Raport Specjalny | Bezpieczeństwo Banków | W ruchu cyfrowym także należy stosować zasadę ograniczonego zaufania

Raport Specjalny | Bezpieczeństwo Banków | W ruchu cyfrowym także należy stosować zasadę ograniczonego zaufania
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Dzięki tzw. szyfrowaniu homomorficznemu kilka banków mogłoby połączyć swoje dane dotyczące transakcji, zaszyfrować je i wspólnie na nich pracować, zachowując poufność danych swoich klientów. Pozwoliłoby to im razem wypracować choćby mechanizmy śledzenia prania brudnych pieniędzy lub innych niedozwolonych przepływów gotówkowych. Dlatego homomorficzne szyfrowanie to jest to, nad czym dziś szczególnie pracują teoretycy kryptografii – podkreśla dr inż. Przemysław Błaśkiewicz z Katedry Podstaw Informatyki Politechniki Wrocławskiej, specjalizujący się w bezpieczeństwie komputerowym i kryptografii. Rozmawiał z nim Bohdan Szafrański.

Czy kryptografia rzeczywiście może nam dziś zagwarantować bezpieczeństwo?

– Warto zastanowić się, jaką rolę odgrywa kryptografia w zastosowaniach związanych z zabezpieczeniami; należy jednak pamiętać, że nie jest ona jedynym bastionem oporu zapewniającym bezpieczeństwo. Jest tylko jednym, choć ważnym i dającym dużo narzędzi, elementem bezpieczeństwa komputerowego i radzi sobie z tym bardzo dobrze. Dla przykładu – myśląc o bezpieczeństwie, możemy rozważać takie jego aspekty, jak niezaprzeczalność transakcji i innych wykonywanych przez użytkowników akcji, zapewnienie anonimowości albo pseudoanonimowości podmiotów w nich uczestniczących oraz zakładać, że nikt nie może podszyć się pod jakiś inny podmiot. Dziś są dostępne skuteczne mechanizmy kryptograficzne do realizacji takich założeń. Jednak ważnym aspektem jest też to, w jaki sposób kryptografia jest stosowana i na to trzeba zwrócić szczególną uwagę.

Kryptografia jest bardzo bliska matematyce i możemy przeprowadzać dowody poprawności pewnych konstrukcji kryptograficznych. Np. stwierdzić, że na obecnym poziomie naszej wiedzy matematycznej i algorytmicznej oraz na obecnym etapie rozwoju technologii komputerowych złamanie danego rozwiązania kryptograficznego jest bardzo mało prawdopodobne. Jednak wcale nie oznacza to, że system, który je implementuje, też będzie bezpieczny. Można powiedzieć, że bezpieczeństwo kryptograficzne nie emanuje swoim bezpieczeństwem na system, w którym dane rozwiązania kryptograficzne są wykorzystywane.

W ostatnich latach nastąpił w kryptografii jakiś znaczący postęp?

– Pewne podwaliny zostały w kryptografii położone już kilkadziesiąt lat temu i są one faktycznie niezmienne. Przykładem jest faktoryzacja dużych liczb, wykorzystywana powszechnie w szyfrowaniu asymetrycznym w algorytmach typu RSA, która dalej funkcjonuje. Również tzw. problem logarytmu dyskretnego jest nadal uznawany za niemożliwy do złamania i jest szeroko wykorzystywany. To, co ostatnio się zmieniło, to paradygmat, zgodnie z którym przestajemy liczyć na zwykłych liczbach, a obliczenia wykonujemy na ich przedłużeniu, czyli na krzywych eliptycznych. Wiąże się to po pierwsze z tym, że liczby, którymi musimy operować, są mniejsze i komputery efektywniej sobie z nimi radzą. Jednocześnie algebra związana z krzywymi eliptycznymi jest znacznie bardziej skomplikowana. W efekcie poziom bezpieczeństwa przy zmniejszeniu parametrów danych algorytmów jest wyższy niż dla parametrów podobnych rozmiarów przy wykorzystaniu zwykłej algebry.

Z drugiej strony, prace w zakresie rozwoju kryptologii wcale się nie zakończyły. Kolejnym wyzwaniem jest choćby tzw. szyfrowanie homomorficzne. Możemy tu zaszyfrować dane i wysłać je innej osobie, która będzie mogła wykonać na nich jakieś operacje (przeprowadzić analizę statystyczną albo dodać jakieś wartości), bez ich odszyfrowywania i uzyska poprawne wyniki swoich operacji, jednocześnie nie dowiadując się niczego o samych danych. To dziś taki Święty Graal kryptografii, czy szerzej mówiąc, obliczeń algebraicznych związanych z kryptografią. Przykładowo, kilka banków mogłoby w ten sposób połączyć swoje dane dotyczące transakcji, zaszyfrować je i wspólnie na nich pracować, zachowując poufność danych swoich klientów. ...

Artykuł jest płatny. Aby uzyskać dostęp można:

  • zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
  • wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
  • wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
  • zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na BANK.pl/sklep.

Uwaga:

  • zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
  • wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).

Komunikat dla uczestników Programu Wiedza online:

  • bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI

Źródło: Miesięcznik Finansowy BANK