Kriptovalyutalar
Torrent Gear
Niyə bütün istifadəçi məlumatlarını şifrələmək vacibdir?
Oyunçu məlumatları yalnız e-mail və parol deyil. Bunlar KYC sənədləri, ödəniş tokenləri, bahis jurnalları, cihazlar, IP, davranış metrikalarıdır. Hər hansı bir sızma nüfuzuna, lisenziyalarına və P & L-ə təsir edir. Tam şifrələmə (yolda, saxlama və qismən «istifadədə») hadisələrin nəticələrini minimuma endirir: oğurlanmış damp və ya ələ keçirilən trafik anahtarsız mənasız bayt dəstinə çevrilir.
1) Təhdidlər modeli: şifrələmə bizi nədən qoruyur
Trafikin tutulması (MITM, təhlükəli şəbəkələr) → TLS 1. 2+/1. 3.
Arxa/disk şəkillərinin oğurlanması → saxlama şifrələmə (disk/db/object).
Giriş səhvləri/səhv hüquqlar → sahə şifrələmə, tokenizasiya, maskalanma.
Qeydlərin pozulması/daxili sui-istifadə → açar və məlumatların ayrılması, RBAC/ABAC.
Fiziki media itkisi/işçilərin cihazı → FDE/MDM.
Vacib: şifrələmə giriş nəzarəti, jurnallaşdırma və şəbəkə seqmentasiyası əvəzinə tamamlayır.
2) Üç qat şifrələmə (birlikdə, ayrı-ayrılıqda deyil)
1. Yolda (in transit): HTTPS/TLS 1. 2+/1. 3, mTLS xidmətlər arasında, HSTS, vebhuk imzaları (HMAC) + anti-replay ('timestamp', nonce).
2. Saxlanılan (at rest):- Disklər/cildlər: LUKS/BitLocker/eCryptfs, KMS ilə auto-mount.
- Verilənlər bazası/obyektləri: AES-256-GCM, verilənlər domenləri üzrə fərdi açarlar (PII, maliyyə, qeydlər).
- Backup/snapshot: ayrı əsas siyasət, offsite/Geo, bərpa yoxlama.
- 3. İstifadədə (in use): həssas sahələrin sahə şifrələnməsi, UI/log maskalanması, tətbiqlərin tərəfində de-şifrələmənin məhdudlaşdırılması; xüsusilə kritik üçün - TEE/məxfi hesablamalar.
3) Açarlar - şifrələrdən daha vacibdir: KMS/HSM və əməliyyatlar
KMS/HSM: kök açarlarının yaradılması/saxlanması, rotasiya, əməliyyatların auditi.
Hiyerarxiya: CMK (root) → DEK (data) → müxtəlif domenlər üçün açarlar (wallet/KYC/logs).
Rotasiya: planlı (90-180 gün) və plansız (güzəşt), geri çağırıldıqda crypto-shred.
Vəzifə ayrılması (SoD): DB administrasiyasının açarlara çıxışı yoxdur; kriptovalyutası heç bir məlumat görmür.
Access «zaman tələbi» (JIT) + MFA administratorları üçün.
4) Tam şifrələmək nədir (və necə dərin)
PII: tam adı, ünvanı, doğum tarixi, əlaqə → DB-də sahə şifrələməsi, log maskası.
KYC: sənədlər, selfie, liveness → ayrı saxlama/açar, qısa retensiya.
Ödənişlər: heç vaxt PAN saxlamaq; tokenizasiya, PCI DSS scope-reduksiya, PSP hosted page.
Oyun jurnalları/dürüstlük: sids/nonce, versiyası nəzarət - read-only oxumaq, imzalar.
Telemetri və BI: anonimləşdirmə/təxəllüs, uyğun olduğu diferensial məxfilik.
5) Alqoritmlər və default parametrləri
Simmetrik: AES-256-GCM/ChaCha20-Poly1305 (AEAD, bütövlük qorunması).
Açar mübadiləsi/sessiya: PFS ilə ECDHE.
Açar kriptoqrafiyası: ECDSA P-256/P-384 və ya imza üçün RSA-3072.
Hash parolları: Argon2id (və ya scrypt/bcrypt düzgün parametrləri ilə), SHA-256 deyil.
TLS: 1. 3 daxil, 1. 2 uyğunluq kimi; şifrələr yalnız AEAD, CBC/RC4 söndürmək.
IV/nonce: unikal, təkrarolunmaz; şifrəli mətnlə birlikdə saxlayın.
6) Performans: FPS və kassanı necə «endirməmək»
Hardware təlimatları (AES-NI) və açar hovuzları istifadə edin.
Axtarış/indekslərin lazım olduğu bütün sətirləri deyil, sahələri şifrələyin.
Statik assetlər üçün - TLS + CDN (edge-cache), HTTP/2/3.
Hər hopda «isti» məlumatları dəfələrlə şifrləməyin - kriptokonveyer qurun.
Profil: Daha çox «yavaşlayır» kriptovalyutası deyil, I/O/serializasiya.
7) Log, backup və test mühitləri
Log 'lar: tokenləri/PII maskalayın, dəyişməz WORM saxlayın, arxivləri şifrələyin.
Arxa planlar: ayrı-ayrı açarlarla şifrələmə, periodik DR testləri (restore rehearsal), siyasət retensiyası.
Dev/Stage: heç vaxt real PII istifadə etməyin; sintetik/maskalama, fərdi açarlar və şəbəkələr.
8) Gizlilik və uyğunluq
GDPR/yerli analoqları: qanuni emal əsasları, DSR (giriş/silmə/düzəltmə), minimuma endirmə.
PCI DSS: kartların tokenlaşdırılması, nəqliyyatın şifrələnməsi, ödəniş dövrəsinin parçalanması.
Transsərhəd ötürmə zamanı DPIA, SCC/DTIA prosessorları ilə müqavilələr.
Retence siyasəti: «lazım deyil - sil», crypto-erase offboarding 'a bir hissəsi kimi.
9) Tipik səhvlər (və onların qarşısını almaq üçün necə)
Məlumatları şifrələyirik, açarları isə kod/anbarda. Açarları KMS/Vault-da saxlayın, sirləri skan edin.
"Hər şey üçün 'bir açar. Domenlərə və ətraflara bölün.
TLS var, lakin HSTS/Pinning/Webhook imzaları yoxdur. HSTS preload, HMAC və anti-replay əlavə edin.
Açıq formada PII ilə log. Maskalanma + arxiv üçün ayrı əsas yer.
Heç bir rotasiya və açar auditi. Cədvəli, riskləri və əməliyyat jurnalını konfiqurasiya edin.
Real sənədlərlə testlər. Yalnız sintetik/anonimləşdirmə.
10) «Default şifrələmə» giriş yoxlama siyahısı
- TLS 1. 2+/1. 3 hər yerdə (edge, servislərarası), HSTS, 'wss ://'
- KMS/HSM, açar iyerarxiyası, rotasiya və audit
- DB/Object/Backup şifrələmə + PII sahə şifrələmə
- Kart tokenizasiyası, PCI scope azaldılması
- Hash Argon2id parol, istifadəçi duz
- Log, WORM-saxlama, SIEM-də PII maskalanması
- Dev/Stage real PII olmadan; fərdi açarlar/şəbəkələr
- Retence/crypto-shred siyasəti, DSR prosesləri (GDPR)
- Vebhuk imzaları (HMAC), anti-replay, mTLS
- DR bərpa testləri, offsite backup, sızma monitorinqi
11) Mini-FAQ
«Diskdə» şifrələmə kifayətdir? Yox. TLS + sahə şifrələmə + açar idarəetmə lazımdır.
Şifrələmə oyunu yavaşlatacaqmı? Düzgün memarlıq ilə - yox: tor/render adətən dar yerlər.
Şifrələmə varsa niyə tokenlaşdırma lazımdır? Tokenlər PAN saxlanmasını istisna edir və PCI perimetrini azaldır.
Telemetriyanı şifrələmək lazımdırmı? Bəli, yolda və arxivləşdirmə zamanı minimum; üstəlik anonimləşdirmə.
Açarı pozarkən nə etməli? Dərhal rotasiya/geri çağırış, crypto-shred, giriş təhlili, IR siyasəti haqqında bildirişlər.
Bütün istifadəçi məlumatlarının şifrələnməsi yalnız düzgün açar idarəetməsi, giriş seqreqasiyası, verilənlərin minimallaşdırılması və DevSecOps intizamı ilə birlikdə işləyən əsas təhlükəsizlik təbəqəsidir. «Default» kriptovalyutası qurun, rotasiyaları və DR testlərini avtomatlaşdırın, arxa planları və qeydləri şifrələyin, PII-ni maskalayın - və hadisə baş verərsə belə, oyunçuların, tənzimləyicilərin və tərəfdaşların etibarını qoruyub saxlayacaqsınız.