Когато става въпрос за сигурността на данните, много анализатори посочват криптографията и криптирането като панацея, която може да защитава структурирани и неструктурирани данни.
Най-общо казано, криптографията е надмножество на криптирането – нещо както Java е надмножество на JDBC, според StackExchange. Криптографията може да гарантира поверителността на данните, да защити данните от неоторизирана модификация и да удостовери източника на данните, в съответствие с IEEE.
Но овладяването на криптографията не е лесно. Тук са дадени шест често срещани капана и как да ги избегнем според IEEE:
1. Създаване или внедряване на ваши собствени криптографски алгоритми. „Проектирането на криптографски алгоритъм (включително протоколи и режими) изисква значителни и редки математически умения и обучения, но дори обучени математици понякога създават алгоритми, които имат леки проблеми – отбелязва групата. – Стандартните алгоритми и библиотеки са за предпочитане.“
2. Неправилно използване на библиотеки и алгоритми. Понякога разработчиците, използвайки стандартните библиотеки, правят погрешни предположения за това как да реализират процедурите на библиотеките, отбелязва IEEE и добавя: „Разбирането на нюансите на даден алгоритъм и на използването на библиотеката е основно умение за практикуващите криптографи.“
3. Слабо управление на ключовете. Внимавайте за системи за управление на ключове, които не позволяват отмяна и/или ротация на ключовете, или за системи, които използват криптографски ключове, които са твърде кратки или предвидими, казва IEEE.
4. Случайност, която не е случайна. „В допълнение към получаване на числа със силни характеристики на криптографска случайност, трябва да се внимава да не се използват повторно случайни числа“ – казва IEEE.
5. Неуспешно централизиране на криптографията. Различни екипи в рамките на вашата организация може да реализират своите собствени криптографски процедури. Вместо това най-добрите практики показват, че е добре да се направи веднъж както трябва и компонентът да се използва навсякъде другаде, твърди IEEE.
6. Липса на възможност за адаптация и развитие на алгоритъма. Бъдете в крак с най-новите тенденции в индустрията или като наемете собствен експерт по алгоритми, или като намерите правилната консултантска експертиза, за да запазите вашата организация от множеството заплахи.
Заключението на IEEE е, че е много трудно правилното използване на криптографията и затова винаги има смисъл да се работи с експерт, ако е във възможностите на организацията.