什麼是資料加密？

資料加密是 資料保護的關鍵資料，可將資料轉換成另一種形式或代碼，以防止未經授權的存取，協助組織維護隱私權及符合合規性規定。它使用演算法 (或密碼) 將可讀取的資料 (稱為明文) 轉換為不可讀取的資料 (稱為密文)。只有擁有正確秘密金鑰的人，才能將密碼文解密回明文，並存取原始資訊。

資料加密說明

雲端安全 中的資料加密可確保敏感資訊受到保護，未經授權的各方無法存取。資料加密的核心是使用特定演算法或密碼將明文資料轉換為無法讀取的格式，稱為密文。加密過程的加密和解密都需要秘密金鑰，對稱加密使用相同的金鑰進行兩種操作，而非對稱加密則採用公開金鑰進行加密，並使用私人金鑰進行解密。

對於雲端安全而言，資料加密在保護資料的靜止與傳輸安全上扮演著重要的角色。先進的加密技術可提供堅固的防護，防止外洩和未經授權的存取。此外，為了強化安全性，組織可以實作金鑰管理實務，包括安全的金鑰儲存、輪換和分發。

加密類型

兩種主要的加密方式可解決資料保護和通訊的不同安全和後勤挑戰。雖然組織可能會分開來使用它們，但它們通常會結合起來，以克服關鍵配送和效能需求的挑戰。

對稱加密（或私密金鑰加密）

對稱加密也稱為私密金鑰加密，在加密和解密時使用相同的金鑰。換句話說，傳送者和接收者共用單一秘密金鑰來加密和解密資料。與非對稱加密相比，此技術所需的計算開銷較少，因此提供了一種快速有效的方式來保護大量資料。對稱加密也有其缺點，那就是共用金鑰的安全分發與管理，未經授權存取此金鑰可能會損害加密資料。

常見的對稱加密演算法包括進階加密標準 (AES) 和資料加密標準 (DES)。

非對稱加密（或公開金鑰加密）

非對稱加密或公開金鑰加密依靠兩個不同的金鑰 - 用於加密的公開金鑰和用於解密的私人金鑰。公開金鑰可以公開分享，而私人金鑰則必須保密。非對稱加密解決了對稱加密的金鑰分發問題，因為只需要安全地儲存私人金鑰。但非對稱加密與對稱加密一樣，也有其缺點，就是需要更多的運算資源，而且速度通常比對稱加密慢。RSA (Rivest-Shamir-Adleman) 是一種廣泛使用的非對稱加密演算法。

資料加密有哪些好處？

從客戶資訊到商業機密，各組織發現自己正處於錯綜複雜的資料網之中。這樣的數位環境雖然充滿了機會，但同時也帶來了弱點。資料加密可作為防衛者，強化商業資料，並確保企業能安心、安全地運作。

資料加密的主要好處之一是保護敏感資訊。當資料被加密時，它會轉換成無法讀取的格式，只有擁有正確解密金鑰的人才能存取。這表示即使惡意的人攻破了系統，被竊取的資料仍然是雜亂無章的密碼文字，沒有相對應的金鑰，實際上是沒有用處的。這層安全性不僅對於保護專屬資訊，對於維護客戶的信任也至關重要。客戶和顧客更願意與他們相信會負責任地處理其個人和財務資訊的組織合作。資料外洩可能會損害公司聲譽、導致財務損失，甚至造成法律後果。

合規性

在保護資料的同時，加密也有助於合規性，滿足歐盟的「一般資料保護規範」(GDPR) 和美國的「健康保險可攜性與責任法案」(HIPAA) 等法律的需求。

加密通訊（尤其是在金融和醫療保健等領域）可確保實體間交換的 敏感資料 保持機密且不被篡改。資料加密可保護組織免受外來威脅，並使其在客戶和監管機構眼中成為值得信賴的資料管理者。透過採用強大的加密實務，組織可以保持合規性，避免罰款和潛在的法律訴訟。

資料加密使用案例

資料加密可保護資訊，確保不同領域的隱私與安全。所提供的保護可維持資料完整性，以及 防止資料遺失，使被竊資料無法使用，並降低 資料外洩所造成的影響。資料加密的常見應用包括

• 保護通訊 - 電子郵件、聊天、通話 - 免遭未經授權的攔截
• 透過確保敏感資料不被外部竊取和修改，加強 雲端 資料的安全性
• 維護敏感資料的機密性，並符合 HIPAA、PCI-DSS、GDPR 等法規的合規性
• 保護電子商務和線上銀行交易中的信用卡和銀行資料
• 確保資料的安全性，尤其是資料儲存裝置（硬碟、固態硬碟）上的檔案和資料庫，以防遺失或遭竊。
• 使用數位簽章（使用非對稱加密）驗證訊息的真實性和來源
• 透過 VPN 維護網際網路流量的隱私，即使在不受信任的網路中也是如此
• 使用散列（和加鹽）密碼取代明文密碼
• 透過端對端加密，確保只有傳送者和接收者才能讀取透過訊息應用程式傳送的內容
• 使用加密技術保護比特幣等加密貨幣的交易和新單位的創建
• 保護受著作權保護的內容（電子書、音樂、視訊）免於未經授權的複製或使用
• 保障物聯網裝置上資料傳輸與儲存的安全

關鍵選擇

為應用程式選擇適當的加密和金鑰管理演算法，需要清楚瞭解應用程式的目標和安全性需求。舉例來說，如果目標是保護儲存的資料，則應選擇專注於靜態資料安全性的演算法套件。相反地，傳輸和接收資料的應用程式應優先使用強調傳輸中資料保護的演算法套件。

要決定最佳化的金鑰管理方法，首先要了解應用程式的安全目標，這將會引導選擇適當的加密通訊協定。申請可能需要：

• 靜止資料和傳輸中資料的保密性
• 終端設備驗證
• 資料來源的真實性
• 傳輸過程中的資料完整性
• 產生資料加密金鑰的鑰匙

在確定應用程式的安全需求後，組織就可以辨識所需的通訊協定和演算法。在清楚瞭解這些通訊協定和演算法之後，團隊就能着手定義支援應用程式目標的各種金鑰類型，以確保穩健的安全性和最佳化的效能。

資料加密與演算法

選擇正確的加密演算法是確保資料隱私和防護潛在威脅 (包括量子運算所造成的威脅) 的早期重要步驟。您需要考慮組織因素，例如安全性與產業標準的合規性、效能、金鑰管理、相容性、可擴充性，以及未來對抗新興威脅的能力。

AES-256 搭配 Galois 計數器模式 (GCM)

具有 Galois 計數器模式 (GCM) 的 AES-256 是廣泛推薦的選項，因為它提供強大的加密和驗證功能。GCM 是一種經過驗證的加密模式，結合了高效能的對稱金鑰區塊密碼 AES-256 與高效能的訊息驗證碼，可同時確保資料的機密性與完整性。

ChaCha20 和 Poly1305

另一個可行的選擇是結合 ChaCha20 和 Poly1305。ChaCha20 是一種可提供高速加密的串流密碼，而 Poly1305 則是一種加密訊息驗證碼，可提供資料完整性。這些演算法共同創造出安全的認證加密與相關資料 (AEAD) 方案，確保加密資料的機密性與完整性。

加密最佳實務

• 對敏感通訊採用端對端加密。
• 確保資料在靜止和傳輸過程中的安全。
• 應用多因素認證進行存取控制。
• 更新加密函式庫和通訊協定。
• 定期執行安全稽核與弱點評估。
• 為員工提供有關加密政策與實務的訓練。
• 除非加密金鑰已加密，否則不要將其儲存在加密的敏感資料旁邊。
• 定期輪換加密金鑰。
• 遵守業界標準和監管需求，隨時瞭解新興的加密技術和實務，以維持強大的資料保護。

資料加密常見問題