GH GambleHub

Κρυπτογράφηση δεδομένων και TLS

1) Χάρτης απειλών και στόχοι

Κατά τη διαμετακόμιση: υποκλοπή/τροποποίηση της κυκλοφορίας, MitM, υποβάθμιση.
Σε ηρεμία (σε ηρεμία): κλοπή δίσκων/αντιγράφων ασφαλείας, DB/log dumps, εσωτερικά.
Κλειδιά: διαρροές μυστικών, αδύναμη περιστροφή, επαναχρησιμοποίηση.
Ο στόχος είναι να εξασφαλιστεί η εμπιστευτικότητα, η ακεραιότητα και η αυθεντικότητα, με μετρήσιμα SLO και διαχείριση της κρυπτογένειας.

2) Ταξινόμηση δεδομένων και πολιτική

Κατηγορίες: δημόσιες/εσωτερικές/εμπιστευτικές/περιορισμένες (PII/Finance/PAN).
Ετικέτες: 'δεδομένα. κλάση "," ενοικιαστής "," περιφέρεια "," κατακράτηση ".
Υποχρεωτικά μέτρα: για περιορισμένη - κρυπτογράφηση σε επίπεδο πεδίου/αντικειμένου, καταγραφή πρόσβασης, μεμονωμένα κλειδιά ανά ενοικιαστή/περιφέρεια.

3) Κρυπτογράφηση κατά την ανάπαυση

3. Κρυπτογράφηση φακέλου

κρυπτογράφηση δεδομένων DEK (Κλειδί κρυπτογράφησης δεδομένων) Κρυπτογράφηση KEK/CMK (KMS/HSM) DEK.
Η περιστροφή KEK δεν απαιτεί αποκρυπτογράφηση δεδομένων - επανακυκλοφορία DEK.
DEK κατά προτίμηση ανά αντικείμενο/μέρος/ενοικιαστής με σύντομο TTL.

3. 2 Επίπεδα

Διαφανής (TDE): δίσκος/χώροι πινακίδας (PostgreSQL/MySQL/SQL Server). Απλό, αλλά χωρίς κοκκώδη έλεγχο.
Στο επίπεδο εφαρμογής: πεδία/αντικείμενα (PAN, μυστικά) - καλύτερα για τους πολυκατοικούντες και τα ελάχιστα όρια πρόσβασης.
Αποθήκευση/νέφη: S3/GCS ΚΑΟ-KMS. για δεδομένα ACID - FLE (κρυπτογράφηση σε επίπεδο πεδίου), όπου είναι δυνατόν.

3. 3 Αλγόριθμοι και τρόποι λειτουργίας

AEAD: AES-256-GCM ή ChaCha20-Poly1305 (σε ΚΜΕ χωρίς AES-NI).
IV/nonce: η μοναδικότητα είναι αυστηρά υποχρεωτική· Φυλάσσετε δίπλα στο κρυπτογραφημένο κείμενο μην το επαναλάβετε.
Hashing: κωδικοί πρόσβασης - Argon2id (ή scrypt/bcrypt) με παραμέτρους αλατιού και σιδήρου.
MAC/υπογραφές: HMAC-SHA-256 για την ακεραιότητα ή την ενσωματωμένη ετικέτα AEAD.

3. 4 Πρακτική για DB/αρχεία

PostgreSQL: pgcrypto/επεκτάσεις. σχετικά με την εγγραφή - κρυπτογράφηση ευαίσθητων πεδίων στην εφαρμογή.
Mongo/Doc-storages: client-side FLE, κλειδιά στο KMS.
Αντίγραφα ασφαλείας: μεμονωμένα κλειδιά και προσβάσιμα μόνο από τον πράκτορα CI/CD. offsite αντίγραφα - πάντα κρυπτογραφημένα.

4) Διαχείριση κλειδιών (KMS/HSM/Vault)

Πηγή αλήθειας: KMS/HSM τα ιδιωτικά κλειδιά δεν εγκαταλείπουν τη συσκευή/υπηρεσία.
Έκδοση: 'παιδί', 'σκοπός', 'alg', 'δημιουργήθηκε _ στο', 'περιστρέφεται _ στο'.
Πρόσβαση: ελάχιστο προνόμιο. διαχωρισμός των καθηκόντων (SoD).
Εναλλαγή: προγραμματισμένη (3-6 μήνες για υπογραφή), εκδήλωση (περιστατικό), εναλλασσόμενη χρήση για μάρκες ανανέωσης.
Έλεγχος: αμετάβλητα αρχεία καταγραφής: ποιος, πότε, τι υπογράφηκε/αποκρυπτογραφήθηκε.
Πολυπληθής: κλειδιά ανά ενοικιαστή/εμπορικό σήμα/περιφέρεια. BYOK/HYOK εάν απαιτείται από τον πελάτη.

5) Κρυπτογράφηση εντός καναλιού (TLS)

5. 1 Χαμηλά επίπεδα

TLS 1. 2 +, κατά προτίμηση TLS 1. 3; HSTS σε τομείς.
Cipher Suites: TLS1. 3 - προκαθορισμένο (AES_256_GCM_SHA384/ CHACHA20_POLY1305_SHA256).
PFS: όλες οι βασικές ανταλλαγές Epemern (ECDHE).
ALPN: HTTP/2 και HTTP/3 (QUIC) περιλαμβάνουν συνειδητά. χρονοδιακόπτες ρολόι.

5. 2 Πιστοποιητικά, OCSP, pinning

Συρραφή OCSP και βραχείες αλυσίδες.
Επαναχρησιμοποίηση: εισιτήρια TLS με σύντομο TTL.
(TLS 1. 3): ενεργοποιήστε προσεκτικά (μόνο idempotent GET).
Pinning: μόνο «public-key pinning via TSP/Key continuity» σε εφαρμογές/κινητά (όχι σκληρά HPKP).
mTLS: εντός της περιμέτρου/μεταξύ υπηρεσιών και εταίρων· Προσόντα SAN.

5. 3 gRPC/HTTP/QUIC

Το gRPC διαβιβάζει προθεσμία και μεταδεδομένα - έλεγχος και περιορισμός του χρόνου ανά δοκιμή.
(QUIC) επιταχύνει το πρώτο byte· έλεγχος συμβατότητας WAF/ισολογισμού.

6) mTLS και mash υπηρεσίας

SPIFFE/SPIRE ή CA ματιών για αυτόματη έκδοση βραχέων πιστοποιητικών (7-30 ημέρες).
Πολιτικοί: που μιλούν σε ποιον (SVID→SVID), authZ σε επίπεδο L7.
Εναλλαγή - διαφανής· να ανακαλέσει μέσω επικαιροποιήσεων δέσμης εμπιστοσύνης.

7) Επιδόσεις και λειτουργία

AES-NI: για εξυπηρετητές με υποστήριξη - AES-GCM γρηγορότερα. Σε κινητές/παλαιές επεξεργαστές - ChaCha20-Poly1305.
Ρύθμιση TLS: μικρά πλήκτρα με PFS, αλλά εντός λογικών ορίων (P-256/25519)· κρύπτη χειραψίας.
Παρτίδα: ελαχιστοποίηση μικρών ερωτημάτων. Τα γενικά έξοδα του TLS είναι ανάλογα με τον αριθμό των συνδέσεων.
Offload: TLS στην περίμετρο (Απεσταλμένος/NGINX), εντός - mTLS με μάτια.

8) Μυστικές και λογιστικές πολιτικές

Μυστικά μόνο σε KMS/θησαυροφυλάκιο. στο Kubernetes - κρυπτογράφηση κ.λπ. + πάροχος KMS.
Κλείδωμα καταγραφής: κλειδιά/μάρκες/PAN/μυστικά. μάσκες.
Στιγμιότυπα/σκουπίδια: κρυπτογράφηση και περιορισμός της πρόσβασης. παρακολουθεί τις βασικές προσβάσεις.

9) Ρυθμίσεις και παραδείγματα

9. 1 NGINX (αυστηρό προφίλ TLS)

nginx ssl_protocols TLSv1. 2 TLSv1. 3;
ssl_prefer_server_ciphers on;
ssl_ciphers TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:ECDHE-ECDSA-AES256-GCM-SHA384;
ssl_ecdh_curve X25519:P-256;
ssl_session_timeout 10m;
ssl_session_cache shared:SSL:50m;
ssl_stapling on;
ssl_stapling_verify on;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

9. 2 Απεσταλμένος (mTLS έως ανάντη, ψευδοαπεσταλμένος)

yaml transport_socket:
name: envoy. transport_sockets. tls typed_config:
common_tls_context:
tls_params:
tls_minimum_protocol_version: TLSv1_2 tls_certificate_sds_secret_configs:
- name: service_cert # client certificate validation_context_sds_secret_config:
name: mesh_ca_bundle # trusted roots

9. 3 Παράδειγμα χρήσης AEAD (ψευδο)

pseudo nonce = random(12)
ciphertext, tag = AES256_GCM. encrypt(key=DEK, nonce, aad=tenant    object_id, plaintext)
store(nonce    ciphertext    tag)

10) Εναλλαγή και ανακληθέντα κλειδιά

JWKS/« παιδί »για JWT; σύντομη «exp».
Λίστες 'jti '/' sid' for που ανακαλούν μάρκες με TTL.
Μυστικά HMAC (webhooks): ενεργό + καναρίνι. παραλαβή πριν από τη λήξη της προθεσμίας.
TLS: T-30/T-7/T-1 καταχωρίσεις, αυτόματη ανανέωση, ασφαλές καναρίνι.

11) Παρατηρησιμότητα και προειδοποιήσεις

: 'tls _ χειραψία _ αποτυχία _ σύνολο {λόγος}', 'tls _ version _ share', 'cipher _ share', 'ocsp _ stapling _ λάθη', 'kms _ ops _ total {op}', 'decrypt _ fail _ total', 'jwks _ kid _ share'.
Αρχεία καταγραφής πρόσβασης: πρωτόκολλο/έκδοση/κρυπτογράφημα (χωρίς μυστικά).
Ειδοποιήσεις: λήξη πιστοποιητικών, αύξηση 'bad _ record _ mac', ανάπτυξη «μη εμπιστευμένων αλυσίδων», ανεπιτυχείς αποκρυπτογραφήσεις.

12) Ιδιαιτερότητες του iGaming/Finance

PAN-ασφαλείς ροές: σήμανση, αποθήκευση μόνο συμβολοσειράς· PAN - σε PSP/εμπορικό κατάστημα.
ΕΚΕ DSS: κρυπτογράφηση δεδομένων κατόχων καρτών, περιορισμός της πρόσβασης σε κλειδιά, καταγραφή συναλλαγών κρυπτογράφησης, διαχωρισμός δικτύου.
Περιφερειακότητα: Κλειδιά και δεδομένα στην περιοχή του παίκτη (καθυστέρηση/κυριαρχία).
Backoffice: mTLS + SSO, σύντομες συνεδρίες, FIDO2 για τους διαχειριστές.

13) Αντιπατερίδια

TLS <1. 2; επιτρεπόμενη ασθενής ciphers/RC4/3DES.
Κοινά «αιώνια» μυστικά και κλειδιά χωρίς περιστροφή και «παιδί».
Επανάληψη IV/nonce σε ΓΜΔ (θανατηφόρο για την ασφάλεια).
Αρχεία καταγραφής με μυστικά/κλειδιά/δεδομένα pan.
Μόνο TDE χωρίς κρυπτογράφηση ευαίσθητων πεδίων.
HPKP-pinning in prod (κίνδυνος «αυτο-κλειδώματος»).
σχετικά με τη συγγραφή/μη-idempotent ερωτήματα.

14) Κατάλογος ελέγχου ετοιμότητας Prod

  • Πολιτική ταξινόμησης και κρυπτογράφησης δεδομένων (ανά κατηγορία).
  • AEAD (AES-GCM/ChaCha20-Poly1305), το μοναδικό nonce· Κωδικός πρόσβασης Argon2id.

Κρυπτογράφηση φακέλου: DEK ανά αντικείμενο/ενοικιαστή. KEK-KMS/HSM.

  • TLS 1. 2+/1. 3, HSTS, συρραφή OCSP· ένα εύλογο σύνολο κρυπτογραφημάτων.
  • mTLS εντός· αυτόματη έκδοση/εναλλαγή σύντομων πιστοποιητικών.
  • JWKS/« παιδί », σύντομη« exp », λίστες« jti », περιστροφή μυστικών/σειρήνων με επικάλυψη.
  • Τα αντίγραφα ασφαλείας και τα αρχεία καταγραφής είναι κρυπτογραφημένα. ελέγχονται η πρόσβαση και οι λειτουργίες.
  • Ταμπλέτες/καταχωρίσεις σύμφωνα με το TLS/KMS/JWKS. δοκιμές αποικοδόμησης και καναρίνι.
  • Τεκμηρίωση: διαδικασίες συμβάντων (συμβιβασμός κλειδιού/πιστοποιητικού).

15) TL· DR

Κρυπτογράφηση παντού: στο κανάλι - TLS 1. 3/1. 2 με PFS και αυστηρή περίμετρο, μέσα - mTLS. Σε ηρεμία - φάκελο (DEK/KEK) με πλήκτρα σε KMS/HSM, κρυπτογραφημένα με κόκκους ευαίσθητα πεδία. Διαχείριση κλειδιών μέσω «παιδιού »/JWKS και τακτική αλληλεπικαλυπτόμενη περιστροφή, αποθήκευση κρυπτογραφικών αρχείων συναλλαγών. Επιλέξτε AES-GCM (ή ChaCha20-Poly1305), μην επαναχρησιμοποιήσετε αντίγραφα ασφαλείας/αρχεία καταγραφής. Για iGaming/PAN, μαρκινοποίηση και PCI-συνειδητή κατάτμηση.

Contact

Επικοινωνήστε μαζί μας

Επικοινωνήστε για οποιαδήποτε βοήθεια ή πληροφορία.Είμαστε πάντα στη διάθεσή σας.

Telegram
@Gamble_GC
Έναρξη ολοκλήρωσης

Το Email είναι υποχρεωτικό. Telegram ή WhatsApp — προαιρετικά.

Το όνομά σας προαιρετικό
Email προαιρετικό
Θέμα προαιρετικό
Μήνυμα προαιρετικό
Telegram προαιρετικό
@
Αν εισαγάγετε Telegram — θα απαντήσουμε και εκεί.
WhatsApp προαιρετικό
Μορφή: κωδικός χώρας + αριθμός (π.χ. +30XXXXXXXXX).

Πατώντας «Αποστολή» συμφωνείτε με την επεξεργασία δεδομένων.