Las claves quedan expuestas cuando están codificadas directamente en el código de las aplicaciones móviles y de escritorio.
Crear aplicaciones conectadas con experiencias de usuario innovadoras y receptivas requiere comunicar y mantener contenido confidencial.
Ya se trate de unos pocos bytes de datos, actualizaciones de funciones, puntuaciones de juegos, información de cuentas o transmisiones de vídeo, este contenido debe protegerse, independientemente de cómo o dónde se transmita, almacene o guarde. No proteger el contenido y las comunicaciones con los usuarios puede acarrear sanciones gubernamentales, fraude y robo de propiedad intelectual, además de la pérdida de la confianza de los clientes, daños a la marca y pérdidas económicas. Actores de amenazas Explotará cualquier debilidad de la aplicación para ganar fama, notoriedad, secretos gubernamentales o simplemente por diversión.
El cifrado de la información a lo largo de todo su ciclo de vida —en tránsito, en reposo y dentro de la aplicación— es fundamental para proteger los datos confidenciales. Se han realizado importantes esfuerzos para asegurar los datos en tránsito, desde capas de transporte seguras hasta el cifrado de datos desde el origen. El eslabón débil de esta cadena es el punto final: la aplicación. La vulnerabilidad de las aplicaciones en los puntos finales, ya sean móviles o de escritorio, ha propiciado el auge de los ataques de intermediario (Man-at-the-end).
Las aplicaciones que utilizan contenido cifrado usan claves para descifrar el tráfico entrante y cifrar el tráfico saliente; operaciones gestionadas por funciones dentro del código de la aplicación. Si el código de una aplicación es Ingeniería inversaLas claves utilizadas para cifrar y descifrar el contenido pueden ser descubiertas y proporcionar a los ciberdelincuentes la información necesaria para descifrar los datos cifrados. Los datos almacenados en la aplicación, junto con todas las comunicaciones entre la aplicación y los sistemas de gestión interna, pueden verse comprometidos.
Desafíos
- Cuando se realiza ingeniería inversa a una aplicación o se extrae su código, se pueden descubrir las claves utilizadas para cifrar/descifrar el contenido.
- Si se descubren las claves de cifrado, pueden copiarse, redistribuirse y utilizarse con fines maliciosos.
- Una vez copiadas las claves, se pueden usar para observar los datos y las comunicaciones con los servidores de back-end.
- Las herramientas tradicionales de protección de datos no están diseñadas para proteger las claves del código de aplicaciones comprometido mediante ingeniería inversa o cualquier otro tipo de daño.
Si se descubren las claves de cifrado, pueden copiarse, redistribuirse y usarse con fines maliciosos. Detectar el uso indebido de claves comprometidas es prácticamente imposible, ya que se utilizarán a través de tráfico aparentemente legítimo. Una vez comprometidas, la remediación de una brecha de seguridad de claves requiere mucho tiempo y recursos, además de volver a generar las claves y actualizar todas las aplicaciones y procesos que las utilizan.
Las herramientas tradicionales de protección de datos no fueron diseñadas para proteger las claves contra el descubrimiento mediante ingeniería inversa, extracción de código o cualquier otra forma de vulneración del código de la aplicación.
La criptografía de caja blanca garantiza la seguridad de las claves y los datos en las aplicaciones móviles y de escritorio, protegiendo así la comunicación entre las aplicaciones y los sistemas de back-end.
Digital.ai Resumen del producto de protección de datos y claves
La criptografía de caja blanca garantiza la seguridad de las claves y los datos en las aplicaciones móviles y de escritorio, protegiendo así la comunicación entre las aplicaciones y los sistemas de back-end.
Digital.aiProtección de claves y datos Protege los datos en tránsito resguardando las claves de cifrado/descifrado almacenadas en tus aplicaciones móviles y de escritorio. Mediante técnicas y transformaciones matemáticas, Key and Data Protection utiliza criptografía de caja blanca para combinar (o *difuminar*) el código de la aplicación y las claves, asegurando así las operaciones criptográficas, de modo que las claves codificadas directamente en el código no se vean afectadas. Las claves no se pueden encontrar ni extraer. desde la aplicación para ser utilizada en otro lugar.
Digital.aiProtección de claves y datos Protege claves y datos confidenciales con un completo conjunto de criptografía de caja blanca que protege aplicaciones móviles, de escritorio y de servidor. La protección de claves y datos admite los principales cifrados, modos y tamaños de clave, y puede interoperar directamente con otros paquetes criptográficos (como OpenSSL) y dispositivos de su entorno sin necesidad de realizar cambios en el servidor.
Admitimos cifrado simétrico, intercambio de claves Diffie-Hellman, códigos de autenticación de mensajes basados en hash, cifrado asimétrico, generación de firmas, encapsulamiento y derivación de claves, compartición secreta de Shamir y álgebra "BigInteger".
Además de ser compatible con todos los principales algoritmos y modos, Digital.ai Protección de claves y datos es el único producto de seguridad criptográfica de caja blanca validado para cumplir con los requisitos de seguridad FIPS 140-3. Digital.ai La criptografía de caja blanca está disponible en plataformas iOS, Android, Windows, Mac y Linux.
Beneficios Clave
Evitar que las claves de cifrado se extraigan de las aplicaciones
Criptografía de caja blanca que gestiona, protege y cifra las claves
- Combine el código de la aplicación y las claves para realizar operaciones criptográficas.
- Ocultar claves incluso cuando las aplicaciones se someten a ingeniería inversa mediante kits de herramientas de instrumentación dinámica.
Proteger la comunicación entre las aplicaciones y los servidores de back-end
Protege las claves de cifrado/descifrado almacenadas dentro de una aplicación.
- Impide la copia y redistribución de claves.
- Previene los ataques de intermediario (MITM) y de extremo a extremo (MATE).
Admite diversas plataformas y todos los principales cifrados, modos y tamaños de clave.
Protección de aplicaciones móviles, de escritorio y de servidor
- Suite de criptografía de caja blanca con todas las funciones que se puede utilizar para añadir protección a aplicaciones móviles, de escritorio y de servidor.
- Interopera directamente con otros paquetes criptográficos (como OpenSSL) y dispositivos de su entorno sin necesidad de realizar cambios en el servidor.
- Utiliza técnicas avanzadas como el reparto secreto de Shamir, las curvas de Donna, ECC, álgebra de enteros grandes y XOR con semilla.
Funcionalidad Clave
Cifrado simétrico
- AES (128 o 256 bits, CBC, ECB, GCM)
- DES (Simple, Triple)
Intercambio de claves
- ECC/DH (Diffie-Hellman)
- FCC/DH
Hash seguro + HMAC
- SHA-1 / 2 / 3
- HMAC (SHA)
- CMAC (AES)
- DES MAC3
Cifrado asimétrico
- ECC/EG (ElGamal)
- RSA (tamaños de clave de 2048, 3072, 4096 y superiores)
Generación de firmas
- ECC/DSA (Algoritmo de Firma Digital)
- RSA (tamaños de clave de 2048, 3072, 4096 y superiores)
Envoltura y derivación de claves
- Envoltura de claves NIST y CMLA
- Derivación de claves NIST, CMLA y OMA
Álgebra de números enteros grandes
Proporciona medios para realizar aritmética modular (suma y multiplicación) en formato de caja blanca.
Shamir compartiendo secretos
Divide los secretos que necesitan ser cifrados en varias partes únicas.
Acerca de nosotros Digital.ai
Digital.ai Es una empresa tecnológica líder en el sector, dedicada a ayudar a las empresas del Global 5000 a alcanzar sus objetivos de transformación digital. Inteligencia de clientes DevSecOps plataforma Unifica, protege y genera información predictiva a lo largo del ciclo de vida del software. Digital.ai Capacita a las organizaciones para ampliar sus equipos de desarrollo de software, entregar software de forma continua con mayor calidad y seguridad, al tiempo que descubren nuevas oportunidades de mercado y mejoran el valor empresarial a través de inversiones de software más inteligentes.
Información adicional sobre Digital.ai se puede encontrar en digital.ai and on Twitter, LinkedIn y Facebook.
Más información en Digital.ai Application Security
