As teclas ficam expostas quando são codificadas diretamente no código em aplicativos para dispositivos móveis e computadores.
Criar aplicativos conectados com experiências de usuário inovadoras e responsivas exige comunicar e manter conteúdo sensível.
Sejam alguns bytes de dados, atualizações de recursos, pontuações de jogos, informações de contas ou transmissões de vídeo, esse conteúdo precisa ser protegido — independentemente de como ou onde ele trafega, esteja armazenado ou seja mantido. A falha em proteger o conteúdo e as comunicações com os usuários pode resultar em penalidades governamentais, fraudes e roubo de propriedade intelectual — sem mencionar a perda da confiança do cliente, danos à marca e perda de receita. Atores de ameaças Vai explorar todas as vulnerabilidades do aplicativo para ganhar fama, notoriedade, segredos de governo ou simplesmente por diversão.
Criptografar informações ao longo de todo o seu ciclo de vida — em trânsito, em repouso e "no aplicativo" — é fundamental para manter dados sensíveis longe de mãos erradas. Esforços significativos têm sido aplicados à segurança de dados em trânsito, desde camadas de transporte seguras até a criptografia de dados na origem. O elo mais frágil nessa cadeia é o ponto final: o aplicativo. A vulnerabilidade dos aplicativos nos pontos finais, sejam eles aplicativos móveis ou para desktop, levou ao crescimento de ataques do tipo "Homem na Ponta" ou MATE.
Aplicativos que utilizam conteúdo criptografado usam chaves para descriptografar o tráfego de entrada e criptografar o tráfego de saída — operações gerenciadas por funções dentro do código do aplicativo. Se o código de um aplicativo for engenharia reversaAs chaves usadas para criptografar/descriptografar o conteúdo podem ser descobertas e fornecer aos agentes maliciosos as informações necessárias para decifrar os dados criptografados. Os dados residentes no aplicativo podem ser comprometidos, assim como todas as comunicações entre o aplicativo e os sistemas de back-office.
Desafios
- Quando um aplicativo é submetido a engenharia reversa ou seu código é extraído, as chaves usadas para criptografar/descriptografar o conteúdo podem ser descobertas.
- Se as chaves de criptografia forem descobertas, elas podem ser copiadas, redistribuídas e usadas de forma maliciosa.
- Uma vez copiadas, as chaves podem ser usadas para observar dados e comunicações com servidores de back-end.
- As ferramentas tradicionais de proteção de dados não são projetadas para proteger chaves contra engenharia reversa ou outros tipos de comprometimento do código do aplicativo.
Se as chaves de criptografia forem descobertas, elas podem ser copiadas, redistribuídas e usadas de forma maliciosa. Detectar o uso indevido de chaves comprometidas é praticamente impossível, já que elas serão usadas em tráfego aparentemente legítimo. Uma vez comprometidas, a correção de uma violação de chave exige muito tempo e recursos, além de requerer a recriação e atualização de todos os aplicativos e processos que utilizam essas chaves.
As ferramentas tradicionais de proteção de dados não foram projetadas para impedir que as chaves sejam descobertas por meio de engenharia reversa, extração de código ou outras formas de comprometer o código do aplicativo.
A criptografia de caixa branca garante que as chaves e os dados em aplicativos móveis e de desktop permaneçam seguros, protegendo assim a comunicação entre os aplicativos e os sistemas de back-end.
Digital.ai Resumo do produto de proteção de dados e chaves
A criptografia de caixa branca garante que as chaves e os dados em aplicativos móveis e de desktop permaneçam seguros, protegendo assim a comunicação entre os aplicativos e os sistemas de back-end.
Digital.aiChave e proteção de dados da 's Protege os dados em trânsito, protegendo as chaves de criptografia/descriptografia armazenadas em seus aplicativos móveis e de desktop. Usando técnicas e transformações matemáticas, a Proteção de Chaves e Dados utiliza criptografia de caixa branca para mesclar (ou *mascarar*) o código e as chaves do aplicativo, protegendo as operações criptográficas. Assim, as chaves embutidas no código não serão afetadas. As chaves não puderam ser encontradas ou extraídas. do aplicativo para ser usado em outro lugar.
Digital.aiChave e proteção de dados da 's Protege chaves e dados sensíveis com um conjunto completo de criptografia white-box que protege aplicativos móveis, de desktop e de servidor. O Key and Data Protection é compatível com todas as principais cifras, modos e tamanhos de chave, e pode interoperar diretamente com outros pacotes criptográficos (como o OpenSSL) e dispositivos em seu ambiente sem exigir alterações no servidor.
Oferecemos suporte à criptografia simétrica, troca de chaves Diffie-Hellman, códigos de autenticação de mensagens baseados em hash, criptografia assimétrica, geração de assinaturas, encapsulamento e derivação de chaves, compartilhamento secreto de Shamir e álgebra "BigInteger".
Além de suportar todos os principais algoritmos e modos, Digital.ai Chave e Proteção de Dados é o único produto de segurança criptográfica white-box validado para atender aos requisitos de segurança FIPS 140-3. Digital.ai A criptografia de caixa branca está disponível nas plataformas iOS, Android, Windows, Mac e Linux.
Principais Benefícios
Impeça que as chaves de criptografia sejam extraídas dos aplicativos.
Criptografia de caixa branca que gerencia, protege e criptografa chaves.
- Combine o código do aplicativo e as chaves para operações criptográficas.
- Ocultar teclas mesmo quando os aplicativos são submetidos a engenharia reversa por meio de kits de ferramentas de instrumentação dinâmica.
Proteja a comunicação entre aplicativos e servidores de back-end.
Protege as chaves de criptografia/descriptografia armazenadas dentro de um aplicativo.
- Impede a cópia e redistribuição de chaves.
- Impede ataques do tipo "Homem no Meio" (MITM) e "Homem na Ponta" (MATE).
Compatível com diversas plataformas e todos os principais algoritmos de criptografia, modos e tamanhos de chave.
Proteção de aplicativos móveis, de desktop e de servidor
- Conjunto completo de criptografia white-box que pode ser usado para adicionar proteção a aplicativos móveis, de desktop e de servidor.
- Interopera diretamente com outros pacotes criptográficos (como o OpenSSL) e dispositivos em seu ambiente, sem exigir alterações no servidor.
- Utiliza técnicas avançadas como Shamir Secret Sharing, Donna Curves, ECC, BigInteger Algebra e Seeded XOR.
Principais características
Criptografia simétrica
- AES (128 ou 256 bits, CBC, ECB, GCM)
- DES (Simples, Triplo)
Troca de chaves
- ECC/DH (Diffie-Hellman)
- FCC/DH
Hashing seguro + HMAC
- SHA-1 / 2 / 3
- HMAC (SHA)
- CMAC (AES)
- DES MAC3
Criptografia assimétrica
- ECC/EG (ElGamal)
- RSA (tamanhos de chave 2048, 3072, 4096 e maiores)
Geração de Assinatura
- ECC/DSA (Algoritmo de Assinatura Digital)
- RSA (tamanhos de chave 2048, 3072, 4096 e maiores)
Encapsulamento e Derivação de Chaves
- Encapsulamento de chaves NIST e CMLA
- Derivação de chaves NIST, CMLA e OMA
Álgebra de Números Inteiros Grandes
Fornece meios para realizar aritmética modular (adição e multiplicação) em formato de caixa branca.
Compartilhamento de segredos de Shamir
Divide os segredos que precisam ser criptografados em várias partes exclusivas.
Sobre Digital.ai
Digital.ai é uma empresa de tecnologia líder do setor, dedicada a ajudar empresas da Global 5000 a atingirem seus objetivos de transformação digital. Alimentado por AI DevSecOps plataforma Unifica, protege e gera insights preditivos ao longo de todo o ciclo de vida do software. Digital.ai Capacita as organizações a expandir suas equipes de desenvolvimento de software, entregar software continuamente com maior qualidade e segurança, ao mesmo tempo que descobrem novas oportunidades de mercado e aumentam o valor comercial por meio de investimentos mais inteligentes em software.
Informações adicionais sobre Digital.ai pode ser encontrada em digital.ai e na Twitter, LinkedIn e Facebook.
Saiba mais em Digital.ai Application Security
