El cifrado con preservación de formato, o FPE, es un algoritmo de cifrado que conserva el formato de la información mientras se está procesando. cifrado. El FPE es más débil que el estándar Advanced Encryption Standard (AES)Sin embargo, FPE puede preservar la longitud y el formato de los datos. FPE trabaja con bases de datos existentes para cifrar los datos, manteniéndolos en el mismo formato, sin afectar la funcionalidad de las aplicaciones existentes.
Cifrado con preservación de formato (FPE)
FPE cifra las tomas LEAPnenvíenos mensaje de texto y lo convierte a texto cifrado, del mismo formato. Un ejemplo de esto se ve arriba. Al mantener el mismo formato, una aplicación puede operar con los datos como si fueran texto plano, sin revelar la información confidencial cifrada. La información de identificación personal (PII), la información de tarjetas de crédito, los números de la seguridad social y otros datos confidenciales normalmente se cifran con cifrado con preservación del formato. FPE tiene tres modos de operación diferentes: FF1, FF2 y FF3, que en conjunto se denominan FFX.
Los tres métodos de operación utilizan el cifrado por bloques AES. El segundo modo, FF2, fue creado, pero nunca fue aprobado por el Instituto Nacional de Estándares y Tecnología (NIST). En su lugar, se aprobaron FF1 y FF3. FF1 es la versión más utilizada debido a un ataque criptoanalítico realizado contra el método FF3, que demostró sus fallas. Este ataque descubrió que no se alcanzaba el nivel de seguridad propuesto de 128 bits. En respuesta, a principios de 2019 se creó un método llamado FF3-1, que solucionó estos problemas.
El FPE funciona de maravilla tanto con aplicaciones existentes como con nuevas. Si una aplicación necesita datos de cierta longitud y formato, se puede aplicar el FPE para cifrarlos sin necesidad de modificar la aplicación. Esto funciona especialmente bien con software que no puede gestionar cadenas de datos largas. El cifrado con preservación de formato es un algoritmo de cifrado válido para cumplir con los estándares del NIST. Se creó una publicación del NIST, denominada NIST 800-38G, para abordar el FPE. Esta publicación se centra en los tres métodos de cifrado con preservación de formato y describe los detalles técnicos de cada modo de operación.
FPE en la nube
Muchos proveedores ofrecen FPE con sus servicios, incluidos Comforte, HashiCorp, Futurex y Xmart Solutions. Algunos proveedores de servicios en la nube (CSP) Ofrecen opciones para utilizar FPE en su plataforma, pero son mucho menos que los proveedores habituales. De los tres principales proveedores de servicios de computación en la nube (CSP), Microsoft Azure, Amazon Web Services (AWS) y Google Cloud Platform (GCP), solo GCP ofrece a los usuarios la posibilidad de trabajar con cifrado con preservación de formato.
Con FFX, Google Cloud Platform permite a los usuarios acceder a los métodos FPE de FF1 y FF3, aunque FF1 es el método más común. FFX utiliza múltiples rondas de una función Feistel en el texto sin formato, junto con una clave, para crear el texto cifrado. Función Feistel Divide el texto sin formato en dos partes, lo permuta para cambiar su apariencia y luego intercambia la mitad izquierda del texto con la derecha y viceversa. El método FF1 utiliza 10 rondas de una función Feistel, mientras que FF3 utiliza 8 rondas.
Para un usuario que utiliza el Prevención de pérdida de datos (DLP) API En GCP, para cifrar con FFX, se debe especificar el alfabeto que se usará para cifrar el texto sin formato. Esto se puede hacer usando un nombre abreviado de uno de los cuatro tipos de alfabeto más comunes. NUMERIC especifica los números del 0 al 9, HEXADECIMAL incluye el alfabeto NUMERIC junto con AF, UPPER_CASE_ALPHA_NUMERIC es para 0-9 y AZ, y ALPHA_NUMERIC especifica 0-9, AZ y az. Los usuarios también pueden usar un valor de base que especifique el tamaño del alfabeto. Especificar 2 da como resultado un alfabeto compuesto por los números 0 y 1, mientras que especificar 95 da como resultado un alfabeto con todos los caracteres numéricos, alfabéticos en mayúsculas, alfabéticos en minúsculas y símbolos. La última forma de especificar el alfabeto es proporcionando los números, símbolos y letras exactos que lo componen.
El cifrado con FPE en GCP puede generar una imagen similar a la anterior, o bien, si los datos no están estructurados, una anotación sustituta puede preceder al texto cifrado. Un texto cifrado con una anotación sustituta seguirá este formato:
TIPO_DE_INFOSUSTITUTO(LONGITUD_SUSTITUTO): VALOR_SUSTITUTO
El usuario elige el infotipo surrogate_infotype y puede ser cualquier palabra. La longitud surrogate_length indica la longitud del valor surrogate_value, y este es el texto cifrado en sí. Un ejemplo de texto cifrado con una anotación surrogate_value es:
TipoFalso(13): 182-123-3596
FPE con consultoría de cifrado
Consultoría de cifrado ofrece blogs Proporcionamos información a cualquier organización o usuario que desee obtener más información sobre FPE. También ofrecemos recursos que utilizan las opciones de FPE de Google Cloud Platform. Protector de cubo y el Protector de datos en la nube Ambos funcionan con las API de DLP y Key Management Services (KMS) para cifrar los datos que se envían a Google Cloud Storage o los datos de la base de datos local de una organización con FPE. Bucket Protector y Cloud Data Protector se incluyen en Protección de lagos de datos en la nube servicios ofrecidos por Encryption Consulting, protegiendo datos en las fases de Almacenamiento de Datos e Ingestión de Datos del Ciclo de Vida de Cloud Data Lake.