什么是端到端加密以及它是如何工作的？

跟进 Google 新闻上的 Kryptus 

作者：Moisés Matias，Kryptus 网络安全架构师 

什么是端到端加密以及它是如何工作的？

墓穴端到端加密是一种数据保护方法，它在发送者的设备上加密信息，而仅在接收者的设备上解密。这意味着，当消息通过服务器和网络传输时，在到达接收者之前，任何人都无法破译和访问它。这就像在虚拟保险箱中发送消息，只有收件人才有钥匙可以打开。

功能性 P2P加密

端到端加密使公司能够在设备或设备内的组件之间创建安全的通信链接，防止中间设备泄露可能受到损害的敏感信息。正在网络上传输。 P2P 最常见的部署方式是作为支付卡行业数据安全标准 (PCI DSS) 合规性解决方案，但也可以用于其他敏感数据。

例如，考虑一家在全国各地拥有多家零售店的服装连锁店，该连锁店通过位于中心的数据中心处理所有金融交易。由于网络数量众多且零售地点具有公共性质，零售商很难确保每个商店本地网络的物理安全。此外，每个网点都不太可能配备经过培训的安全人员来监控网络。

端到端加密的主要好处是它能够减少安全工作的范围。

通过实施 P2P 加密，零售商可以限制商品销售环境中信用卡号码的暴露范围。例如，通过部署使用加密卡扫描仪并由支持端到端加密的家庭办公室后端系统支持的销售点 (POS) 系统，整个商店网络就会脱离循环。

由于硬件读卡器在数据到达 POS 终端之前对其进行了加密，因此商店网络上没有任何设备能够解密卡号。这可以保护卡号免受各种攻击，包括未经授权的设备窃听和 POS 终端的恶意软件感染。此类设备无法访问加密密钥，因此无法访问卡号。

为什么要使用 P2P 加密？

端到端加密的主要好处是它能够减少安全工作的范围。在上述零售场景中，如果商家能够确保硬件读卡器的完整性，则只需对易受解密的集中式后端系统应用最严格的安全控制。在严格监管的环境中，此策略可以显著减少必须满足通常昂贵的合规性和监控要求的系统和网络的数量；无论是在时间上还是在价值上。

P2P加密的局限性

虽然端到端加密是一种很有前途的安全技术选择，但它尚未得到广泛部署，主要是因为市场上成熟产品数量较少。

一些组织希望在 PCI安全标准委员会 对此类产品采用简化的验证流程，但许多人无法找到符合PCI规定的规格和标准的产品。 

有供应商报告称，他们才刚刚开始在现场测试产品，还没有可以为他们服务的商业上可行的解决方案。如今在巴西，随着市场日趋成熟，越来越多的公司正在寻求应用这一解决方案。这种情况在世界各地都可以看到。

这种合规延迟导致了 P2P 加密的第二个主要限制；由于供应商不是该国本土的或者价格不切实际，通常需要大量的资金才能开始运营。这包括 POS 硬件和软件升级，以及来自供应商的潜在费用增加，这些供应商渴望利用企业希望限制其合规义务的突然需求。

如何保护密钥 密码学的

为了使 P2P 加密尽可能安全地运行，必须始终实施严格的控制来保护和访问解密密钥。当前指导要求使用 硬件安全模块（HSM） 采用适当的安全分类来保护对这些密钥的访问。

如今，收单机构和支付商务链中的其他参与者已开始将增值服务商业化，利用 P2PE 来降低最终客户的合规成本。从 PCI DSS 的角度来看，任何能够解密帐户数据的系统都会立即纳入范围，因此通过保护 HSM 中的密钥来隔离商家的能力会为整个供应链带来显著的好处。