Format Preserving Encryption (FPE) ist eine Verschlüsselungsalgorithmus wodurch das Format der Informationen während der Übertragung erhalten bleibt verschlüsselt. FPE ist schwächer als Standard Erweiterter Verschlüsselungsstandard (AES), aber FPE kann sowohl die Länge als auch das Format der Daten beibehalten. FPE arbeitet mit vorhandenen Datenbanken, um Daten zu verschlüsseln und dabei das gleiche Format beizubehalten. So werden Daten verschlüsselt, ohne die Funktion vorhandener Anwendungen zu beeinträchtigen.
Formaterhaltende Verschlüsselung (FPE)
FPE verschlüsselt nimmt LEAPnText und konvertiert es in Geheimtext, im gleichen Format. Ein Beispiel hierfür ist oben zu sehen. Durch Beibehaltung des Formats kann eine Anwendung Operationen mit Daten durchführen, als wären es Klartext, ohne die verschlüsselten sensiblen Informationen preiszugeben. Persönlich identifizierbare Informationen (PII), Kreditkarteninformationen, Sozialversicherungsnummern und andere sensible Daten werden normalerweise mit Formaterhaltender Verschlüsselung verschlüsselt. FPE hat drei verschiedene Betriebsmodi: FF1, FF2 und FF3, die zusammen als FFX bezeichnet werden.
Alle drei Verfahren verwenden die AES-Blockchiffre zur Verschlüsselung. Der zweite Modus, FF2, wurde zwar entwickelt, aber nie vom National Institute of Standards and Technology (NIST) genehmigt. Stattdessen wurden FF1 und FF3 genehmigt. FF1 ist die am häufigsten verwendete Version, da ein kryptanalytischer Angriff auf die FF3-Methode Schwachstellen aufzeigte. Dieser Angriff ergab, dass das vorgeschlagene 128-Bit-Sicherheitsniveau nicht erreicht wurde. Als Reaktion darauf wurde Anfang 2019 eine Methode namens FF3-1 entwickelt, die diese Probleme behebt.
FPE funktioniert hervorragend mit bestehenden und neuen Anwendungen. Benötigt eine Anwendung Daten einer bestimmten Länge und eines bestimmten Formats, kann FPE auf die Daten angewendet werden, um sie zu verschlüsseln, ohne dass die Anwendung geändert werden muss. Dies funktioniert besonders gut mit Software, die keine langen Datenstrings verarbeiten kann. Die formaterhaltende Verschlüsselung ist ein gültiger Verschlüsselungsalgorithmus zur Einhaltung der NIST-Standards. Die NIST-Publikation NIST 800-38G befasst sich mit FPE. Diese NIST-Publikation konzentriert sich auf die drei Methoden der formaterhaltenden Verschlüsselung und beschreibt die technischen Details der einzelnen Betriebsarten.
FPE in der Cloud
Viele Anbieter bieten FPE mit ihren Diensten an, darunter Comforte, HashiCorp, Futurex und Xmart Solutions. Einige Cloud-Service-Anbieter (CSPs) bieten Optionen zur Nutzung von FPE innerhalb ihrer Plattform an, allerdings deutlich weniger als reguläre Anbieter. Von den drei größten CSPs, Microsoft Azure, Amazon Web Services (AWS) und Google Cloud Platform (GCP), bietet nur GCP seinen Benutzern die Möglichkeit, mit formaterhaltender Verschlüsselung zu arbeiten.
Mit FFX ermöglicht die Google Cloud Platform den Zugriff auf die FPE-Methoden FF1 und FF3, wobei FF1 die häufiger verwendete Methode ist. FFX verwendet mehrere Runden einer Feistel-Funktion auf dem Klartext zusammen mit einem Schlüssel, um den Geheimtext zu erstellen. Ein Feistel-Funktion teilt den Klartext in zwei Teile, permutiert den Text, um sein Aussehen zu ändern, und tauscht dann die linke Texthälfte gegen die rechte und umgekehrt. Die FF1-Methode verwendet 10 Runden einer Feistel-Funktion, und FF3 verwendet 8 Runden.
Für einen Benutzer, der die Prävention vor Datenverlust (CLD) API Um in GCP mit FFX zu verschlüsseln, muss ein Alphabet angegeben werden, das zum Verschlüsseln des Klartexts verwendet werden soll. Dies kann durch die Verwendung eines verkürzten Namens eines der vier gängigsten Alphabettypen erfolgen. NUMERIC gibt die Zahlen 0–9 an, HEXADECIMAL umfasst das NUMERIC-Alphabet zusammen mit A–F, UPPER_CASE_ALPHA_NUMERIC steht für 0–9 und A–Z und ALPHA_NUMERIC gibt 0–9, A–Z und A–Z an. Benutzer können auch einen Basiswert verwenden, der die Größe des Alphabets angibt. Die Angabe von 2 ergibt ein Alphabet, das aus den Zahlen 0 und 1 besteht, während die Angabe von 95 ein Alphabet mit allen numerischen Zeichen, Großbuchstaben, Kleinbuchstaben und Sonderzeichen ergibt. Die letzte Möglichkeit, das Alphabet anzugeben, besteht darin, die genauen Zahlen, Sonderzeichen und Buchstaben anzugeben, die im Alphabet enthalten sind.
Die Verschlüsselung mit FPE auf GCP kann zu einem Bild wie dem vorherigen Bild führen. Bei unstrukturierten Daten kann dem Chiffretext auch eine Surrogat-Annotation vorangestellt werden. Ein Chiffretext mit einer Surrogat-Annotation folgt diesem Format:
SURROGATE_INFOTYPE(SURROGATE_LENGTH): SURROGATE_VALUE
Der Surrogate_Infotyp wird vom Benutzer gewählt und kann ein beliebiges Wort sein. Die Surrogate_Länge gibt die Länge des Surrogate_Werts an, und der Surrogate_Wert ist der Chiffretext selbst. Ein Beispiel für einen Chiffretext mit einer Surrogat-Annotation ist:
FaKeInFoTyPe(13): 182-123-3596
FPE mit Verschlüsselungsberatung
Verschlüsselungsberatung bietet blogs Bereitstellung von Informationen für alle Organisationen und Benutzer, die mehr über FPE erfahren möchten. Wir bieten auch Ressourcen zur Nutzung der FPE-Optionen der Google Cloud Platform. Eimerschutz und Cloud-Datenschutz Beide arbeiten mit den DLP- und Key Management Services (KMS)-APIs, um Daten zu verschlüsseln, die an Google Cloud Storage gesendet werden, oder Daten in der lokalen Datenbank einer Organisation mit FPE. Bucket Protector und Cloud Data Protector fallen unter die Schutz von Cloud-Datenseen Von Encryption Consulting angebotene Dienste zum Schutz von Daten in den Phasen der Datenspeicherung und Datenaufnahme des Cloud Data Lake-Lebenszyklus.