Tokenizzazione vs. Crittografia: Qual è la migliore per la sicurezza dei dati?

La tokenizzazione e la crittografia sono due facce della stessa medaglia nella sicurezza dei dati. Sebbene condividano somiglianze, la differenza chiave risiede nel modo in cui proteggono i dati sensibili e quando ciascuna è meglio applicata.

Poiché la sicurezza diventa una norma critica, utilizzare pratiche di sicurezza incomplete senza comprendere l'uso della tokenizzazione e della crittografia può portare a vulnerabilità dei dati, rischi informatici o malware.

Valutare le applicazioni della tokenizzazione e della crittografia prima di proteggere i beni dati fornisce sicurezza alle operazioni critiche sui dati e rafforza gli standard di governance e protezione dei dati.

Valutare il tipo corretto di sicurezza dei dati, sia che si tratti di tokenizzazione o crittografia con software di crittografia valuterebbe le potenziali implicazioni e fornirebbe la migliore alternativa.

Nel complesso, una tecnica sarà superiore in base al caso d'uso e ad altri requisiti. Chiunque affermi che una singola tecnologia sia la soluzione per tutto sta cercando di venderti qualcosa. Scopriamo in dettaglio cosa fanno la tokenizzazione e la crittografia.

Approfondiamo la tokenizzazione e la crittografia e comprendiamo questi concetti in dettaglio.

Cos'è la tokenizzazione?

La tokenizzazione sostituisce elementi sensibili o privati con dati non sensibili generati casualmente, chiamati token. Questi token si collegano ai valori effettivi ma non possono essere decodificati.

I token non hanno valore sfruttabile e possono assumere qualsiasi forma. Una piattaforma di tokenizzazione ti aiuta a convertire i dati sensibili in token da utilizzare al loro posto, garantendo la privacy dei dati e la sicurezza.

Fonte: Wikipedia

Descrizione: Questo è un esempio semplificato di come funziona comunemente la tokenizzazione dei pagamenti mobili tramite un'applicazione mobile con una carta di credito.

Come funziona la tokenizzazione

Con la tokenizzazione, puoi accedere alle informazioni originali solo consultando la tabella dei token.

Ecco come funziona il processo:

• Classificazione dei dati identifica i dati sensibili che necessitano di protezione, come informazioni personali identificabili (PII), DSS, HIPAA o altri dati sensibili.
• Generazione di token genera casualmente un token per ogni elemento di dati sensibili. Possono essere caratteri alfanumerici senza significato reale.
• Mappatura dei token collega i token con i dati sensibili originali su una mappa chiave-valore, chiamata anche tabella dei token.
• Processi di sicurezza dei dati memorizzano i dati sensibili in un caveau sicuro e isolato con la tabella dei token. Il caveau è protetto da funzionalità di sicurezza avanzate e controlli di accesso.
• Utilizzo dei dati tokenizzati invia token invece di dati reali ogni volta che un'applicazione richiede l'accesso a informazioni sensibili. Se il sistema ha le autorizzazioni richieste, il motore di tokenizzazione cerca i dati originali collegati ai token.

Ecco un esempio di tokenizzazione:

Fonte: Piiano

Quando si implementa la tokenizzazione, è consigliabile mantenere il sistema di tokenizzazione separato dai sistemi di elaborazione dei dati e dalle applicazioni. Questo riduce il rischio di attacchi di reverse-engineering, inclusi quelli di forza bruta.

Studio della de-tokenizzazione

Gli utenti autorizzati a volte richiedono l'accesso a informazioni sensibili durante i processi di runtime, le transazioni, l'analisi o la reportistica. La de-tokenizzazione li aiuta a recuperare i dati originali dai token.

La de-tokenizzazione consente agli individui di vedere i dati originali, ma solo con accesso privilegiato. Una volta verificato, il caveau cerca il token nella tabella dei token e restituisce i valori originali.

Tipi di tokenizzazione

Esistono due tipi di tokenizzazione: con caveau e senza caveau.

Tokenizzazione tradizionale e con caveau

Nella tokenizzazione tradizionale, le relazioni tra i valori sensibili originali e i token sono memorizzate in una posizione centralizzata. Questo caveau protegge i dati originali in un formato crittografato (per una protezione aggiuntiva). Ogni volta che è richiesto l'accesso ai dati originali, il caveau verifica il permesso di accesso e concede l'accesso ai dati originali se autorizzato.

Tokenizzazione senza caveau

La tokenizzazione senza caveau opera in modo diverso. Invece di memorizzare i dati in una posizione di terze parti, il processo di tokenizzazione avviene sul dispositivo dell'utente. I dati tokenizzati vengono inviati per l'elaborazione per qualsiasi utilizzo, senza mai esporre i dataset originali.

Controlla i dati sensibili degli utenti locali, garantendo la sovranità e la privacy dei dati.

Vantaggi della tokenizzazione

La tokenizzazione può essere un metodo di sicurezza cruciale e semplice per gestire i dati sensibili senza alcun calcolo importante. Di seguito sono riportati alcuni vantaggi della tokenizzazione:

• Sicurezza dei dati: Poiché i dati vengono trasformati in un token completamente diverso che non assomiglia affatto al pacchetto dati originale, questa tecnica può ridurre il rischio di violazioni dei dati e attacchi informatici.
• Audit di conformità: I dati tokenizzati riducono la governance e gli audit di conformità poiché i token non possono essere decodificati per rivelare il vero valore dei dati senza il permesso dell'utente di accedere al caveau dei token.
• Gestione del database: I token sono compatibili con grandi database perché proteggono il database tramite l'incorporamento del caveau. Consente agli specialisti della sicurezza dei dati con conoscenze tecniche modeste di trasmettere i dati in modo sicuro senza renderlo complicato.
• Facilità di calcolo: La tokenizzazione richiede solo un numero di previdenza sociale che aiuta ad accedere al caveau dei token e al valore reale dei dati. A differenza della crittografia, non converte i dati in un formato matematico criptico che richiede competenze adeguate per recuperare il valore originale.

Sfide della tokenizzazione

Sebbene la tokenizzazione sembri un processo semplice ed efficace, ci sono potenziali limitazioni di cui bisogna essere consapevoli:

• Dipendenza dal sistema di tokenizzazione: Un token non può essere decrittografato finché l'utente non ha un numero di previdenza sociale. Per i dati sensibili che richiedono un'azione rapida, come i numeri di carta di credito o l'elaborazione dei pagamenti, la tokenizzazione potrebbe ritardare o interrompere lo scambio di dati tra due server.
• Interoperabilità limitata: I token hanno un'interoperabilità limitata tra vari sistemi operativi e dispositivi. Potrebbe non adattarsi a tutti i tipi di ambienti di calcolo e non può funzionare senza un'autenticazione utente adeguata.
• Problemi di conformità: Sebbene la tokenizzazione riduca i problemi di conformità come PCI DSS o HIPAA, porta sempre il rischio di essere trapelata o infiltrata a causa della mancanza di conformità o governance dei dati.
• Mancanza di scalabilità e universalità: La tokenizzazione non è la "migliore" quando si tratta di proteggere tutti i tipi di flussi di lavoro di trasmissione dei dati poiché funziona solo con dati strutturati. Questo la rende una tecnica "meno preferita" per transazioni di dati più sensibili.

Cos'è la crittografia?

Il miglior software di crittografia trasforma le informazioni leggibili in testo semplice in testo cifrato illeggibile, mascherando le informazioni sensibili dagli utenti non autorizzati. A seconda dell'algoritmo e della dimensione della chiave di crittografia, il processo può variare da semplice a altamente complesso.

La crittografia utilizza modelli matematici per criptare i dati. Solo le parti con chiavi di decrittazione possono decriptarli. Il processo protegge i dati a riposo, in transito o durante l'elaborazione.

Gli obiettivi principali della crittografia includono:

• Confidenzialità dei dati: Garantire che solo le parti autorizzate abbiano accesso ai dati.

• Integrità dei dati: Protegge i dati crittografati dall'essere alterati durante la trasmissione.

• Autenticazione: Aiuta a verificare l'identità della parte di comunicazione.

• Non ripudio: Impedisce a qualsiasi parte di negare il proprio coinvolgimento nella crescita o nell'invio di un determinato pezzo di dati.

Come funziona la crittografia

Man mano che il numero o la lunghezza delle chiavi crittografiche aumenta, aumenta anche la forza della crittografia. Se le chiavi crittografiche sono corte, diventa facile indovinare attraverso tecniche come gli attacchi di forza bruta.

Comprendiamo la crittografia con un esempio. Supponiamo che tu voglia inviare un pacco a un amico e assicurarti che il postino non lo apra. Metterai il pacco in una scatola e lo chiuderai con due codici. Quando usi un codice per chiudere la scatola, avrai bisogno dell'altro codice per aprirla. Questi due codici rappresentano le chiavi pubbliche e private.

In questo caso:

• La chiave pubblica è il codice che condividi apertamente, permettendo a chiunque di chiudere la scatola.
• La chiave privata è il codice confidenziale usato per aprirla.

La crittografia asimmetrica funziona in modo simile: il mittente utilizza una chiave pubblica per crittografare i dati e il destinatario utilizza la chiave privata per decrittografarli. Puoi anche usarla per verificare l'identità del mittente. Supponiamo che tu aggiunga un secondo lucchetto che chiudi con la tua chiave privata. Se il tuo amico può aprirlo usando la tua chiave pubblica, sarà in grado di verificare che l'hai inviato tu.

Esistono altri tipi di crittografia, come la crittografia simmetrica. In questo tipo, il mittente e il destinatario utilizzano la stessa chiave per crittografare o decrittografare i dati.

Tipi di crittografia

Esistono due tipi di software di crittografia: simmetrica e crittografia asimmetrica.

Crittografia simmetrica

La crittografia simmetrica, nota anche come algoritmo a chiave condivisa, utilizza una chiave segreta per cifrare e decifrare le informazioni. È una delle tecniche di crittografia più antiche ed esegue più velocemente, rendendola adatta per trasmettere dati in massa.

Fonte: Wikipedia

Esempi comuni di crittografia simmetrica includono:

• Advanced encryption standard (AES): Il National Institute of Standards and Technology (NIST) ha sviluppato l'AES come alternativa al Data Encryption Standard. Ha tre lunghezze di chiave, tra cui chiavi di crittografia a 128 bit, 192 bit e 256 bit.

• Data encryption standard (DES): Il governo degli Stati Uniti lo ha adottato come standard ufficiale per crittografare i dati informatici nel 1977.

• Triple data encryption standard (3DES): Esegue il DES tre volte con tre chiavi separate.

Crittografia asimmetrica

La crittografia asimmetrica è anche nota come crittografia a chiave pubblica. Ricordi come ci siamo assicurati che il postino non aprisse il pacco? Abbiamo usato la crittografia asimmetrica per assicurarci di ciò.

La crittografia asimmetrica utilizza due chiavi, una chiave pubblica e una chiave privata. Per garantire la riservatezza e l'integrità del messaggio, il mittente di solito rivela la chiave pubblica e i destinatari utilizzano la chiave privata del mittente per decrittografare e leggere il messaggio.

Secure Socket Layer (SSL) o i certificati Transport Layer Security (TLS) utilizzano la crittografia asimmetrica per garantire la sicurezza del sito web.

Fonte: Linkedin

Di seguito sono riportati alcuni esempi di crittografia asimmetrica.

• Rivest-Shamir-Adleman (RSA): I browser utilizzano spesso questo metodo per connettersi a un sito web o a reti private virtuali (VPN) internamente all'interno di un ambiente di sistema.

• Crittografia a curve ellittiche (ECC): Questo metodo combina curve ellittiche e teoria dei numeri per crittografare i dati. Offrono una sicurezza più robusta con chiavi più piccole ed efficienti. Ad esempio, una chiave RSA di 15.360 bit equivale a una chiave ECC di 512 bit.

Studio della decrittazione

La decrittazione è l'inverso della crittografia: converte il testo cifrato in testo semplice, rendendolo leggibile. Come la crittografia, la decrittazione si basa su chiavi crittografiche per ripristinare il testo crittografato alla sua forma originale.

Vantaggi della crittografia

Poiché la crittografia segue la crittografia e garantisce percorsi o protocolli critici durante lo scambio di pacchetti, ecco alcuni vantaggi sicuri della crittografia.

• Elimina la perdita di pacchetti: La crittografia avvolge i dati nel codice American Standard Code for Information Exchange (ASCII) con algoritmo di crittografia e chiave di crittografia e crea testo cifrato che elimina la possibilità di perdita di pacchetti durante il trasferimento di file.
• Protezione dati forte: La crittografia può fornire un quadro di sicurezza robusto sia per dati strutturati che non strutturati come interi file, dischi, cartelle, dischi rigidi e garantire la completa riservatezza dei dati.
• Standard diffusi: I protocolli standardizzati come l'algoritmo a chiave pubblica RSA stabiliscono forti benchmark mondiali di sicurezza con potenti algoritmi crittografici e un'architettura di rete quasi inespugnabile.
• Confidenzialità (dati a riposo): La crittografia garantisce la riservatezza dei dati anche durante i disastri. In caso di furto o fuga di dati, i veri valori dei dati rimangono latenti all'interno del pacchetto dati e non possono essere accessibili senza la chiave di crittografia.
• Controllo di sicurezza granulare: La crittografia dei dati può avere chiavi private specifiche per i membri che consentono il controllo degli accessi basato sui ruoli (RBAC) che garantisce che un utente possa visualizzare una parte specifica o un componente di un database in base al proprio ruolo e designazione.

Sfide della crittografia

Sebbene la crittografia fornisca un modo infallibile di trasmissione dei dati, l'utente deve prestare attenzione a fare alcuni controlli di sicurezza preliminari per evitare che porti alle seguenti sfide:

• Complessità della gestione delle chiavi: Salvaguardare le chiavi di crittografia, siano esse pubbliche o private, è fondamentale. La mancata protezione delle chiavi comporta danni permanenti ai dati e può innescare una violazione dei dati a livello aziendale.
• Sovraccarico delle prestazioni: Crittografare e decrittografare i dati richiede processori hardware e software significativi, influenzando così le prestazioni del sistema e disturbando i carichi del server.
• Ambito di conformità ampio: Crittografare i dati può ancora rientrare nelle normative di conformità, aumentando la complessità degli audit e aumentando le implicazioni legali o ambientali della protezione dei dati.
• Rischio di implementazione debole: Dati crittografati male (come chiavi deboli o testo cifrato debole) possono aumentare l'inefficacia della crittografia e renderla suscettibile a virus o interferenze esterne di hacker.

Confronto tra tokenizzazione e crittografia in modo obiettivo: punti chiave

La tokenizzazione e la crittografia migliorano la sicurezza dei dati attraverso approcci diversi. Confrontiamoli obiettivamente per scegliere una tecnica adatta alle tue esigenze, al caso d'uso e ai requisiti aziendali.

• Processo di lavoro: La crittografia trasforma i dati in un formato illeggibile, mentre la tokenizzazione sostituisce le informazioni sensibili nei dati con token generati casualmente.

• Tipo di dati supportato: La crittografia supporta dati strutturati e non strutturati, mentre la tokenizzazione supporta dati strutturati come dettagli delle carte di pagamento e numeri di sicurezza sociale.

• Casi d'uso: La crittografia è ottima per proteggere i dati a riposo. La tokenizzazione è preferita per le transazioni di e-commerce e i casi d'uso in cui è necessario ridurre l'ambito del settore delle carte di pagamento (PCI) passando i dati tokenizzati a valle per ulteriori elaborazioni.

• Scambi di dati: Con la crittografia, le terze parti con la chiave possono accedere ai dati. La tokenizzazione, tuttavia, richiede l'accesso al caveau dei token per gli scambi di dati, limitandone l'idoneità in alcuni scenari.

• Sicurezza: Nella crittografia, i dati sensibili lasciano l'organizzazione in un formato crittografato. Quando si tratta di tokenizzazione, i dati di solito non lasciano mai un'organizzazione.

• Adattabilità: La crittografia rende più facile scalare quando si lavora con grandi volumi di dati. Al contrario, la tokenizzazione presenta sfide di scalabilità man mano che il database cresce.

• Compromessi: Per mantenere il formato dei dati, potresti dover compromettere un po' la forza della crittografia. La tokenizzazione mantiene il formato dei dati senza compromettere la sicurezza.

• Conformità PCI: Gli standard di crittografia PCI richiedono molte risorse, aumentando significativamente i costi operativi. La tokenizzazione riduce i costi associati al PCI, poiché i commercianti non gestiscono direttamente le informazioni di pagamento. Il processo di tokenizzazione non è un requisito di conformità PCI; tuttavia, è una pratica consolidata di elaborazione dei pagamenti.

Assicura la scelta giusta!

Per scegliere tra crittografia e tokenizzazione, valuta le tue esigenze di sicurezza dei dati e il tipo di dati con cui lavorerai. La tokenizzazione è buona per piccoli pezzi di dati come i numeri di carta di credito. Tuttavia, se lavori con grandi volumi di dati, la crittografia sarà una scelta più adatta.

Esamina le opzioni che renderebbero più facile conformarsi alle politiche di sicurezza dei dati garantendo al contempo la fattibilità con il tuo budget.

È meglio utilizzare entrambe le tecniche insieme ovunque possibile, poiché non si escludono a vicenda.

Scopri di più su certificati SSL e TLS e su come mantengono i siti web crittografati.

Modificato da Monishka Agrawal