Schlüssel werden offengelegt, wenn sie in Mobil- und Desktop-Apps fest codiert sind
Der Aufbau vernetzter Apps mit innovativen und reaktionsschnellen Benutzererlebnissen erfordert die Kommunikation und Pflege sensibler Inhalte.
Whether this content is a few bytes of data, feature updates, game scores, account information or video streams, it needs to be protected — no matter how or where it travels, rests, or is stored. Failing to protect content and communications with users can result in government penalties, fraud, and intellectual property theft — not to mention loss of customer trust, brand damage, and stolen revenue. Bedrohungsakteure will exploit any and all app weaknesses in order to game fame, notoriety, government secrets or even just for the lolz.
Die Verschlüsselung von Informationen während ihres gesamten Lebenszyklus – während der Übertragung, im Ruhezustand und „in der App“ – ist ein wichtiger Bestandteil, um zu verhindern, dass sensible Daten in die falschen Hände gelangen. Es wurden erhebliche Anstrengungen unternommen, um Daten während der Übertragung zu sichern, von sicheren Transportschichten bis hin zur Verschlüsselung von Daten aus der Quelle. Das schwache Glied in dieser Kette ist der Endpunkt: die App. Die Anfälligkeit von Apps an Endpunkten, sei es in Mobil- oder Desktop-Apps, hatte zur Zunahme von „Man-at-the-end“- oder MATE-Angriffen geführt.
Apps utilizing encrypted content use keys to decrypt incoming traffic and encrypt outgoing traffic — operations managed by functions inside the code of the application. If an app’s code is dekompiliert, the keys used to encrypt/decrypt content can be discovered and provide threat actors what they need to decipher encrypted information. Data resident in the app can be compromised along with all communications between the app and back office systems.
Herausforderungen
- Wenn eine App zurückentwickelt oder ihr Code entfernt wird, können die zum Ver-/Entschlüsseln von Inhalten verwendeten Schlüssel ermittelt werden
- Wenn Chiffrierschlüssel aufgedeckt werden, können sie kopiert, weitergegeben und böswillig verwendet werden
- Sobald die Schlüssel kopiert wurden, können sie zur Beobachtung von Daten und zur Kommunikation mit Back-End-Servern verwendet werden
- Herkömmliche Datenschutztools sind nicht darauf ausgelegt, Schlüssel vor rückentwickeltem oder anderweitig kompromittiertem App-Code zu schützen
Wenn Chiffrierschlüssel aufgedeckt werden, können sie kopiert, weitergegeben und böswillig verwendet werden. Es ist nahezu unmöglich, den Missbrauch kompromittierter Schlüssel zu erkennen, da diese über scheinbar legitimen Datenverkehr verwendet werden. Nach der Kompromittierung ist die Behebung einer Schlüsselverletzung zeit- und ressourcenintensiv und erfordert die Neuverschlüsselung und Aktualisierung aller Anwendungen und Prozesse, die diese Schlüssel verwenden.
Herkömmliche Datenschutztools sind nicht darauf ausgelegt, Schlüssel davor zu schützen, durch Reverse Engineering, Code-Lifting oder anderweitige Einbindung von App-Code entdeckt zu werden.
White-Box-Kryptografie sorgt dafür, dass Schlüssel und Daten in Mobil- und Desktop-Apps sicher bleiben und schützt so die Kommunikation zwischen Apps und Back-End-Systemen.
Digital.ai Schlüssel- und Datenschutz-Produktbeschreibung
White-Box-Kryptografie sorgt dafür, dass Schlüssel und Daten in Mobil- und Desktop-Apps sicher bleiben und schützt so die Kommunikation zwischen Apps und Back-End-Systemen.
Digital.aiSchlüssel und Datenschutz sichert Daten während der Übertragung, indem es die in Ihren Mobil- und Desktop-Apps gespeicherten Verschlüsselungs-/Entschlüsselungsschlüssel schützt. Mithilfe mathematischer Techniken und Transformationen verwendet Key and Data Protection White-Box-Kryptografie, um App-Code und Schlüssel zu vermischen (oder *zu verschmieren*), um kryptografische Vorgänge zu sichern, sodass fest codierte Schlüssel nicht gefunden oder aus der App extrahiert werden können, um sie an anderer Stelle zu verwenden.
Digital.aiSchlüssel und Datenschutz schützt vertrauliche Schlüssel und Daten mit einer voll ausgestatteten White-Box-Kryptografie-Suite, die mobile, Desktop- und Server-Apps schützt. Key and Data Protection unterstützt alle wichtigen Verschlüsselungen, Modi und Schlüsselgrößen und kann direkt mit anderen kryptografischen Paketen (wie OpenSSL) und Geräten in Ihrer Umgebung zusammenarbeiten, ohne dass serverseitige Änderungen erforderlich sind.
Wir unterstützen symmetrische Verschlüsselung, Diffie-Hellman-Schlüsselaustausch, Hash-basierte Nachrichtenauthentifizierungscodes, asymmetrische Verschlüsselung, Signaturgenerierung, Schlüsselumhüllung und -ableitung, Shamir Secret Sharing und „BigInteger“-Algebra.
Zusätzlich zur Unterstützung aller wichtigen Algorithmen und Modi, Digital.ai Schutz von Schlüsseln und Daten ist eines von nur wenigen Sicherheitsprodukten, die derzeit für die FIPS 140-3-Zertifizierung „im Test“ sind. Digital.ai White-Box-Kryptographie ist auf den Plattformen iOS, Android, Windows, Mac und Linux verfügbar.
Wichtigste Vorteile
Verhindern Sie, dass Verschlüsselungsschlüssel aus Apps extrahiert werden
White-Box-Kryptografie, die Schlüssel verwaltet, schützt und verschlüsselt
- Kombinieren Sie App-Code und Schlüssel für kryptografische Vorgänge
- Blenden Sie Schlüssel aus, selbst wenn Apps mithilfe dynamischer Instrumentierungs-Toolkits rückentwickelt werden
Schützen Sie die Kommunikation zwischen Anwendungen und Back-End-Servern
Schützt in einer App gespeicherte Verschlüsselungs-/Entschlüsselungsschlüssel
- Verhindert das Kopieren und Weiterverteilen von Schlüsseln
- Verhindert „Man-in-the-middle“- (MITM) und „Man-at-the-end“-Angriffe (MATE).
Unterstützt verschiedene Plattformen und alle wichtigen Verschlüsselungen, Modi und Schlüsselgrößen
Schutz von Mobil-, Desktop- und Server-Apps
- Voll ausgestattete White-Box-Kryptografie-Suite, die zum Hinzufügen von Schutz für Mobil-, Desktop- und Server-Apps verwendet werden kann
- Interoperiert direkt mit anderen kryptografischen Paketen (z. B. OpenSSL) und Geräten in Ihrer Umgebung, ohne dass serverseitige Änderungen erforderlich sind
- Nutzt fortschrittliche Techniken wie Shamir Secret Sharing, Donna Curves, ECC, BigInteger Algebra und Seeded XOR
Schlüsselfähigkeiten
Symmetrische Verschlüsselung
- AES (128 oder 256 Bit, CBC, ECB, GCM)
- DES (Einzel, Dreifach)
Schlüsselaustausch
- ECC/DH (Diffie-Hellman)
- FCC/DH
Sicheres Hashing + HMAC
- SHA-1 / 2 / 3
- HMAC (SHA)
- CMAC (AES)
- DES MAC3
Asymmetrische Verschlüsselung
- ECC/EG (ElGamal)
- RSA (2048, 3072, 4096 und größere Schlüsselgrößen)
Signaturgenerierung
- ECC/DSA (Digital Signature Algorithmus)
- RSA (2048, 3072, 4096 und größere Schlüsselgrößen)
Schlüsselverpackung und -ableitung
- NIST- und CMLA-Schlüsselverpackung
- NIST-, CMLA- und OMA-Schlüsselableitung
BigInteger-Algebra
Bietet Mittel zur Durchführung modularer Arithmetik (Addition und Multiplikation) in White-Box-Form
Geheime Weitergabe von Shamir
Unterteilt Geheimnisse, die verschlüsselt werden müssen, in verschiedene eindeutige Teile
Über uns Digital.ai
Digital.ai ist ein branchenführendes Technologieunternehmen, das sich der Unterstützung von Global 5000-Unternehmen beim Erreichen ihrer digitalen Transformationsziele verschrieben hat. Die Firmen AI-powered DevSecOps Plattform vereinheitlicht, sichert und generiert prädiktive Erkenntnisse über den gesamten Softwarelebenszyklus. Digital.ai ermöglicht es Unternehmen, Softwareentwicklungsteams zu skalieren, kontinuierlich Software mit höherer Qualität und Sicherheit bereitzustellen und gleichzeitig neue Marktchancen zu erschließen und den Geschäftswert durch intelligentere Softwareinvestitionen zu steigern.
Weitere Informationen über Digital.ai finden Sie unter digital.ai und Twitter, LinkedIn und Facebook.
Erfahren Sie mehr unter Digital.ai Application Security