10 šifrēšanas pamatnoteikumi, kas ikvienam būtu jāzina un jāsaprot

Reklāma

Iespējams, ka jūs esat pazīstams ar vārdu šifrēšana. Jūs droši vien esat dzirdējuši par to, cik tas ir svarīgi, kā arī par to, cik svarīgi tas ir, lai tik liela daļa no mūsu hipersaitētās dzīves būtu drošībā.

Vai lietot WhatsApp? Jūs izmantojat šifrēšanu. Piesakieties internetbankā? Atkal tas pats. Jāprasa baristam Wi-Fi kods? Tas notiek tāpēc, ka jūs izveidojat savienojumu ar tīklu, izmantojot šifrēšanu - parole ir atslēga.

Bet, kaut arī ikdienas dzīvē izmantojam šifrēšanu, liela daļa terminoloģijas joprojām ir noslēpumaina. Šeit ir astoņu būtisku šifrēšanas terminu saraksts, kas jums jāsaprot.

1. Vienkāršs teksts

Sāksim ar visvienkāršāko apzināto terminu, kas ir vienkāršs, bet tikpat svarīgs kā pārējie: vienkāršais teksts ir lasāms, vienkāršs ziņojums, kuru var lasīt jebkurš.

2. Šifrēts teksts

Šifrēts teksts ir šifrēšanas procesa rezultāts. Šifrētais vienkāršais teksts parādās kā acīmredzami nejaušas rakstzīmju virknes, padarot tās bezjēdzīgas. Šifrs ir vēl viens veids, kā atsaukties uz šifrēšanas algoritmu, kas pārveido vienkāršo tekstu, tātad arī termins šifrēts teksts.

3. Šifrēšana

Šifrēšana ir matemātiskas funkcijas piemērošanas process failam, kas padara tā saturu neizlasāmu un nepieejamu - ja vien jums nav atšifrēšanas atslēgas.

Piemēram, pieņemsim, ka jums ir Microsoft Word dokuments. Jūs lietojat paroli, izmantojot Microsoft Office iebūvēto šifrēšanas funkciju. Tagad fails nav salasāms un nevienam nav pieejams bez paroles. Jūs pat varat šifrējiet visu cieto disku drošībai.

Atšifrēšana

Ja šifrēšana bloķē failu, tad atšifrēšana apvērš procesu, šifrēto tekstu pārvēršot par parasto tekstu. Atšifrēšana prasa divus elementus: pareizu paroli un atbilstošo atšifrēšanas algoritmu.

4. Taustiņi

Šifrēšanas process prasa: kriptogrāfijas atslēga kas stāsta algoritmam, kā pārveidot vienkāršo tekstu šifrētā tekstā. Kerckoffs princips teikts, ka “drošību nodrošina tikai atslēgas slepenība”, kamēr Šenona maksimums turpina “ienaidnieks zina sistēmu”.

Šie divi paziņojumi ietekmē šifrēšanas lomu un atslēgas tajā.

Ir ārkārtīgi grūti turēt slepenu informāciju par visu šifrēšanas algoritmu; turēt daudz mazāku atslēgas noslēpumu ir vieglāk. Taustiņš bloķē un atbloķē algoritmu, ļaujot šifrēšanas vai atšifrēšanas procesam darboties.

Vai atslēga ir parole?

Nē. Nu, vismaz ne pilnībā. Atslēgas izveidošana ir algoritma izmantošanas rezultāts, turpretī parole parasti ir lietotāja izvēle. Neskaidrības rodas, jo mēs reti īpaši mijiedarbojamies ar kriptogrāfijas atslēgu, turpretī paroles ir ikdienas sastāvdaļa.

Paroles dažreiz ir daļa no atslēgas izveides procesa. Lietotājs ievada savu super spēcīgo paroli, izmantojot visa veida rakstzīmes un simbolus, un algoritms ģenerē atslēgu, izmantojot viņu ievadi.

5. Haša

Tātad, kad vietne šifrē jūsu paroli, tā izmanto šifrēšanas algoritmu, lai jūsu vienkāršā teksta paroli pārvērstu par jauktu. A hash atšķiras no šifrēšanas ar to, ka pēc datu sajaukšanas to nevar atdalīt. Vai drīzāk, tas ir ārkārtīgi grūti.

Jaukšana ir patiešām noderīga, ja jums ir jāpārbauda kaut kas autentiskums, bet nav to jālasa. Šajā gadījumā sajaukšana ar paroli nodrošina zināmu aizsardzību pret brutālu spēku uzbrukumi (kur uzbrucējs izmēģina visas iespējamās paroļu kombinācijas).

Jūs, iespējams, esat dzirdējis pat par dažiem izplatītākajiem sajaukšanas algoritmiem, piemēram, MD5, SHA, SHA-1 un SHA-2. Daži no tiem ir spēcīgāki par citiem, savukārt citi, piemēram, MD5, ir tieši neaizsargāti. Piemēram, ja dodaties uz vietni MD5 tiešsaistē, ņemiet vērā, ka viņu MD5 hash datu bāzē ir 123 255 542 234 vārdi. Iet uz priekšu, izmēģiniet to.

• Izvēlieties MD5 šifrēšana no augšējās izvēlnes.
• Ievadiet paroli, nospiediet Šifrētun apskatiet MD5 hash.
• Izvēlieties jaucējzīmi, nospiediet Ctrl + C, lai kopētu jaucēju un atlasītu MD5 atšifrēt no augšējās izvēlnes.
• Atlasiet lodziņu un nospiediet Ctrl + V, lai ielīmētu jaucējzīmi, aizpildiet CAPTCHA un nospiediet Atšifrēt.

Kā redzat, sajauktā parole automātiski nenozīmē, ka tā ir droša (protams, atkarībā no izvēlētās paroles). Bet ir arī papildu šifrēšanas funkcijas, kas palielina drošību.

6. Sāls

Ja paroles ir daļa no atslēgas izveidošanas, šifrēšanas procesam ir nepieciešami papildu drošības pasākumi. Viens no šiem soļiem ir sālīšana paroles. Pamata līmenī sāls pievieno nejaušus datus vienvirziena jaucējfunkcijai. Pārbaudīsim, ko tas nozīmē, izmantojot piemēru.

Ir divi lietotāji ar precīzu paroli: mednieks2.

Mēs skrienam mednieks2 caur SHA256 jaucējģeneratoru un saņemiet f52fbd32b2b3b86ff88ef6c490628285f482af15ddcb29541f94bcf526a3f6c7.

Kādam ir uzlauzta paroļu datu bāze, un viņi pārbauda šo sajaukšanu; katrs konts ar atbilstošo hash ir uzreiz neaizsargāts.

Šoreiz mēs izmantojam atsevišķu sāli, katra lietotāja parolei pievienojot nejaušu datu vērtību:

• 1. sāls piemērs: hunter2 + desa: 3436d420e833d662c480ff64fce63c7d27ddabfb1b6a423f2ea45caa169fb157
• 2. sāls piemērs: hunter2 + speķis: 728963c70b8a570e2501fa618c975509215bd0ff5cddaf405abf06234b20602c

Ātri salīdziniet to pašu paroļu sajaukšanos ar (ārkārtīgi pamata) sāli un bez tā:

• Bez sāls: f52fbd32b2b3b86ff88ef6c490628285f482af15ddcb29541f94bcf526a3f6c7
• 1. sāls piemērs: 3436d420e833d662c480ff64fce63c7d27ddabfb1b6a423f2ea45caa169fb157
• 2. sāls piemērs: 728963c70b8a570e2501fa618c975509215bd0ff5cddaf405abf06234b20602c

Jūs redzat, ka sāls pievienošana pietiekami nejauši nosaka hash vērtību, ka pārkāpuma laikā jūsu parole paliek (gandrīz) pilnīgi droša. Un vēl labāk, ja parole joprojām ir saistīta ar jūsu lietotājvārdu, lai, pierakstoties vietnē vai pakalpojumā, datu bāzē nebūtu sajaukšanas.

7. Simetriski un asimetriski algoritmi

Mūsdienu skaitļošanā ir divi galvenie šifrēšanas algoritmu veidi: simetrisks un asimetrisks. Viņi abi šifrē datus, taču darbojas nedaudz savādāk.

• Simetrisks algoritms: Šifrēšanai un atšifrēšanai izmantojiet to pašu atslēgu. Pirms komunikācijas uzsākšanas abām pusēm jāvienojas par algoritma atslēgu.
• Asimetrisks algoritms: Izmantojiet divas dažādas atslēgas: publisko atslēgu un privāto atslēgu. Tas nodrošina drošu šifrēšanu komunikācijas laikā, iepriekš neizveidojot savstarpēju algoritmu. To sauc arī par publiskās atslēgas kriptogrāfija (skat. nākamo sadaļu).

Lielākā daļa tiešsaistes pakalpojumu, ko mēs izmantojam savā ikdienas dzīvē, ievieš kaut kādas publiskās atslēgas kriptogrāfijas formas.

8. Publiskās un privātās atslēgas

Tagad mēs vairāk saprotam atslēgu funkciju šifrēšanas procesā, mēs varam apskatīt publiskās un privātās atslēgas.

Asimetriskā algoritmā tiek izmantotas divas atslēgas: a publiskā atslēga un a privātā atslēga. Publisko atslēgu var nosūtīt citiem cilvēkiem, savukārt privāto atslēgu zina tikai īpašnieks. Kāds tam ir mērķis?

Ikviens, kam ir paredzēta adresāta publiskā atslēga, var šifrēt privātu ziņojumu, kamēr adresāts var lasīt šīs ziņas saturu tikai tad, ja viņiem ir pieeja pārī savienotajam privātajam atslēga. Lai iegūtu lielāku skaidrību, apskatiet zemāk redzamo attēlu.

Arī publiskajām un privātajām atslēgām ir būtiska loma digitālie paraksti, ar kuru sūtītājs var parakstīt ziņojumu ar savu privāto šifrēšanas atslēgu. Tie, kuriem ir publiskā atslēga, pēc tam var verificēt ziņojumu, droši zinot, ka sākotnējais ziņojums nāk no sūtītāja privātās atslēgas.

A atslēgu pāris ir matemātiski saistīta publiskā un privātā atslēga, ko ģenerē šifrēšanas algoritms.

9. HTTPS

HTTPS (HTTP drošs) ir tagad plaši ieviests HTTP lietojumprogrammu protokola drošības jauninājums, kas ir interneta pamats, kā mēs to zinām. Izmantojot HTTPS savienojumu, jūsu dati tiek šifrēti, izmantojot transporta slāņa drošību (TLS), aizsargājot datus tranzīta laikā.

HTTPS ģenerē ilgtermiņa privātas un publiskas atslēgas, kuras savukārt tiek izmantotas īstermiņa sesijas atslēgas izveidošanai. Sesijas atslēga ir vienreiz lietojama simetriska atslēga, kuru savienojums iznīcina, kad izejat no HTTPS vietnes (tiek slēgts savienojums un izbeigta tā šifrēšana). Tomēr, atkārtoti apmeklējot vietni, saziņas drošībai jūs saņemsit vēl vienu vienreizējas lietošanas sesijas atslēgu.

Vietnei ir pilnībā jāievēro HTTPS, lai lietotājiem piedāvātu pilnīgu drošību. Patiešām, 2018. gads bija pirmais gads, kad vairums vietņu tiešsaistē sāka piedāvāt HTTPS savienojumus, izmantojot standarta HTTP.

10. Šifrēšana no vienas puses uz otru

Viens no lielākajiem šifrēšanas vārdiem ir pilnīga šifrēšana. Sociālo ziņojumapmaiņas platformas pakalpojums WhatsApp 2016. gadā saviem lietotājiem sāka piedāvāt end-end šifrēšanu (E2EE), pārliecinoties, ka viņu ziņojumi vienmēr ir privāti.

Ziņapmaiņas pakalpojuma kontekstā EE2E nozīmē, ka tiklīdz esat nospiedis pogu Sūtīt, šifrēšana paliek spēkā, līdz adresāts saņem ziņojumus. Kas te notiek? Tas nozīmē, ka privātā atslēga, kas tiek izmantota jūsu ziņojumu kodēšanai un dekodēšanai, nekad neatstāj jūsu ierīci, savukārt nodrošinot, ka neviens, bet jūs varat sūtīt ziņojumus, izmantojot savu monikeri.

WhatsApp nav pirmais un pat vienīgais ziņojumapmaiņas pakalpojums, lai piedāvātu pilnīgu šifrēšanu 4 slidenas WhatsApp alternatīvas, kas aizsargā jūsu privātumuFacebook nopirka WhatsApp. Tagad, kad esam pārdzīvojuši šo ziņu šoku, vai jūs uztrauc jūsu datu privātums? Lasīt vairāk . Tomēr tas mobilā ziņojuma šifrēšanas ideju padziļināja vispārpieņemtajā virzienā - daudzās dažādās pasaules valdības aģentūrās.

Šifrēšana līdz beigām

Diemžēl tādu ir daudz valdības un citas organizācijas, kurām patiešām nepatīk šifrēšana Kāpēc mums nekad nevajadzētu ļaut valdībai pārtraukt šifrēšanuDzīvojot kopā ar teroristu, mēs regulāri uzklausām patiesi smieklīgu priekšstatu: izveidojiet valdībai pieejamu šifrēšanu aizmugurē. Bet tas nav praktiski. Lūk, kāpēc šifrēšana ir būtiska ikdienas dzīvē. Lasīt vairāk . Viņi to ienīst tieši tādu pašu iemeslu dēļ, kādēļ mēs uzskatām, ka tas ir fantastiski - tas uztur jūsu komunikāciju privātu un, bez mazākā mērā, palīdz interneta funkcijai.

Bez tā internets kļūtu par ārkārtīgi bīstamu vietu. Jūs noteikti nepabeigtu tiešsaistes banku darbību, neiegādājaties jaunas čības no Amazon vai nezināt savam ārstam, kas jums ir kārtībā.

Šifrēšana šķiet biedējoša. Es nemelošu; šifrēšanas matemātiskie pamati dažkārt ir sarežģīti. Bet jūs joprojām varat novērtēt šifrēšanu bez cipariem, un tas vien ir patiešām noderīgi.