As chaves são expostas quando são codificadas em aplicativos móveis e de desktop
Construir aplicativos conectados com experiências de usuário inovadoras e responsivas requer comunicação e manutenção de conteúdo confidencial.
Quer este conteúdo seja composto por alguns bytes de dados, atualizações de recursos, pontuações de jogos, informações de conta ou transmissões de vídeo, ele precisa ser protegido — não importa como ou onde ele viaja, descansa ou é armazenado. Deixar de proteger o conteúdo e as comunicações com os usuários pode resultar em penalidades governamentais, fraude e roubo de propriedade intelectual — sem mencionar a perda de confiança do cliente, danos à marca e receitas roubadas. Atores de ameaças irá explorar toda e qualquer fraqueza do aplicativo para ganhar fama, notoriedade, segredos do governo ou até mesmo apenas para diversão.
Criptografar informações em todo o seu ciclo de vida — em trânsito, em repouso e "no aplicativo" — é uma parte importante para manter os dados confidenciais longe das mãos erradas. Um esforço significativo foi aplicado para proteger os dados em trânsito, desde as camadas de transporte seguro até a criptografia de dados da fonte. O elo fraco dessa cadeia é o ponto final: o app. A vulnerabilidade de aplicativos em endpoints, seja em aplicativos móveis ou de desktop, levou ao crescimento de ataques "Man-at-the-end" ou MATE.
Os aplicativos que utilizam conteúdo criptografado usam chaves para descriptografar o tráfego de entrada e criptografar o tráfego de saída – operações gerenciadas por funções dentro do código do aplicativo. Se o código de um aplicativo for engenharia reversa, as chaves usadas para criptografar/descriptografar o conteúdo podem ser descobertas e fornecer aos agentes da ameaça o que eles precisam para decifrar as informações criptografadas. Os dados residentes no aplicativo podem ser comprometidos junto com todas as comunicações entre o aplicativo e os sistemas de back office.
Desafios
- Quando um aplicativo é submetido a engenharia reversa ou seu código é removido, as chaves usadas para criptografar/descriptografar o conteúdo podem ser descobertas
- Se as chaves cifradas forem descobertas, elas podem ser copiadas, redistribuídas e usadas de forma maliciosa
- Depois que as chaves são copiadas, elas podem ser usadas para observar dados e comunicações com servidores de back-end
- As ferramentas tradicionais de proteção de dados não são projetadas para proteger as chaves de engenharia reversa ou código de aplicativo comprometido de outra forma
Se as chaves cifradas forem descobertas, elas podem ser copiadas, redistribuídas e usadas de forma maliciosa. Detectar o uso indevido de chaves comprometidas é quase impossível, pois elas serão usadas por meio de tráfego aparentemente legítimo. Uma vez comprometida, remediar uma violação de chave é demorada e consome muitos recursos e requer redigitação e atualização de todos os aplicativos e processos que usam essas chaves.
As ferramentas tradicionais de proteção de dados não foram projetadas para impedir que as chaves sejam descobertas por meio de engenharia reversa, levantamento de código ou de outra forma que inclua o código do aplicativo.
A criptografia de caixa branca garante que chaves e dados em aplicativos móveis e de desktop permaneçam seguros e, portanto, protege a comunicação entre aplicativos e sistemas de back-end.
Digital.ai Resumo do produto de proteção de dados e chaves
A criptografia de caixa branca garante que chaves e dados em aplicativos móveis e de desktop permaneçam seguros e, portanto, protege a comunicação entre aplicativos e sistemas de back-end.
Digital.aiProteção de chaves e dados protege os dados em trânsito protegendo as chaves de criptografia/descriptografia armazenadas em seus aplicativos móveis e de desktop. Usando técnicas e transformações matemáticas, o Key and Data Protection usa criptografia de caixa branca para misturar (ou *manchar*) o código do aplicativo e as chaves para proteger as operações criptográficas, de modo que as chaves codificadas não possam ser encontradas ou extraídas do aplicativo para serem usadas em outro lugar.
Digital.aiChave e proteção de dados protege chaves e dados confidenciais com um conjunto completo de criptografia de caixa branca que protege aplicativos móveis, de desktop e de servidor. A proteção de chave e dados oferece suporte a todas as principais cifras, modos e tamanhos de chave e pode interoperar diretamente com outros pacotes criptográficos (como OpenSSL) e dispositivos em seu ambiente sem exigir alterações no lado do servidor.
Oferecemos suporte à criptografia simétrica, troca de chaves Diffie-Hellman, códigos de autenticação de mensagens baseados em hash, criptografia assimétrica, geração de assinaturas, quebra e derivação de chaves, Shamir Secret Sharing e álgebra "BigInteger".
Além de suportar todos os principais algoritmos e modos, Digital.ai Proteção de Key e dados é um dos poucos produtos de segurança que está atualmente "em teste" para a certificação FIPS 140-3. Digital.ai A criptografia de caixa branca está disponível nas plataformas iOS, Android, Windows, Mac e Linux.
Principais Benefícios
Impedir que chaves de criptografia sejam extraídas de aplicativos
Criptografia de caixa branca que gerencia, protege e criptografa chaves
- Combine o código e as chaves do aplicativo para operações criptográficas
- Ocultar chaves mesmo quando os aplicativos passam por engenharia reversa por meio de kits de ferramentas de instrumentação dinâmica
Proteger a comunicação entre aplicativos e servidores de back-end
Protege as chaves de criptografia/descriptografia armazenadas em um aplicativo
- Impede a cópia e redistribuição de chaves
- Previne ataques "Man-in-the-middle" (MITM) e "Man-at-the-end" (MATE)
Suporta várias plataformas e todas as principais cifras, modos e tamanhos de chave
Proteção de aplicativos móveis, de desktop e de servidor
- Conjunto de criptografia de caixa branca com todos os recursos que pode ser usado para adicionar proteção a aplicativos móveis, de desktop e de servidor
- Interopera diretamente com outros pacotes criptográficos (como OpenSSL) e dispositivos em seu ambiente sem exigir alterações no lado do servidor
- Utiliza técnicas avançadas como Shamir Secret Sharing, Donna Curves, ECC, BigInteger Algebra e Seeded XOR
Principais características
Criptografia simétrica
- AES (128 ou 256 bits, CBC, ECB, GCM)
- DES (Simples, Triplo)
Troca de chaves
- ECC/DH (Diffie-Hellman)
- FCC/DH
Hashing seguro + HMAC
- SHA-1/2/3
- HMAC (SHA)
- CMAC (AES)
- DES MAC3
Criptografia assimétrica
- ECC/EG (ElGamal)
- RSA (2048, 3072, 4096 e tamanhos de chave maiores)
Geração de Assinatura
- ECC/DSA (algoritmo de assinatura digital)
- RSA (2048, 3072, 4096 e tamanhos de chave maiores)
Envolvimento e derivação de chave
- Envolvimento de chaves NIST e CMLA
- Derivação de chaves NIST, CMLA e OMA
álgebra de inteiro grande
Fornece meios para realizar aritmética modular (adição e multiplicação) em forma de caixa branca
Compartilhamento secreto de Shamir
Divide os segredos que precisam ser criptografados em várias partes exclusivas
Sobre Digital.ai
Digital.ai é uma empresa de tecnologia líder do setor, dedicada a ajudar as empresas Global 5000 a atingir metas de transformação digital. A empresa Alimentado por AI DevSecOps plataforma unifica, protege e gera insights preditivos em todo o ciclo de vida do software. Digital.ai capacita as organizações a dimensionar equipes de desenvolvimento de software, fornecer continuamente software com maior qualidade e segurança, ao mesmo tempo em que descobre novas oportunidades de mercado e aumenta o valor comercial por meio de investimentos em software mais inteligentes.
Informações adicionais sobre Digital.ai pode ser encontrada em digital.ai e na Twitter, LinkedIn e Facebook.
Saiba mais em Digital.ai Application Security