ESET Glossary – جدول المحتويات

تشفير

التشفير هو خلط المعلومات (تحويل النص العادي إلى نص مشفر) حتى لا يتمكن الأشخاص غير المصرح لهم من الوصول إليه. في حالة فقدان البيانات في شكل مشفر أو سرقتها، يكون هناك حد أدنى من خطر الكشف لأن المهاجم لن يكون لديه مفتاح فك التشفير.

في الشركة، يحمي التشفير الملكية الفكرية للشركة ومعرفتها، بالإضافة إلى البيانات الشخصية للعملاء والموظفين وشركاء الأعمال.

يمكن تحقيق الدخل من كل هذا أو إساءة استخدامه من قبل مهاجم أو لص.

تشفير البيانات كجزء من الأمان عبر الإنترنت

يمكن أن يحدث الاتصال عبر بروتوكول HTTPS عند نقل البيانات عبر الإنترنت، على سبيل المثال، عند الوصول إلى مواقع الويب. يستخدم هذا البروتوكول بروتوكول TLS/SSL لتشفير الاتصال. وهذا يضمن تشفير المعلومات الحساسة، مثل تفاصيل تسجيل الدخول أو الدفع، وحمايتها أثناء الإرسال.

تدعم بعض خدمات البريد الإلكتروني أيضًا تشفير نقل البيانات (على سبيل المثال، باستخدام TLS/SSL) أو التشفير من طرف إلى طرف، وهو أمر مفيد إذا قمت بإرسال معلومات حساسة.

يتم استخدام تشفير القرص الكامل لحماية البيانات المخزنة على الأجهزة. يساعد هذا الإجراء على حماية محتويات البيانات الموجودة على القرص في حالة فقد الجهاز أو سرقته.

يُستخدم التشفير أيضًا عند نسخ البيانات احتياطيًا. إذا تمكن شخص ما من الوصول إلى النسخ الاحتياطي، فلن يتمكن من قراءتها إلا باستخدام المفتاح الصحيح.

يمكن تخزين البيانات الحساسة على التخزين المشفر، مثل محرك أقراص مشفر خارجي أو تخزين سحابي بآليات تشفير متقدمة.

لماذا تستخدم التشفير؟

بالنسبة للمستخدم العادي، يمكن أن يوفر التشفير العديد من الفوائد، خاصة فيما يتعلق بالأمان وحماية المعلومات الحساسة. فيما يلي بعض الفوائد الرئيسية للتشفير للمستخدم العادي:

  • يحمي التشفير المعلومات الشخصية، مثل كلمات المرور والتفاصيل المصرفية والمعلومات الحساسة الأخرى، من الوصول غير المصرح به، مما يساعد على حماية خصوصية المستخدم.
  • يقلل التشفير من خطر سرقة البيانات عند إجراء المعاملات عبر الإنترنت مثل المشتريات أو المدفوعات أو الخدمات المصرفية.
  • استخدام اتصالات البريد الإلكتروني المشفرة يحمي محتوى رسائل البريد الإلكتروني من الأشخاص غير المصرح لهم. عندما يتصل المستخدم بشبكة Wi-Fi عامة، يمنع التشفير المهاجمين من مراقبة البيانات التي يتم إرسالها واعتراضها، مما يعزز أمان الاتصال.
  • يعمل تشفير القرص على أجهزة مثل أجهزة الكمبيوتر والهواتف المحمولة على حماية البيانات حتى في حالة فقد الجهاز أو سرقته.
  • عند استخدام التخزين السحابي، يحمي التشفير البيانات التي تم تحميلها من الوصول غير المصرح به من قبل مزودي الخدمة أو الأطراف الثالثة.
  • يمكن أن يكون التشفير بمثابة دفاع فعال ضد برامج الفدية. تقلل أدوات الاتصال المشفرة (مثل الدردشات المشفرة) من خطر إساءة استخدام محتوى الاتصال.

طرق تشفير البيانات المحددة

تشفير البيانات في حالة السكون

تشفير القرص الكامل - يتم تشفير القرص بالكامل تلقائيًا، لذلك لا يمكن للمستخدم التحكم في ما إذا كان الملف مخزنًا مشفرًا أم لا. ومع ذلك، يجب مراعاة المتطلبات العالية للأجهزة والوقت للتشفير.

التشفير على مستوى الملف أو المجلد - يقوم المستخدم بتحديد البيانات التي يريد حمايتها وتشفيرها فقط. يتم دائمًا تشفير المجلدات أو الملفات الفردية بمفتاح واحد يمكن استخدامه لفك تشفيرها مرة أخرى. التشفير أسرع من تشفير القرص الكامل، ومتطلبات الأجهزة أقل.

تشفير البيانات أثناء النقل

التشفير من طرف إلى طرف (E2E) —هذه طريقة يتم فيها تشفير المعلومات وفك تشفيرها فقط في الأجهزة الطرفية. هذا يضمن سرية البيانات التي يتم إرسالها ويزيل مخاطر الاعتراض أو المعالجة على الخادم الذي يتوسط الاتصال. غالبًا ما يجمع بين التشفير المتماثل وغير المتماثل أو يستخدم تبادل مفاتيح Diffie-Hellman.

تشفير العميل إلى الخادم (C2S) —طريقة يتم فيها تشفير الرسالة فقط للخادم الذي يمر الاتصال من خلاله، ولكن يتم تشغيل البيانات بدون تشفير بين العميل والخادم. هذا الشكل من تشفير الاتصالات ليس الأكثر أمانًا لأنه يمكن التنصت عليه من قبل المهاجم.

لماذا تشفير بيانات الشركة؟

يوفر التشفير طبقة من الحماية للمعلومات الشخصية للموظفين والبيانات المالية والأسرار التجارية والخطط الاستراتيجية. يساعد هذا في منع الوصول غير المصرح به وإساءة استخدام هذه البيانات.

وضعت العديد من الصناعات المعايير واللوائح القانونية التي تتطلب حماية المعلومات الحساسة. يمكن أن يساعد التشفير الأعمال على الامتثال لهذه المعايير وتقليل مخاطر الغرامات أو المشكلات القانونية.

يساعد التشفير على حماية البيانات من الوصول غير المشروع أو التسرب في حالة فقدان الجهاز أو خرق الأمان من داخل الشركة أو خارجها. لذلك، يحمي التشفير أيضًا من التهديدات الداخلية، مثل الموظفين الذين لديهم وصول غير مصرح به.

يمكن أن يؤدي تسرب المعلومات الحساسة إلى الإضرار بسمعة الشركة بشكل خطير. يساهم تشفير البيانات في بناء صورة مؤسسية جديرة بالثقة ويشير إلى أن الشركة مهتمة بنشاط بأمن بياناتها وعملائها.

التشفير واللوائح

التشفير مطلوب أيضًا أو موصى به من قبل العديد من اللوائح والقوانين اليوم، بما في ذلك GDPR و NIS2 و PCI-DSS و HIPAA و SOX و GLBA. تقل احتمالية اعتبار خروقات البيانات فشلًا في الامتثال عندما يتم تشفير البيانات الشخصية بشكل صحيح.

التشفير مطلوب أيضًا بموجب العديد من اللوائح والقوانين

كيفية تأمين تشفير البيانات؟

يتطلب تأمين تشفير البيانات مجموعة من التدابير الفنية وإدارة السياسة وتدريب الموظفين. فيما يلي الخطوات التي يمكنك اتخاذها لتأمين تشفير البيانات في عملك:

  • قم بإنشاء سياسة أمان واضحة وشاملة تتضمن تشفير البيانات. حدد البيانات التي سيتم تشفيرها، وبأي طرق، ومن سيصل إلى البيانات التي تم فك تشفيرها.
  • استخدم VPN (الشبكة الافتراضية الخاصة) للاتصال عن بعد بالشبكة بأمان وتشفير رسائل البريد الإلكتروني عند نقل المعلومات الحساسة.
  • استخدم تشفير القرص للأجهزة مثل أجهزة الكمبيوتر وأجهزة الكمبيوتر المحمولة والهواتف المحمولة. يحمي تشفير القرص البيانات المخزنة على الجهاز ويوفر طبقة من الأمان، حتى في حالة فقدها أو سرقتها.
  • إذا كنت تستخدم الخدمات السحابية، فتأكد من أن مقدمي الخدمة يدعمون تشفير البيانات أثناء الراحة وأثناء النقل.
  • تعد إدارة مفاتيح التشفير عنصرًا أساسيًا في عملية التشفير. ضمان التخزين الآمن وإدارة مفاتيح التشفير. قم بتجديدها بانتظام ومراقبة استخدامها.
  • تنفيذ المصادقة متعددة العوامل (2FA) للوصول إلى الأنظمة والبيانات الحساسة. يوفر هذا طبقة إضافية من الحماية حتى في حالة اختراق كلمة المرور.
  • راقب البيانات المشفرة بانتظام وقم بإجراء عمليات التدقيق. الاستجابة للنشاط أو الحوادث غير العادية.
  • تأكد من أن الموظفين على دراية بإجراءات الأمان المتعلقة بالتشفير. يجب أن يشمل التدريب أهمية التشفير وإجراءات التعامل الآمن مع البيانات المشفرة.
  • حافظ على تحديث برامج وأنظمة التشفير. قم بعمل نسخة احتياطية من البيانات المشفرة بانتظام لتقليل مخاطر فقدان البيانات أثناء المشكلات الرئيسية أو الحوادث الأخرى.

أنواع التشفير

يستخدم التشفير المتماثل مفتاحًا واحدًا للتشفير وفك التشفير، وهو ما يجب أن تعرفه الأطراف المتصلة.

يستخدم التشفير غير المتماثل زوجًا من المفاتيح: مفتاح عام (لا يحتاج مستلم الرسالة إلى معرفته) ومفتاح خاص (لا يعرفه المرسل). وبالتالي، فإن التشفير غير المتماثل يسمح بالاتصال السري والمصادقة وتحديد المرسل. يمكن للشهادة الرقمية التحقق من صحة المفتاح العام.

خوارزميات التشفير المتماثل الموصى بها

  • معيار التشفير المتقدم (AES) - طول المفتاح: 128 و192 و256 بت
  • TwoFish - طول المفتاح: 128 إلى 256 بت
  • كاميليا - طول المفتاح: 128 و192 و256 بت
  • الثعبان - طول المفتاح: 128 و192 و256 بت
  • سنو 2.0، سنو 3 جي - طول المفتاح: 128، 256 بت

المصدر: نوكيب، 2022)

تبادل مفاتيح ديفي-هيلمان (D-H)

طريقة لتبادل مفاتيح التشفير بأمان عبر قناة عامة. إنه أحد البروتوكولات الأولى والأمثلة العملية لتبادل المفاتيح العامة المنفذة في التشفير.

RSA (ريفيست شامير أدلمان)

الخوارزمية الأولى مناسبة للتشفير والتوقيع الإلكتروني (إرفاق توقيع رقمي تم التحقق منه برسالة بيانات).