korunduğuna inanılır.”