Zum Inhalt

47-Tage-Zertifikate sind in Planung. Bist du bereit?

Jetzt handeln →

  1. Blogs
    2. Cloud-Schlüsselverwaltung

Formaterhaltende Verschlüsselung (FPE) – Verwendung auf GCP

Geschrieben vonRiley Dickens 4 Minuten
Data Loss Prevention im Cloud Computing
Inhaltsverzeichnis

Online-Datensicherheit war schon immer wichtig, aber heute ist sie wichtiger denn je. Da immer mehr Daten in der Cloud gespeichert werden, müssen Nutzer nach den besten Sicherheitslösungen suchen, um ihre vertraulichen Informationen zu schützen. Obwohl alle Aspekte der Online-Datensicherheit für den Schutz von Daten notwendig sind, ist der wichtigste Aspekt wohl der Datenschutz. Verschlüsselung.

Aus diesem Grund verwenden immer mehr Cloud-Dienste eine Art Verschlüsselung namens Formaterhaltende Verschlüsselung.

Was ist formaterhaltende Verschlüsselung?

Wenn Ihr Unternehmen mehrere 16-stellige Kreditkartennummern in einer Datenbank gespeichert hat, die verschlüsselten Geheimtext muss auch nach der Verschlüsselung 16-stellig sein, hier kommt die formaterhaltende Verschlüsselung [FPE] ins Spiel. FPE verschlüsselt Klartext Das hat eine bestimmte Länge und erzeugt einen Geheimtext, der die gleiche Länge wie der Klartext hat und denselben Wertesatz wie der Klartext verwendet. Im vorherigen Beispiel einer 16-stelligen Kreditkartennummer mit dem Klartext 1483920193402918 könnte der mit FPE erstellte Geheimtext eine Ausgabe von 1483666666662918.

Durch die Verwendung von FPE können Sie sicherstellen, dass Chiffretext und Klartext die gleiche Länge haben und nur numerische Werte für die Verschlüsselung verwendet werden. Ein Cloud-Anbieter, der Benutzern die Implementierung von FPE in ihre Verschlüsselung ermöglicht, ist Google Cloud.

Maßgeschneiderte Cloud-Schlüsselverwaltungsdienste

Erhalten Sie flexible und anpassbare Beratungsdienste, die auf Ihre Cloud-Anforderungen abgestimmt sind.

Mehr erfahren

Formaterhaltende Verschlüsselung in Google Cloud

Google Cloud bietet Benutzern Zugriff auf eine De-Identifizierungstechnik namens Pseudonymisierung. Pseudonymisierung ist eine Technik, die sensible Daten durch kryptografisch generierte Token ersetzt. Google Cloud unterstützt drei verschiedene Pseudonymisierungstechniken:

  1. Deterministische Verschlüsselung mit AES-SIV
  2. Formaterhaltende Verschlüsselung
  3. Kryptografisches Hashing

Alle drei Techniken verwenden kryptografische Schlüssel zur Datentransformation, aber wir konzentrieren uns auf die Formaterhaltende Verschlüsselung.
Google Cloud verwendet einen FPE-Typ namens FPE-FFX. FFX konzentriert sich auf zwei verschiedene FPE-Methoden, FF1 und FF3, zur Verschlüsselung von Daten. Zum Zeitpunkt der Erstellung dieses Artikels ist FF1 die einzige derzeit unterstützte Verschlüsselungsmethode. FF2 wurde zum Zeitpunkt der Erstellung von FFX nicht veröffentlicht. FF2- und FF3-Ableitungen werden erneut eingereicht, aber nach einem kryptanalytischen Angriff im Jahr 2017 galt FF3 als zu unsicher.

FFX verwendet mehrere Runden einer Feistel-Funktion auf dem Klartext und verwendet einen Schlüssel, um den Geheimtext zu erstellen. Eine Feistel-Funktion teilt den Klartext in zwei Teile und führt in jeder Runde eine Permutation auf jeder Hälfte des Klartexts durch. Anschließend wird die linke Texthälfte mit der rechten vertauscht und umgekehrt. Die FF1-Methode verwendet 10 Runden der Feistel-Funktion, FF3 8 Runden. FPE-FFX erfordert mehrere Schritte zur Verschlüsselung der Daten. Um mit der Verschlüsselung zu beginnen, muss das zur Anonymisierung der Daten verwendete Alphabet auf eine von drei Arten angegeben werden:

  1. Verwenden Sie einen von vier Werten, die die gängigsten Zeichensätze/Alphabete darstellen
  2. Verwenden Sie einen Basiswert, der die Größe des Alphabets angibt. Bei Angabe von 2 ergibt sich ein Alphabet bestehend aus den Zahlen 0 und 1, bei Angabe von 95 ein Alphabet bestehend aus allen Ziffern, Großbuchstaben, Kleinbuchstaben und Sonderzeichen.
  3. Durch die Erstellung eines Alphabets, das genau die zu verwendenden Zeichen enthält

Bei der Verwendung von FPE-FFX in Google Cloud werden die Daten wie zuvor beschrieben verschlüsselt. Zusätzlich kann eine Surrogat-Annotation vorangestellt werden, wodurch ein endgültiges Token entsteht. Das Token hat die folgende Form, wenn eine Surrogat-Annotation enthalten ist: Ersatzinfotyp (Ersatzlänge): Ersatzwert. Die Surrogat-Annotation lautet surrogate_infotype(surrogate_length). Der Infotyp wird vom Benutzer definiert und der Surrogatwert ist der resultierende Chiffretext. Wenn keine Surrogat-Annotation angegeben ist, ist das endgültige Token nur der Surrogatwert. Zur erneuten Identifizierung unstrukturierter Daten ist das vollständige Token einschließlich einer Surrogat-Annotation erforderlich, während für strukturierte Daten nur der Surrogatwert benötigt wird.

Fazit

Die formaterhaltende Verschlüsselung ist äußerst wichtig für Benutzer, die den verschlüsselten Text nach der Verschlüsselung in der gleichen Länge wie den Klartext halten möchten. Von den verschiedenen FPE-FFX-Methoden, die in Google Cloud verwendet werden, FF1 ist aufgrund der zusätzlichen Runden der Feistel-Funktion, die es durchläuft, die beste Methode.

Bei strukturierten Daten muss dem Chiffretext eine Ersatzanmerkung vorangestellt werden, um eine erneute Identifizierung der Daten zu ermöglichen. Cumolocity verfügt über eine leistungsstarke FPE-Implementierung für den Kundeneinsatz. Für diejenigen, die Klartext und Chiffretext gleicher Länge benötigen, ist FPE-FFX von Google Cloud die beste Wahl.

Entdecken Sie unsere

Verwandte Blogs

Microsoft Azure ist einer der drei größten Cloud-Service-Anbieter, die heute von Unternehmen genutzt werden. Die beiden anderen, die hauptsächlich von Unternehmen genutzt werden, sind Amazon Web Services (AWS) und Google Cloud Platform (GCP). Angesichts der aktuellen Lage verlagern viele Unternehmen ihre Dienste auf eine teilweise oder vollständig Cloud-basierte Plattform wie Azure oder AWS.

Wie können Sie mit Microsoft Azure die Produktivität Ihrer Organisationen steigern?

2. Februar 2022
Einführung in das Krypto-Shreddern

Machen Sie sich mit dem neuen Konzept des Crypto-Shredding vertraut

August 20, 2021
Unterschiede zwischen AWS KMS Azure Key Vault und GCP KMS

AWS KMS vs. Azure Key Vault vs. GCP KMS

Juli 23, 2021

Entdecken

Weitere Themen