क्रिप्टो कैसीनो
धार गियर
क्यों सभी उपयोगकर्ता डेटा का एन्क्रिप्शन महत्वपूर्ण है
खिलाड़ी डेटा केवल ई-मेल और पासवर्ड नहीं है। ये केवाईसी दस्तावेज़, भुगतान टोकन, सट्टेबाजी लॉग, उपकरण, आईपी, व्यवहार मैट्रिक्स हैं। कोई भी लीक प्रतिष्ठा, लाइसेंस और पी एंड एल। पूर्ण एन्क्रिप्शन (मार्ग, भंडारण में और आंशिक रूप से "उपयोग में") घटनाओं के परिणामों को कम करता है: एक चोरी डंप या अवरोधित यातायात बिना चाबियों के बाइट्स के एक अर्थहीन सेट में बदल जाता है।
1) धमकी मॉडल: क्या एन्क्रिप्शन हमें से बचाता है
ट्रैफिक अवरोधन (MITM, असुरक्षित नेटवर्क) → TLS 1। 2+/1. 3.
भंडारण पर बैकअप/डिस्क स्नैपशॉट → एन्क्रिप्शन (डिस्क/डीबी/ऑब्जेक्ट) की चोरी।
अभिगम त्रुटियां/गलत अधिकार - क्षेत्र एन्क्रिप्शन, टोकन, मास्किंग।
लेखांकन/आंतरिक दुरुपयोग का समझौता - कुंजी और डेटा का पृथक्करण, आरबीएसी/एबीएसी।
कर्मचारियों के मीडिया/उपकरणों का शारीरिक नुकसान → एफडीई/एमडीएम।
महत्वपूर्ण: गोपन पूरक, प्रतिस्थापन नहीं, अभिगम नियंत्रण, लॉगिंग और नेटवर्क विभाजन.
2) एन्क्रिप्शन की तीन परतें (एक साथ, अलग से नहीं)
1. पारगमन में: HTTPS/TLS 1। 2+/1. 3, mTLS सेवाओं, HSTS, वेबहुक हस्ताक्षर (HMAC) + एंटी-रिप्ले ('टाइमस्टैम्प', नॉन) के बीच।
2. आराम पर:- डिस्क/वॉल्यूम: LUKS/BitLocker/eCryptfs, KMS के साथ ऑटो-माउंट।
- डेटाबेस/ऑब्जेक्ट्स: AES-256-GCM, डेटा डोमेन द्वारा व्यक्तिगत कुंजी (पीआईआई, वित्त, लॉग)।
- बैकअप/स्नैपशॉट: अलग कुंजी नीति, ऑफसाइट/जियो, रिकवरी जांच।
- 3. उपयोग में: संवेदनशील क्षेत्रों का क्षेत्र एन्क्रिप्शन, यूआई/लॉग में मास्किंग, आवेदन पक्ष पर डी-एन्क्रिप्शन का प्रतिबंध; विशेष रूप से महत्वपूर्ण - टीईई/गोपनीय गणना के लिए।
3) कुंजियाँ - सिफर से अधिक महत्वपूर्ण: केएमएस/एचएसएम और संचालन
KMS/HSM: रूट कुंजियों का उत्पादन/भंडारण, रोटेशन, संचालन का ऑडिट।
पदानुक्रम: CMK (रूट) → DEK (डेटा) → विभिन्न डोमेन के लिए कुंजी (बटुआ/KYC/logs)।
रोटेशन: नियोजित (90-180 दिन) और अनिर्धारित (समझौता), याद करने पर क्रिप्टो-शेड।
कर्तव्यों का पृथक्करण (SoD): DB व्यवस्थापक के पास कुंजियों तक पहुंच नहीं है; क्रिप्टो अधिकारी डेटा नहीं देखता है।
प्रशासन के लिए समय मांग पहुंच (JIT) + MFA।
4) वास्तव में क्या एन्क्रिप्ट करना है (और कितनी गहराई से)
PII: पूरा नाम, पता, जन्म की तारीख, डेटाबेस में फ़ील्ड एन्क्रिप्शन, लॉग में मास्किंग।
KYC: दस्तावेज़, सेल्फी, लाइवनेस - अलग भंडारण/कुंजी, लघु प्रतिधारण।
भुगतान: पैन कभी नहीं रखें; टोकन, पीसीआई डीएसएस गुंजाइश में कमी, पीएसपी ने पृष्ठों की मेजबानी की।
खेल पत्रिकाएं/ईमानदारी: पक्ष/गैर-, संस्करण नियंत्रण - केवल पढ़ा-लिखा, हस्ताक्षर।
टेलीमेट्री और बीआई: गुमनामी/छद्म नाम, अंतर गोपनीयता जहां उपयुक्त हो।
5) एल्गोरिदम और डिफ़ॉल्ट सेटिंग्स
सममित: AES-256-GCM/ChaCha20-Poly1305 (AEAD, अखंडता संरक्षण)।
कुंजी विनिमय/सत्र: पीएफएस के साथ ईसीडीएचई।
मुख्य क्रिप्टोग्राफी: ECDSA P-256/P-384 या हस्ताक्षर RSA-3072।
पासवर्ड हैश: (या सही पैरामीटर के साथ स्क्रिप्ट/bcrypt), नहीं।
टीएलएस: 1। 3 पर, 1। 2 संगतता के रूप में; Ciphers केवल AEAD, निष्क्रिय CBC/RC4।
IV/nonce: अद्वितीय, गैर-दोहराने योग्य; सिफरटेक्स्ट के साथ स्टोर करें।
6) प्रदर्शन: एफपीएस और कैशियर को "ड्रॉप" कैसे न करें
हार्डवेयर निर्देशों (AES-NI) और कुंजी पूल का उपयोग करें।
फ़ील्ड गोपित करें, संपूर्ण स्ट्रिंग नहीं, जहाँ खोज/सूचकांक की आवश्यकता है.
स्थिर संपत्ति के लिए - TLS + CDN (एज कैश), HTTP/2/3।
प्रत्येक हॉप पर कई बार गर्म डेटा एन्क्रिप्ट न करें - एक क्रिप्टो कन्वेयर का निर्माण करें।
प्रोफाइल: अधिक बार "धीमा हो जाता है" क्रिप्टो नहीं, लेकिन मैं/ओ/धारावाहिक।
7) लॉग, बैकअप और परीक्षण वातावरण
लॉग: मास्क टोकन/पीआईआई, अपरिवर्तित WORM भंडारण में स्टोर करें, एन्क्रिप्ट अभिलेखागार।
बैकअप: अलग कुंजियों के साथ एन्क्रिप्शन, आवधिक डीआर परीक्षण (रिहर्सल बहाल करें), नीति द्वारा प्रतिधारण।
देव/चरण: असली पीआईआई का उपयोग कभी न करें; सिंथेटिक्स/मास्किंग, व्यक्तिगत कुंजी और नेटवर्क।
8) गोपनीयता और अनुपालन
GDPR/स्थानीय एनालॉग्स: कानूनी प्रसंस्करण आधार, DSR (पहुंच/हटाने/सुधार), न्यूनतम करना।
पीसीआई डीएसएस: कार्ड टोकन, परिवहन एन्क्रिप्शन, भुगतान लूप का अलगाव।
प्रोसेसर अनुबंध: डीपीआईए, एससीसी/डीटीआईए क्रॉस-बॉर्डर ट्रांसमिशन में।
प्रतिधारण नीतियां: "कोई जरूरत नहीं - हटाओ", ऑफबोर्डिंग के हिस्से के रूप में क्रिप्टो-मिटाओ।
9) विशिष्ट गलतियाँ (और उन्हें कैसे रोका जाए)
हम डेटा गोपित करते हैं, और कुंजी कोड/भंडार में हैं। केएमएस/वॉल्ट में कुंजी रखें, स्कैन रहस्य।
सब कुछ के लिए एकल कुंजी "। "डोमेन और वातावरण द्वारा विभाजित करें।
TLS है, लेकिन कोई HSTS/पिनिंग/वेबहुक हस्ताक्षर नहीं है। HSTS प्रीलोड, HMAC और एंटी-रीप्ले जोड़ें।
स्पष्ट पाठ में PII के साथ लॉग। अभिलेखागार के लिए मास्किंग + अलग महत्वपूर्ण स
कोई कुंजी घुमाव और कुंजी ऑडिट नहीं। शेड्यूल, अलर्ट और गतिविधि लॉग कॉन्फ़िगर करें।
असली दस्तावेजों के साथ परीक्षण। सिंथेटिक्स/गुमनामी केवल।
10) "डिफ़ॉल्ट एन्क्रिप्शन" कार्यान्वयन चेकलिस्ट
- टीएलएस 1। 2+/1. 3 हर जगह (किनारे, अंतर-सेवा), HSTS, 'wss ://'
- केएमएस/एचएसएम, प्रमुख पदानुक्रम, रोटेशन और ऑडिटिंग
- डेटाबेस/ऑब्जेक्ट/बैकअप एन्क्रिप्शन + पीआईआई फील्ड एनक्रिप्शन
- कार्ड टोकन, पीसीआई गुंजाइश में कमी
- हैश Argon2id पासवर्ड, प्रति उपयोगकर्ता नमक
- लॉग में PII मास्किंग, WORM भंडारण, SIEM
- वास्तविक पीआईआई के बिना देव/चरण; व्यक्तिगत कुंजी/नेटवर्क
- प्रतिधारण/क्रिप्टो-श्रेड नीतियां, डीएसआर प्रक्रियाएं (जीडीपीआर)
- वेबहुक हस्ताक्षर (HMAC), एंटी-रिप्ले, mTLS अंदर
- डीआर रिकवरी टेस्ट, ऑफसाइट बैकअप, लीक मॉनिटरिंग
11) मिनी-एफएक्यू
क्या ऑन-डिस्क एनक्रिप्शन पर्याप्त है? नहीं, यह नहीं है। TLS + क्षेत्र गोपन + कुंजी प्रबंधन की आवश्यकता है.
क्या एनक्रिप्शन खेल को धीमा कर देगा? सही वास्तुकला के साथ, नहीं: अड़ चनें आमतौर पर नेटवर्क/रेंडर में होती हैं।
यदि वहाँ एन्क्रिप्शन है तो टोकन क्यों? टोकन पैन भंडारण को समाप्त करते हैं और पीसीआई परिधि को कम करते हैं।
क्या मुझे टेलीमेट्री एन्क्रिप्ट करने की आवश्यकता है? हां, न्यूनतम यात्रा और संग्रह; प्लस गुमनामी।
जब कुंजी से समझौता किया जाता है तो क्या करें? तत्काल रोटेशन/रिकॉल, क्रिप्टो-श्रेड, एक्सेस विश्लेषण, आईआर नीति सूचनाएं।
सभी उपयोगकर्ता डेटा का एन्क्रिप्शन सुरक्षा की एक बुनियादी परत है जो केवल उचित कुंजी प्रबंधन, पहुंच अलगाव, डेटा न्यूनतम और DevSecOps अनुशासन के साथ मिलकर काम करती है। एक क्रिप्टो आर्किटेक्चर का निर्माण "डिफ़ॉल्ट रूप से", रोटेशन और डीआर परीक्षण, एन्क्रिप्ट बैकअप और लॉग, मास्क पीआईआई - और यहां तक कि एक घटना की स्थिति में, आप खिलाड़ियों, नियामकों और भागीदारों के विश्वास को बनाए रखेंगे।