10 основни условия за шифроване, които всеки трябва да знае и разбира

реклама

Вероятно сте запознати с думата криптиране. Вероятно сте чували за това колко е важно, както и колко е жизненоважно за запазването на толкова голяма част от живота ни в хипер-мрежа.

Използвате WhatsApp? Използвате криптиране. Влезте в онлайн банкирането? Същото отново. Трябва ли да поискате бариста за Wi-Fi код? Това е така, защото се свързвате с мрежа чрез криптиране - паролата е ключът.

Но въпреки че използваме криптиране в ежедневния си живот, много терминология остава загадъчна. Ето списък от осем основни условия за криптиране, които трябва да разберете.

1. Обикновен текст

Нека започнем с най-основния термин, който трябва да знаете, който е прост, но също толкова важен, колкото и останалите: обикновен текст е четимо и ясно съобщение, което всеки може да прочете.

2. Ciphertext

Ciphertext е резултат от процеса на криптиране. Шифрованият незабележим текст изглежда като очевидно случайни низове от символи, което ги прави безполезни. Шифърът е друг начин за позоваване на алгоритъма за криптиране, който трансформира обикновения текст, оттук и терминът шифротекст.

3. Encryption

Encryption е процесът на прилагане на математическа функция към файл, който прави съдържанието му нечетливо и недостъпно - освен ако не разполагате с ключа за декриптиране.

Например, да кажем, че имате документ на Microsoft Word. Прилагате парола с помощта на вградената функция за криптиране на Microsoft Office. Файлът вече е нечетлив и недостъпен за всеки без паролата. Можете дори криптирайте целия си твърд диск за сигурност.

Разшифроването

Ако шифроването заключи файла, след това декриптирането обръща процеса, превръщайки шифротекста обратно в очевиден текст. Разшифроването изисква два елемента: правилната парола и съответния алгоритъм за декриптиране.

4. ключове

Процесът на криптиране изисква a криптографски ключ което казва на алгоритъма как да трансформира обикновения текст в шифротекст. Принцип на Керкхофс заявява, че „само секретността на ключа осигурява сигурност“, докато максимата на Шанън продължава „врагът познава системата“.

Тези две изявления влияят върху ролята на криптирането и ключовете в него.

Запазването на детайлите на цял алгоритъм за криптиране в тайна е изключително трудно; запазването на много по-малка ключова тайна е по-лесно. Ключът заключва и отключва алгоритъма, което позволява процеса на криптиране или декриптиране да функционира.

Ключът е парола?

Не. Е, поне не изцяло. Създаването на ключове е резултат от използването на алгоритъм, докато паролата обикновено е избор на потребител. Объркването възниква, когато рядко конкретно си взаимодействаме с криптографски ключ, докато паролите са част от ежедневието.

Паролите понякога са част от процеса на създаване на ключове. Потребителят въвежда супер силната си парола, използвайки всякакъв вид символи и символи, а алгоритъмът генерира ключ, използвайки своя вход.

5. хашиш

Така че, когато уебсайт криптира паролата ви, той използва алгоритъм за криптиране, за да преобразува паролата ви в обикновения текст в хеш. А хашиш се различава от криптирането по това, че след като данните са хеширани, те не могат да бъдат разгърнати. Или по-скоро е изключително трудно.

Хеширането е наистина полезно, когато трябва да проверите истинността на нещо, но да не го прочетете обратно. В този случай хеширането на пароли предлага известна защита срещу брутални атаки (където нападателят опитва всяка възможна комбинация от пароли).

Може би дори сте чували за някои от често срещаните алгоритми за хеширане, като MD5, SHA, SHA-1 и SHA-2. Някои са по-силни от други, докато някои, като MD5, са направо уязвими. Например, ако се насочите към сайта MD5 Онлайн, ще отбележите, че те имат 123,255,542,234 думи в тяхната база данни хеш MD5. Напред, опитайте.

• Изберете MD5 Шифроване от горното меню.
• Въведете паролата си, натиснете Encryptи прегледайте хеша на MD5.
• Изберете хеш, натиснете Ctrl + C за да копирате хеша и изберете Дешифриране на MD5 от горното меню.
• Изберете полето и натиснете Ctrl + V за да поставите хеша, попълнете CAPTCHA и натиснете Разкодирай.

Както виждате, хешираната парола не означава автоматично, че е защитена (в зависимост от паролата, която сте избрали, разбира се). Но има допълнителни функции за криптиране, които повишават сигурността.

6. Сол

Когато паролите са част от създаването на ключове, процесът на криптиране изисква допълнителни стъпки за защита. Една от тези стъпки е осоляване паролите. На основно ниво сол добавя случайни данни към еднопосочна хеш функция. Нека да разгледаме какво означава използването на пример.

Има двама потребители с абсолютно същата парола: hunter2.

Ние бягаме hunter2 през SHA256 хеш генератор и получавате f52fbd32b2b3b86ff88ef6c490628285f482af15ddcb29541f94bcf526a3f6c7.

Някой хаква базата данни с пароли и те проверяват този хеш; всеки акаунт със съответния хеш е незабавно уязвим.

Този път използваме индивидуална сол, добавяйки произволна стойност на данните към всяка потребителска парола:

• Пример за сол №1: ловец2 + наденица: 3436d420e833d662c480ff64fce63c7d27ddabfb1b6a423f2ea45caa169fb157
• Пример за сол №2: ловец2 + бекон: 728963c70b8a570e2501fa618c975509215bd0ff5cddaf405abf06234b20602c

Бързо сравнете хешовете за същите пароли със и без (изключително основна) сол:

• Без сол: f52fbd32b2b3b86ff88ef6c490628285f482af15ddcb29541f94bcf526a3f6c7
• Пример за сол №1: 3436d420e833d662c480ff64fce63c7d27ddabfb1b6a423f2ea45caa169fb157
• Пример за сол №2: 728963c70b8a570e2501fa618c975509215bd0ff5cddaf405abf06234b20602c

Виждате, че добавянето на солта достатъчно рандомизира хеш стойността, че вашата парола остава (почти) напълно безопасна по време на нарушение. И още по-добре, паролата все още се свързва към вашето потребителско име, така че да няма объркване в базата данни, когато влизате в сайта или услугата.

7. Симетрични и асиметрични алгоритми

В съвременните изчисления има два основни типа алгоритми за криптиране: симетрични и асиметрични. И двете криптират данни, но функционират по малко по-различен начин.

• Симетричен алгоритъм: Използвайте един и същи ключ както за криптиране, така и за декриптиране. И двете страни трябва да се споразумеят за ключа на алгоритъма, преди да започнат комуникация.
• Асиметричен алгоритъм: Използвайте два различни ключа: публичен ключ и частен ключ. Това дава възможност за сигурно криптиране, докато комуникира без предварително установяване на взаимен алгоритъм. Това също е известно като криптология с публичен ключ (вижте следния раздел).

По-голямата част от онлайн услугите, които използваме в ежедневието си, прилагат някаква форма на криптология с публичен ключ.

8. Публични и частни ключове

Сега разбираме повече за функцията на ключовете в процеса на криптиране, можем да разгледаме публичните и частните ключове.

Асиметричният алгоритъм използва два ключа: a публичен ключ и a частен ключ. Публичният ключ може да бъде изпратен на други хора, докато частният ключ е известен само от собственика. Каква е целта на това?

Е, всеки с публичния ключ на желания получател може да шифрова лично съобщение за тях, докато получателят може да чете само съдържанието на това съобщение, при условие че има достъп до сдвоените частни ключ. Вижте изображението по-долу за по-голяма яснота.

Публичните и частните ключове също играят съществена роля за цифрови подписи, при което подател може да подпише съобщението си със своя частен ключ за криптиране. След това онези с публичния ключ могат да проверят съобщението, като се уверят, че оригиналното съобщение идва от личния ключ на изпращача.

А двойка ключове е математически свързан публичен и частен ключ, генериран от алгоритъм за криптиране.

9. HTTPS

HTTPS (HTTP Secure) е вече широко внедрено ъпгрейд на сигурността на протокола за приложения на HTTP, който е основа на интернет, както го познаваме. Когато използвате HTTPS връзка, вашите данни се криптират с помощта на транспортна защита на слой (TLS), защитавайки вашите данни по време на транзит.

HTTPS генерира дългосрочни частни и публични ключове, които от своя страна се използват за създаване на ключ за краткосрочна сесия. Сесийният ключ е симетричен ключ за еднократна употреба, който връзката се разрушава, след като напуснете HTTPS сайта (затваряте връзката и прекратявате нейното шифроване). Въпреки това, когато посетите отново сайта, ще получите друг ключ за сесия за еднократна употреба, за да осигурите комуникацията си.

Един сайт трябва напълно да се придържа към HTTPS, за да предложи на потребителите пълна сигурност. Всъщност 2018 г. беше първата година, по-голямата част от сайтовете онлайн започнаха да предлагат HTTPS връзки през стандартен HTTP.

10. Шифроване от край до край

Един от най-големите криптиращи ключови думи е този на криптиране от край до край. Услугата на платформата за социални съобщения WhatsApp започна да предлага на своите потребители криптиране от край до край (E2EE) през 2016 г., като се уверява, че съобщенията им са частни по всяко време.

В контекста на услуга за съобщения, EE2E означава, че след като натиснете бутона за изпращане, криптирането остава в сила, докато получателят не получи съобщенията. Какво се случва тук? Е, това означава, че личният ключ, използван за кодиране и декодиране на вашите съобщения, никога не напуска вашето устройство, от своя страна гарантира, че никой освен вас не може да изпраща съобщения, използвайки вашия мениджър.

WhatsApp не е първият или дори единственият услуга за съобщения, за да предложи криптиране от край до край 4 Плъзгащи алтернативи на WhatsApp, които пазят вашата поверителностFacebook купи WhatsApp. Сега, когато сме над шока от тази новина, притеснявате ли се за поверителността на вашите данни? Прочетете още . Тя обаче премести идеята за криптиране на мобилни съобщения по-нататък в основния поток - до голяма степен в яростта на безброй правителствени агенции по целия свят.

Шифроване до края

За съжаление, има много правителства и други организации, които наистина не харесват криптирането Защо никога не трябва да оставяме правителството да наруши кодиранетоЖивотът с терористични средства означава, че се сблъскваме с редовни призиви за наистина нелепа представа: създайте достъпно за правителството криптиране на заден план. Но не е практично. Ето защо криптирането е жизненоважно за ежедневния живот. Прочетете още . Мразят го по същите причини, които смятаме, че е фантастично - той поддържа комуникацията ви поверителна и в малка част помага на интернет да функционира.

Без него интернет би се превърнал в изключително опасно място. Със сигурност не бихте завършили онлайн банкирането си, закупувате нови чехли от Amazon или не кажете на лекаря си какво не е наред с вас.

На повърхността криптирането изглежда поразително. Няма да лъжа; математическите основания на криптирането понякога са сложни. Но все пак можете да оцените криптирането без числата и само това е наистина полезно.