10 peamist krüptimistingimust, mida kõik peaksid teadma ja mõistma

Reklaam

Võimalik, et olete selle sõnaga tuttav krüptimine. Tõenäoliselt olete kuulnud sellest, kui oluline see on, aga ka sellest, kui oluline on nii suure osa meie hüpervõrgustikuga elust turvalisena hoida.

Kas kasutada rakendust WhatsApp? Kasutate krüptimist. Kas logite sisse internetipanka? Sama jälle. Kas peate baristalt küsima WiFi-koodi? Selle põhjuseks on asjaolu, et ühendate võrguga krüptimist - parool on võti.

Kuid isegi kui me kasutame oma igapäevases elus krüptimist, jääb suur osa terminitest salapäraseks. Siin on loetelu kaheksast olulisest krüptimisterminist, mida peate mõistma.

1. Tavaline tekst

Alustame kõige teadlikuma terminiga, mis on lihtne, kuid sama oluline kui teised: tavaline tekst on loetav lihtne sõnum, mida igaüks saab lugeda.

2. Ciphertext

Ciphertext on krüpteerimisprotsessi tulemus. Krüptitud tavaline tekst on nähtavate juhuslike märgistringidena, muutes need kasutuks. Šifr on veel üks viis viidata krüpteerimisalgoritmile, mis muudab tavalist teksti, seega ka terminit krüptiteksti.

3. Krüptimine

Krüptimine on matemaatilise funktsiooni rakendamine failile, mis muudab selle sisu loetamatuks ja juurdepääsematuks - kui teil pole dekrüpteerimisvõtit.

Oletagem näiteks, et teil on Microsoft Wordi dokument. Te rakendate parooli, kasutades Microsoft Office'i sisseehitatud krüptimisfunktsiooni. Fail on nüüd salasõnata loetamatu ja juurdepääsematu. Võite isegi krüpteerige kogu oma kõvaketas turvalisuse tagamiseks.

Dekrüptimine

Kui krüptimine lukustab faili, siis dekrüptimine pöörab protsessi ümber, muutes salateksti tagasi tavaliseks. Dekrüptimine nõuab kahte elementi: õige parool ja vastav dekrüpteerimisalgoritm.

4. Võtmed

Krüptimisprotsess nõuab krüptograafiline võti mis ütleb algoritmile, kuidas muuta tavaline tekst šiftekstiks. Kerckhoffi põhimõte väidab, et "turvalisust pakub ainult võtme salastatus", samas kui Shannoni maksimum jätkab "vaenlane tunneb süsteemi".

Need kaks avaldust mõjutavad krüptimise ja võtmete rolli selles.

Kogu krüpteerimisalgoritmi üksikasjade saladuses hoidmine on äärmiselt keeruline; palju väiksema võtmesaladuse hoidmine on lihtsam. Võti lukustab ja avab algoritmi, võimaldades krüptimis- või dekrüptimisprotsessil toimida.

Kas võti on parool?

Ei. Noh, vähemalt mitte täielikult. Võtme loomine on algoritmi kasutamise tulemus, parool on aga tavaliselt kasutaja enda valitud. Segadus tekib siis, kui suhtleme krüptograafilise võtmega harva, samas kui paroolid on osa igapäevasest elust.

Paroolid on mõnikord osa võtme loomise protsessist. Kasutaja sisestab oma ülitugeva parooli, kasutades igasuguseid tähti ja sümboleid, ning algoritm genereerib nende sisestamise abil võtme.

5. Hash

Nii et kui veebisait krüpteerib teie parooli, kasutab ta krüpteerimisalgoritmi, et teisendada teie tavalise teksti parool rämpsuks. A räsi erineb krüptimisest selle poolest, et pärast andmete räsimist ei saa seda tühistada. Või õigemini, see on äärmiselt keeruline.

Rähistamine on tõesti kasulik, kui peate kontrollima millegi autentsust, kuid mitte seda uuesti lugema. Selles pakub paroolide räsimine teatavat kaitset julma jõu rünnakud (kus ründaja proovib kõiki võimalikke paroolikombinatsioone).

Võib-olla olete isegi kuulnud mõnedest tavalistest räsimisalgoritmidest, näiteks MD5, SHA, SHA-1 ja SHA-2. Mõned neist on tugevamad kui teised, samas kui mõned, näiteks MD5, on täiesti haavatavad. Näiteks kui suundute saidile MD5 Online, pange tähele, et nende MD5 räsiandmebaasis on 123 255 542 234 sõna. Minge edasi, proovige järele.

• Valige MD5 krüptimine ülamenüüst.
• Sisestage oma parool ja klõpsake nuppu Krüptimineja vaadake MD5 räsi.
• Valige räsi, vajutage Ctrl + C räsi kopeerimiseks ja valige MD5 dekrüptimine ülamenüüst.
• Valige ruut ja vajutage Ctrl + V räsi kleepimiseks täitke CAPTCHA ja vajutage Lahtikrüptimine.

Nagu näete, ei tähenda räsitud parool automaatselt selle turvalist (muidugi sõltuvalt valitud paroolist). Kuid on ka täiendavaid krüptimisfunktsioone, mis suurendavad turvalisust.

6. Sool

Kui paroolid on võtme loomise osa, nõuab krüptimisprotsess täiendavaid turbemeetmeid. Üks neist sammudest on soolamine paroolid. Alustasandil lisab sool juhuslikke andmeid ühesuunalise räsifunktsiooni juurde. Uurime, mida see näite abil tähendab.

Täpselt sama parooliga kasutajaid on kaks: jahimees2.

Me jookseme jahimees2 läbi SHA256 räsigeneraatori ja võtke f52fbd32b2b3b86ff88ef6c490628285f482af15ddcb29541f94bcf526a3f6c7 vastu.

Keegi häkkib paroolide andmebaasi ja nad kontrollivad seda räsi; iga vastava räsiga konto on kohe haavatav.

Seekord kasutame individuaalset soola, lisades iga kasutaja paroolile juhusliku andmeväärtuse:

• Soolanäide nr 1: jahimees2 + vorst: 3436d420e833d662c480ff64fce63c7d27ddabfb1b6a423f2ea45caa169fb157
• Soolanäide nr 2: jahimees2 + peekon: 728963c70b8a570e2501fa618c975509215bd0ff5cddaf405abf06234b20602c

Võrrelge samade paroolide räsi kiiresti (ülimahlase) soolaga ja ilma selleta:

• Ilma soolata: f52fbd32b2b3b86ff88ef6c490628285f482af15ddcb29541f94bcf526a3f6c7
• Soolanäide nr 1: 3436d420e833d662c480ff64fce63c7d27ddabfb1b6a423f2ea45caa169fb157
• Soolanäide nr 2: 728963c70b8a570e2501fa618c975509215bd0ff5cddaf405abf06234b20602c

Näete, et soola lisamine randomiseerib räsiväärtuse piisavalt, et teie parool on rikkumise ajal (peaaegu) täiesti ohutu. Ja veel parem, kui parool lingib endiselt teie kasutajanimega, nii et saidile või teenusesse sisselogimisel pole andmebaasis segadust.

7. Sümmeetrilised ja asümmeetrilised algoritmid

Kaasaegses andmetöötluses on kaks peamist krüptimisalgoritmi tüüpi: sümmeetriline ja asümmeetriline. Nad mõlemad krüpteerivad andmeid, kuid toimivad veidi erineval viisil.

• Sümmeetriline algoritm: Kasutage krüpteerimisel ja dekrüpteerimisel sama võtit. Mõlemad osapooled peavad enne suhtluse alustamist kokku leppima algoritmi võtme.
• Asümmeetriline algoritm: Kasutage kahte erinevat võtit: avalikku ja privaatvõtit. See võimaldab turvalist krüptimist suheldes ilma vastastikku algoritmi loomata. Seda nimetatakse ka avaliku võtme krüptoloogia (vt järgmist jaotist).

Valdav enamus võrguteenustest, mida me oma igapäevaelus kasutame, rakendavad teatud kujul avaliku võtme krüptoloogiat.

8. Avalikud ja eravõtmed

Nüüd mõistame rohkem võtmete funktsiooni krüptimisprotsessis, võime vaadata avalikke ja privaatvõtmeid.

Asümmeetrilises algoritmis kasutatakse kahte võtit: a avalik võti ja a privaatvõti. Avaliku võtme saab saata teistele inimestele, samas kui privaatset võtit tunneb ainult omanik. Mis on selle eesmärk?

Noh, igaüks, kellel on kavandatud adressaadi avalik võti, saab selle jaoks privaatsõnumi krüptida, samas kui adressaat saab selle sõnumi sisu lugeda ainult siis, kui tal on juurdepääs paaritud privaatsusele võti. Vaadake selguse saamiseks allpool olevat pilti.

Avalikud ja eravõtmed mängivad samuti olulist rolli digitaalallkirjad, mille abil saatja saab oma sõnumile privaatse krüptimisvõtmega alla kirjutada. Seejärel saavad avaliku võtmega isikud teate kinnitada, teades, et algne kiri pärines saatja privaatvõtmest.

A võtmepaar on krüpteerimisalgoritmi abil genereeritud matemaatiliselt ühendatud avalik ja privaatne võti.

9. HTTPS

HTTPS (turvaline HTTP) on nüüd laialdaselt rakendatud HTTP-rakenduse protokolli turbeuuendus, mis on Interneti alus, nagu me seda teame. HTTPS-ühenduse kasutamisel krüpteeritakse teie andmed transpordikihi turvalisuse (TLS) abil, kaitstes oma andmeid transiidi ajal.

HTTPS genereerib pikaajalisi privaatseid ja avalikke võtmeid, mida omakorda kasutatakse lühiajalise seansi võtme loomiseks. Seansi võti on ühekordne sümmeetriline võti, mille ühendus hävitab pärast HTTPS-i saidilt lahkumist (ühenduse sulgemine ja selle krüptimise lõpetamine). Kui aga saiti uuesti külastate, saate oma suhtluse tagamiseks veel ühe ühekordse seansi võtme.

Sait peab kasutajatele täieliku turvalisuse tagamiseks täielikult järgima HTTPS-i. Tõepoolest, 2018. aasta oli tõepoolest esimene aasta, mil enamik veebisaite hakkas pakkuma HTTPS-ühendusi tavalise HTTP kaudu.

10. Krüptimine otsast lõpuni

Üks suurimaid krüpteerimissõnu on see otsast lõpuni krüptimine. Suhtlussõnumiplatvormi teenus WhatsApp hakkas oma kasutajatele lõpp-krüptimist (E2EE) pakkuma 2016. aastal, veendudes, et nende sõnumid on kogu aeg privaatsed.

Sõnumiteenuse kontekstis tähendab EE2E, et kui olete saatmisnupule vajutanud, jääb krüptimine paika, kuni adressaat sõnumid vastu võtab. Mis siin toimub? Noh, see tähendab, et teie sõnumite kodeerimiseks ja dekodeerimiseks kasutatav privaatvõti ei lahku kunagi teie seadmest, tagades omakorda, et keegi teine, vaid saate sõnumeid oma monikeri abil saata.

WhatsApp pole esimene ega isegi mitte ainus sõnumiteenus otsast lõpuni krüptimise pakkumiseks 4 Slick WhatsApp alternatiivid, mis kaitsevad teie privaatsustFacebook ostis WhatsApp. Nüüd, kui oleme selle uudise šokist üle saanud, kas olete mures oma andmete privaatsuse pärast? Loe rohkem . Siiski viis see mobiilisõnumite krüptimise idee kaugemale tavavoolu - seda paljudes maailmas lugematu arvu valitsusasutuste vaeva.

Krüptimine lõpuni

Kahjuks on neid palju valitsused ja muud organisatsioonid, kellele krüpteerimine tegelikult ei meeldi Miks ei tohiks me kunagi lasta valitsusel krüptimist rikkudaTerrorismiga koos elamine tähendab, et me peame regulaarselt nõudma tõeliselt naeruväärset mõtet: looge valitsuse jaoks juurdepääsetav krüptimine tagauksele. Kuid see pole praktiline. Siit leiate põhjused, miks krüptimine on igapäevases elus ülioluline. Loe rohkem . Nad vihkavad seda samadel põhjustel, mis on meie arvates fantastiline - see hoiab teie suhtluse privaatsena ega aita Internetti funktsioneerida.

Ilma selleta muutuks internet äärmiselt ohtlikuks kohaks. Kindlasti ei lõpetaks teie veebipõhine pangandus, ostaks Amazonilt uusi susse ega ütleks arstile, mis teil viga on.

Krüpteerimine tundub pinnal hirmutav. Ma ei valeta; krüpteerimise matemaatilised alused on kohati keerulised. Kuid ilma numbriteta krüptimist saate siiski hinnata ja see üksi on tõesti kasulik.