GH GambleHub

رمزگذاری داده ها و TLS

1) نقشه تهدید و اهداف

در حمل و نقل: رهگیری ترافیک/اصلاح، MitM، downgrade.
در حالت استراحت (در حالت استراحت): سرقت دیسک/پشتیبان گیری، DB/log dump، خودی.
کلید: نشت اسرار، چرخش ضعیف، استفاده مجدد.
هدف این است که اطمینان حاصل شود محرمانه بودن، یکپارچگی و صحت، با SLO قابل اندازه گیری و رمزنگاری مدیریت شده.

2) طبقه بندی داده ها و سیاست

کلاس ها: عمومی/داخلی/محرمانه/محدود (PII/امور مالی/PAN).
برچسب ها: 'داده ها. کلاس '،' مستاجر '،' منطقه '،' حفظ '.
اقدامات اجباری: برای محدود - رمزگذاری در سطح زمینه/شی، ورود به سیستم دسترسی، کلید های فردی در هر مستاجر/منطقه.

3) رمزگذاری در حالت استراحت

3. 1 رمزگذاری پاکت

DEK (کلید رمزگذاری داده ها) رمزگذاری داده ها ؛ KEK/CMK (KMS/HSM) DEK را رمزگذاری می کند.
چرخش KEK نیازی به رمزگشایی داده ها ندارد - DEK را دوباره بسته بندی کنید.
DEK ترجیحا در هر شی/حزب/مستاجر با TTL کوتاه.

3. 2 سطح

شفاف (TDE): فضای دیسک/جدول (PostgreSQL/MySQL/SQL Server). ساده، اما بدون کنترل دانه ای.
در سطح برنامه: زمینه ها/اشیاء (PAN، اسرار) - بهتر است برای چند مستاجر و حداقل دسترسی.
ذخیره سازی/ابرها: S3/GCS SSE-KMS ؛ برای داده های ACID - FLE (رمزگذاری سطح میدان) در صورت امکان.

3. 3 الگوریتم ها و حالت ها

AEAD: AES-256-GCM یا ChaCha20-Poly1305 (در CPU بدون AES-NI).
IV/nonce: منحصر به فرد بودن به شدت اجباری است ؛ ذخیرۀ کنار متن رمزشده تکرار نمیشود.
Hashing: کلمات عبور - Argon2id (یا scrypt/bcrypt) با پارامترهای نمک و آهن.
MAC/signatures: HMAC-SHA-256 برای یکپارچگی یا برچسب AEAD ساخته شده است.

3. 4 تمرین برای DB/فایل ها

PostgreSQL: pgcrypto/برنامه های افزودنی ؛ on write - فیلدهای حساس در برنامه را رمزگذاری کنید.
Mongo/Doc-storages: FLE سمت سرویس گیرنده، کلید در KMS.
پشتیبان گیری: کلید های فردی و فقط از عامل CI/CD قابل دسترسی است ؛ نسخه های خارج از سایت - همیشه رمزگذاری شده است.

4) مدیریت کلید (KMS/HSM/خرک)

منبع حقیقت: KMS/HSM ؛ کلیدهای خصوصی دستگاه/سرویس را ترک نمی کنند.
نسخه بندی: «بچه»، «هدف»، «alg»، «created _ at»، «rotates _ at».

دسترسی: کمترین امتیاز ؛ تفکیک وظایف (SoD)

چرخش: برنامه ریزی شده (3-6 ماه برای امضای)، رویداد (حادثه)، چرخش در استفاده برای نشانه تازه کردن.
حسابرسی: سیاهههای مربوط تغییر ناپذیر: چه کسی، چه زمانی، چه امضا/رمزگشایی شده است.
چند مستاجر: کلید در هر مستاجر/نام تجاری/منطقه ؛ BYOK/HYOK در صورت نیاز توسط مشتری.

5) رمزگذاری در کانال (TLS)

5. 1 پایین ترین

TLS 1. 2 +، ترجیحا TLS 1. 3; HSTS در دامنه ها

رمز سوئیت: TLS1. 3 - از پیش تعریف شده (AES_256_GCM_SHA384/ CHACHA20_POLY1305_SHA256).
PFS: همه مبادلات کلیدی (ECDHE).
ALPN: HTTP/2 و HTTP/3 (QUIC) شامل آگاهانه ؛ تايمر را نگاه کن.

5. 2 گواهینامه ها، OCSP، پینینگ

OCSP منگنه و زنجیر کوتاه.
جلسات استفاده مجدد: بلیط TLS با TTL کوتاه.
0-RTT (TLS 1) 3): با دقت روشن کنید (فقط GET idempotent).
پینینگ: تنها 'کلید عمومی پینینگ از طریق تداوم TSP/کلید' در برنامه های کاربردی/تلفن همراه (HPKP سخت نیست).

mTLS: در محیط/بین خدمات و شرکا ؛ مدرک تحصیلی SAN

5. 3 gRPC/HTTP/QUIC

gRPC انتقال مهلت و ابرداده - چک و محدود کردن در هر سعی کنید وقفه.
HTTP/3 (QUIC) اولین بایت را تسریع می کند ؛ سازگاری WAF/balancer را بررسی کنید.

6) mTLS و سرویس مش

SPIFFE/SPIRE یا mesh-CA برای صدور خودکار گواهینامه های کوتاه (7-30 روز).
سیاستمداران: چه کسی با چه کسی صحبت می کند (SVID → SVID)، authZ در سطح L7.
چرخش - شفاف ؛ لغو از طریق به روز رسانی اعتماد بسته نرم افزاری.

7) عملکرد و بهره برداری

AES-NI: در سرورهای با پشتیبانی - AES-GCM سریعتر. در پردازنده های موبایل/قدیمی - ChaCha20-Poly1305.
تنظیم TLS: کلید های کوتاه با PFS، اما در حد معقول (P-256/25519) ؛ کش دست دادن.
دسته بندی: پرس و جوهای کوچک را به حداقل برسانید. TLS-سربار متناسب با تعداد اتصالات است.
Offload: TLS در محیط (Envoy/NGINX)، در داخل - mTLS در مش.

8) سیاست های مخفی و ورود به سیستم

اسرار فقط در KMS/Vault ؛ in Kubernetes - ارائه دهنده رمزگذاری etcd + KMS.

ورود به سیستم: کلید/نشانه/PAN/اسرار ؛ ماسک زدن

عکس های فوری/تخلیه: رمزگذاری و محدود کردن دسترسی ؛ نظارت بر دسترسی های کلیدی

9) پیکربندی و نمونه

9. 1 NGINX (مشخصات سخت TLS)

nginx ssl_protocols TLSv1. 2 TLSv1. 3;
ssl_prefer_server_ciphers on;
ssl_ciphers TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:ECDHE-ECDSA-AES256-GCM-SHA384;
ssl_ecdh_curve X25519:P-256;
ssl_session_timeout 10m;
ssl_session_cache shared:SSL:50m;
ssl_stapling on;
ssl_stapling_verify on;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

9. 2 نماینده (mTLS به بالادست، شبه)

yaml transport_socket:
name: envoy. transport_sockets. tls typed_config:
common_tls_context:
tls_params:
tls_minimum_protocol_version: TLSv1_2 tls_certificate_sds_secret_configs:
- name: service_cert # client certificate validation_context_sds_secret_config:
name: mesh_ca_bundle # trusted roots

9. 3 مثال استفاده از AEAD (شبه)

pseudo nonce = random(12)
ciphertext, tag = AES256_GCM. encrypt(key=DEK, nonce, aad=tenant    object_id, plaintext)
store(nonce    ciphertext    tag)

10) چرخش و کلید های لغو شده

JWKS/' بچه 'برای JWT ؛ «exp» کوتاه است.
فهرستهای 'jti '/' sid' برای لغو توکنها با TTL.
اسرار HMAC (webhooks): فعال + قناری ؛ پذیرش توسط هر دو قبل از مهلت.
TLS: هشدار T-30/T-7/T-1، تجدید خودکار، قناری امن.

11) قابلیت مشاهده و هشدار

Метрики: 'tls _ handshake _ fail _ total {reason}', 'tls _ version _ share', 'cipher _ share', 'ocsp _ stapling _ errors', 'kms _ ops _ total {op}', 'decrypt _ fail _ total', 'jwks _ kid _ share'.
سیاهههای مربوط به دسترسی: پروتکل/نسخه/رمز (بدون اسرار).
هشدارها: گواهینامه های منقضی شده، افزایش «bad _ record _ mac»، رشد «زنجیره های غیرقابل اعتماد»، رمزگشایی های ناموفق.

12) مشخصات iGaming/امور مالی

جریانهای PAN-safe: نشانه گذاری، ذخیره سازی فقط نشانه ؛ PAN - در PSP/فروشگاه رمز.
PCI DSS: رمزگذاری داده های دارنده کارت، محدود کردن دسترسی به کلید ها، ورود به سیستم معامله رمزنگاری، تقسیم بندی شبکه.
منطقه ای: کلید و داده ها در منطقه بازیکن (تاخیر/حاکمیت).
دفتر پشتی: mTLS + SSO، جلسات کوتاه، FIDO2 برای مدیران.

13) ضد گلوله

TLS <1. 2; اجازه دادن به ciphers/RC4/3DES ضعیف

اسرار مشترک «ابدی» و کلید بدون چرخش و «بچه».
تکرار IV/nonce در GCM (کشنده برای امنیت).
سیاهههای مربوط با اسرار/کلید/داده پان.
فقط TDE بدون رمزگذاری زمینه های حساس.
HPKP-pinning در prod (خطر «خود قفل»).
0-RTT بر روی نوشتن/نمایش داده شد غیر idemotent.

14) تولید لیست آمادگی

  • طبقه بندی داده ها و سیاست رمزگذاری (در هر کلاس).
  • AEAD (AES-GCM/ChaCha20-Poly1305) ؛ نانس منحصر به فرد ؛ Argon2id رمز عبور
  • رمزگذاری پاکت: DEK در هر شی/مستاجر ؛ KEK в KMS/HSM.
  • TLS 1. 2+/1. 3، HSTS، مهر و موم OCSP ؛ مجموعه معقولي از رمزها.
  • mTLS در داخل ؛ صدور خودکار/چرخش گواهینامه های کوتاه.
  • JWKS/' بچه '، کوتاه' exp '، لیست' jti '؛ چرخش اسرار/serts با همپوشانی.
  • پشتیبان گیری و سیاهههای مربوط رمزگذاری می شوند; دسترسی ها و عملیات بررسی می شود.
  • داشبورد/هشدار به عنوان TLS/KMS/JWKS ؛ تست تخریب و قناری.
  • مستندات: روش های حادثه (کلید/cert سازش).

15) TL ؛ دکتر متخصص

رمزگذاری در همه جا: در کانال - TLS 1. 3/1. 2 با PFS و محیط سخت ؛ در داخل - mTLS. در حالت استراحت - پاکت (DEK/KEK) با کلیدهای KMS/HSM، زمینه های حساس را به صورت دانه ای رمزگذاری می کند. مدیریت کلید ها از طریق «بچه »/JWKS و چرخش منظم همپوشانی، ذخیره سیاهههای مربوط به معاملات رمزنگاری. AES-GCM (یا ChaCha20-Poly1305) را انتخاب کنید، از نانس استفاده مجدد نکنید، پشتیبان گیری/سیاهههای مربوط را رمزگذاری کنید. برای iGaming/PAN، توکن سازی و تقسیم بندی آگاهانه PCI.

Contact

با ما در تماس باشید

برای هرگونه سؤال یا نیاز به پشتیبانی با ما ارتباط بگیرید.ما همیشه آماده کمک هستیم!

Telegram
@Gamble_GC
شروع یکپارچه‌سازی

ایمیل — اجباری است. تلگرام یا واتساپ — اختیاری.

نام شما اختیاری
ایمیل اختیاری
موضوع اختیاری
پیام اختیاری
Telegram اختیاری
@
اگر تلگرام را وارد کنید — علاوه بر ایمیل، در تلگرام هم پاسخ می‌دهیم.
WhatsApp اختیاری
فرمت: کد کشور و شماره (برای مثال، +98XXXXXXXXXX).

با فشردن این دکمه، با پردازش داده‌های خود موافقت می‌کنید.