Envelope Encryption - definicja
Envelope Encryption, po polsku szyfrowanie kopertowe, to wzorzec kryptograficzny, w którym dane robocze szyfruje się jednorazowym lub okresowo rotowanym kluczem danych, a sam klucz danych jest następnie szyfrowany osobnym kluczem nadrzędnym. W praktyce oznacza to rozdzielenie ochrony treści od ochrony klucza, który tę treść zaszyfrował. Taki model jest stosowany w systemach przetwarzających duże pliki, w tym zdjęcia i nagrania wideo zawierające twarze oraz tablice rejestracyjne.
W literaturze technicznej odpowiada to połączeniu szyfrowania symetrycznego danych z mechanizmem key wrapping lub z użyciem kryptografii asymetrycznej do ochrony klucza danych. NIST opisuje key wrapping w publikacji SP 800-38F z 2012 r., a zarządzanie cyklem życia kluczy w SP 800-57 Part 1 Rev. 5 z 2020 r. W środowiskach produkcyjnych najczęściej dane szyfruje się algorytmem AES, a klucz danych zabezpiecza się przy użyciu klucza przechowywanego w KMS lub HSM, albo za pomocą kryptografii asymetrycznej.
W kontekście anonimizacji zdjęć i wideo szyfrowanie kopertowe nie zastępuje rozmywania twarzy ani zamazywania tablic rejestracyjnych. Pełni inną funkcję. Chroni materiał źródłowy, pliki pośrednie, eksporty oraz klucze używane podczas przetwarzania. Jest istotne wtedy, gdy organizacja musi ograniczyć ryzyko nieuprawnionego dostępu do nagrań przed anonimizacją, w trakcie przetwarzania i po jego zakończeniu.
Jak działa szyfrowanie kopertowe w przetwarzaniu zdjęć i wideo
Mechanizm jest prosty koncepcyjnie, ale ważne są szczegóły operacyjne. Dla każdego pliku lub partii plików system generuje klucz danych. Tym kluczem szyfruje obraz, nagranie lub archiwum wynikowe. Następnie klucz danych jest szyfrowany kluczem nadrzędnym. Do pliku lub rekordu metadanych trafia zaszyfrowany klucz danych, identyfikator użytego klucza nadrzędnego oraz parametry niezbędne do odszyfrowania, na przykład nonce lub IV.
W systemie do anonimizacji materiałów wizualnych taki przepływ zwykle wygląda następująco:
- plik wejściowy jest zapisywany w szyfrowanym magazynie,
- na czas obróbki tworzony jest kontrolowany dostęp do danych odszyfrowanych,
- model AI wykonuje detekcję twarzy i tablic rejestracyjnych,
- wynik anonimizacji jest zapisywany jako nowy plik, również szyfrowany,
- klucze danych dla wersji wejściowej i wyjściowej mogą być różne,
- rotacja klucza nadrzędnego nie wymaga ponownego szyfrowania całych plików, a jedynie ponownego zabezpieczenia kluczy danych.
To ostatnie jest główną zaletą architektury kopertowej przy dużych wolumenach danych wideo. Ponowne szyfrowanie terabajtów materiału byłoby kosztowne obliczeniowo i operacyjnie. Ponowne zabezpieczenie samych kluczy danych jest znacznie szybsze.
Rola szyfrowania kopertowego w anonimizacji zdjęć i nagrań
W procesie anonimizacji wizualnej występują co najmniej dwa typy ryzyka. Pierwsze dotyczy błędnej lub niepełnej detekcji twarzy i tablic rejestracyjnych. Drugie dotyczy ujawnienia materiału przed anonimizacją albo dostępu do wersji źródłowej po wykonaniu eksportu. Szyfrowanie kopertowe adresuje ten drugi obszar.
W praktyce oznacza to, że nawet gdy plik zostanie skopiowany z repozytorium lub nośnika zapasowego, pozostaje nieczytelny bez dostępu do poprawnego klucza nadrzędnego i metadanych kryptograficznych. Dla Inspektora Ochrony Danych ważne jest to, że środek ten wspiera zasadę poufności i integralności z art. 5 ust. 1 lit. f RODO oraz bezpieczeństwo przetwarzania z art. 32 RODO. Samo szyfrowanie nie czyni jednak danych anonimowymi. Zgodnie z podejściem EROD i organów nadzorczych jest to środek bezpieczeństwa, a nie technika anonimizacji.
Kluczowe elementy techniczne i parametry
Ocena jakości wdrożenia nie powinna ograniczać się do stwierdzenia, że dane są szyfrowane. Znaczenie mają algorytmy, długości kluczy, sposób generowania losowości oraz model zarządzania kluczami.
Element | Typowe rozwiązanie | Znaczenie praktyczne
|
|---|---|---|
Algorytm szyfrowania danych | AES-256-GCM | Poufność i integralność w jednym trybie AEAD. NIST SP 800-38D, 2007. |
Klucz danych | DEK - Data Encryption Key | Szyfruje konkretny plik, segment lub partię danych. |
Klucz nadrzędny | KEK lub CMK | Służy do zabezpieczenia DEK. Powinien być chroniony w KMS lub HSM. |
Opakowanie klucza | AES Key Wrap | Standaryzowany mechanizm ochrony kluczy. NIST SP 800-38F, 2012. |
Losowość | CSPRNG | Krytyczna dla bezpieczeństwa nonce, IV i kluczy. |
Rotacja kluczy | Okresowa lub zdarzeniowa | Ogranicza skutki kompromitacji klucza i wspiera zarządzanie cyklem życia kluczy. |
Przykładowe metryki i atrybuty, które warto ocenić w systemie przetwarzania zdjęć i wideo:
- czas odszyfrowania i udostępnienia pliku do obróbki - zwykle liczony w ms lub s na plik,
- narzut na storage - metadane, tag uwierzytelniający, zaszyfrowany DEK,
- czas rotacji klucza nadrzędnego - zależny od liczby operacji ponownego zabezpieczania kluczy,
- RPO i RTO dla odzyskiwania kluczy po awarii,
- liczba osób i ról z dostępem do odszyfrowania materiału źródłowego,
- poziom izolacji między środowiskiem produkcyjnym, testowym i backupem.
Jeżeli system korzysta z AES-GCM, trzeba zapewnić unikalność nonce dla danego klucza. Naruszenie tej zasady może prowadzić do utraty bezpieczeństwa. To wymóg techniczny, nie opcja konfiguracyjna.
Zastosowanie praktyczne w środowisku on-premise
W środowiskach on-premise, które są częste przy pracy z materiałami wrażliwymi, szyfrowanie kopertowe ułatwia rozdzielenie obowiązków. Serwer aplikacyjny może przetwarzać pliki, ale klucz nadrzędny pozostaje poza nim, na przykład w HSM lub dedykowanym KMS. Dzięki temu kompromitacja jednego komponentu nie musi oznaczać natychmiastowego dostępu do pełnej treści nagrań.
W przypadku Gallio PRO ma to znaczenie przy organizacji bezpiecznego obiegu plików. Oprogramowanie automatycznie zamazuje twarze i tablice rejestracyjne, ale nie wykonuje anonimizacji innych kategorii danych widocznych w materiale. Dlatego szczególnie ważna jest ochrona plików źródłowych oraz kopii roboczych. Szyfrowanie kopertowe może zabezpieczać materiał przed obróbką, po obróbce i w archiwum. Nie zmienia to zakresu funkcji detekcyjnych systemu - logotypy, tatuaże, tabliczki z imionami, dokumenty czy obraz na ekranach monitorów nie są wykrywane automatycznie i wymagają działań manualnych w edytorze.
Ograniczenia i najczęstsze błędy
Szyfrowanie kopertowe jest dojrzałym wzorcem, ale bywa wdrażane niepoprawnie. Wtedy korzyści formalne nie przekładają się na realne bezpieczeństwo.
- przechowywanie klucza nadrzędnego na tym samym serwerze co zaszyfrowane pliki,
- brak rotacji kluczy i procedur wycofania klucza po incydencie,
- użycie przestarzałych trybów bez uwierzytelnienia, na przykład samego CBC bez dodatkowej ochrony integralności,
- niewłaściwe zarządzanie nonce lub IV,
- traktowanie szyfrowania jako zamiennika anonimizacji,
- pozostawianie niezaszyfrowanych plików tymczasowych i cache podczas przetwarzania wideo.
Trzeba też odróżnić bezpieczeństwo kryptograficzne od skuteczności anonimizacji. Nawet najlepiej zaszyfrowany materiał po odszyfrowaniu nadal może zawierać widoczne dane osobowe, jeśli detekcja twarzy lub tablic rejestracyjnych była niepełna.
Odniesienia normatywne i źródła
Poniższe dokumenty są najczęściej przywoływane przy projektowaniu i audycie takiego rozwiązania. To źródła techniczne i regulacyjne, a nie komentarze marketingowe.
- NIST SP 800-38D, Recommendation for Block Cipher Modes of Operation: Galois/Counter Mode (GCM) and GMAC, 2007.
- NIST SP 800-38F, Recommendation for Block Cipher Modes of Operation: Methods for Key Wrapping, 2012.
- NIST SP 800-57 Part 1 Rev. 5, Recommendation for Key Management, 2020.
- FIPS 197, Advanced Encryption Standard (AES), aktualizacja redakcyjna 2023, pierwotna publikacja 2001.
- RODO - Rozporządzenie (UE) 2016/679, art. 5 i art. 32.
- ENISA, materiały dotyczące pseudonimizacji i środków kryptograficznych w ochronie danych, wykorzystywane pomocniczo przy ocenie środków technicznych.
W części terminologicznej można spotkać dwie praktyki. Jedna rozróżnia DEK i KEK jako odrębne role kluczy. Druga używa nazw zależnych od dostawcy, na przykład data key i customer managed key. Różnica jest głównie nazewnicza, jeśli architektura zachowuje ten sam podział funkcji.