Скорее всего, вы знакомы со словом шифрования . Вы, наверное, слышали о том, насколько это важно, а также насколько важно обеспечить безопасность нашей гиперсетевой жизни.
Используйте WhatsApp? Вы используете шифрование. Войти в интернет-банкинг? Опять то же самое. Нужно спросить у бариста код Wi-Fi? Это потому, что вы подключаетесь к сети с использованием шифрования — пароль является ключом.
Но даже несмотря на то, что мы используем шифрование в нашей повседневной жизни, многие термины остаются загадочными. Вот список из восьми основных терминов шифрования, которые вам необходимо понять.
1. Открытый текст
Давайте начнем с самого простого термина, который нужно знать, который прост, но так же важен, как и другие: открытый текст — это читаемое, простое сообщение, которое может прочитать каждый.
2. Зашифрованный текст
Зашифрованный текст является результатом процесса шифрования. Зашифрованный открытый текст выглядит как случайные строки символов, что делает их бесполезными. Шифр — это еще один способ ссылки на алгоритм шифрования, который преобразует открытый текст, отсюда и термин зашифрованный текст.
3. Шифрование
Шифрование — это процесс применения математической функции к файлу, который делает его содержимое нечитаемым и недоступным, если у вас нет ключа дешифрования.
Например, допустим, у вас есть документ Microsoft Word. Вы применяете пароль, используя встроенную функцию шифрования Microsoft Office. Файл теперь не читается и недоступен для всех без пароля. Вы даже можете зашифровать весь жесткий диск для безопасности.
Дешифрирование
Если шифрование блокирует файл, то дешифрование переворачивает процесс, превращая зашифрованный текст обратно в открытый текст. Расшифровка требует двух элементов: правильный пароль и соответствующий алгоритм расшифровки.
4. Ключи
Процесс шифрования требует криптографического ключа, который сообщает алгоритму, как преобразовать открытый текст в зашифрованный текст. Принцип Керкхоффса гласит, что «только секретность ключа обеспечивает безопасность», а принцип Шеннона продолжает: «Враг знает систему».
Эти два утверждения влияют на роль шифрования и ключи в этом.
Хранить детали всего алгоритма шифрования в секрете чрезвычайно сложно; Хранить намного меньший секретный ключ легче. Ключ блокирует и разблокирует алгоритм, позволяя функционировать процессу шифрования или дешифрования.
Ключ — это пароль?
Ну, по крайней мере, не совсем. Создание ключа является результатом использования алгоритма, а пароль обычно выбирается пользователем. Путаница возникает из-за того, что мы редко специально взаимодействуем с криптографическим ключом, тогда как пароли являются частью повседневной жизни.
Пароли иногда являются частью процесса создания ключа. Пользователь вводит свой сверхнадежный пароль, используя всевозможные символы и символы, а алгоритм генерирует ключ, используя свой ввод.
5. Хэш
Поэтому, когда веб-сайт шифрует ваш пароль, он использует алгоритм шифрования для преобразования вашего открытого текста в хеш. Хеш-код отличается от шифрования тем, что после хеширования данных он не может быть хеширован. Вернее, это чрезвычайно сложно.
Хеширование действительно полезно, когда вам нужно проверить подлинность чего-либо, но не прочитать его обратно. При этом хеширование паролей обеспечивает некоторую защиту от атак методом перебора (когда злоумышленник пробует все возможные комбинации паролей).
Возможно, вы даже слышали о некоторых распространенных алгоритмах хеширования, таких как MD5, SHA, SHA-1 и SHA-2. Некоторые из них сильнее, чем другие, в то время как некоторые, такие как MD5, совершенно уязвимы. Например, если вы зайдете на сайт MD5 Online , вы заметите, что в их хэш-базе данных MD5 содержится 123 255 542 234 слова. Вперед, попробуй это.
- Выберите MD5 Encrypt в верхнем меню.
- Введите свой пароль, нажмите « Зашифровать» и просмотрите хэш MD5.
- Выберите хеш, нажмите Ctrl + C, чтобы скопировать хеш, и выберите MD5 Decrypt в верхнем меню.
- Выберите поле и нажмите Ctrl + V, чтобы вставить хеш, завершите CAPTCHA и нажмите Decrypt .
Как видите, хешированный пароль не означает автоматически, что он безопасен (конечно, в зависимости от выбранного вами пароля). Но есть дополнительные функции шифрования, которые повышают безопасность.
6. Соль
Когда пароли являются частью создания ключа, процесс шифрования требует дополнительных шагов безопасности. Одним из таких шагов является соление паролей. На базовом уровне соль добавляет случайные данные в одностороннюю хеш-функцию. Давайте рассмотрим, что это значит, на примере.
Есть два пользователя с одинаковым паролем: hunter2 .
Мы запускаем hunter2 через генератор хеша SHA256 и получаем f52fbd32b2b3b86ff88ef6c490628285f482af15ddcb29541f94bcf526a3f6c7.
Кто-то взламывает базу данных паролей и проверяет этот хэш; каждая учетная запись с соответствующим хешем сразу становится уязвимой.
На этот раз мы используем индивидуальную соль, добавляя случайное значение данных к каждому паролю пользователя:
- Пример соли № 1: hunter2 + колбаса : 3436d420e833d662c480ff64fce63c7d27ddabfb1b6a423f2ea45caa169fb157
- Пример соли №2: hunter2 + бекон : 728963c70b8a570e2501fa618c975509215bd0ff5cddaf405abf06234b20602c
Быстро сравните хэши для одинаковых паролей с солью и без (чрезвычайно простой) соли:
- Без соли: f52fbd32b2b3b86ff88ef6c490628285f482af15ddcb29541f94bcf526a3f6c7
- Пример соли # 1: 3436d420e833d662c480ff64fce63c7d27ddabfb1b6a423f2ea45caa169fb157
- Пример соли № 2: 728963c70b8a570e2501fa618c975509215bd0ff5cddaf405abf06234b20602c
Вы видите, что добавление соли в достаточной степени рандомизирует хеш-значение, и ваш пароль остается (почти) полностью безопасным во время взлома. И что еще лучше, пароль по-прежнему связан с вашим именем пользователя, поэтому при входе на сайт или службу не возникает путаницы в базе данных.
7. Симметричные и асимметричные алгоритмы
В современных вычислениях существует два основных типа алгоритмов шифрования: симметричный и асимметричный. Они оба шифруют данные, но функционируют немного по-другому.
- Симметричный алгоритм: используйте один и тот же ключ для шифрования и дешифрования. Обе стороны должны договориться о ключе алгоритма перед началом связи.
- Асимметричный алгоритм: используйте два разных ключа: открытый ключ и закрытый ключ. Это обеспечивает безопасное шифрование во время связи без предварительного установления общего алгоритма. Это также известно как криптология с открытым ключом (см. Следующий раздел).
Подавляющее большинство онлайн-сервисов, которые мы используем в повседневной жизни, реализуют ту или иную форму криптологии с открытым ключом.
8. Публичные и частные ключи
Теперь мы понимаем больше о функции ключей в процессе шифрования, мы можем взглянуть на открытый и закрытый ключи.
Асимметричный алгоритм использует два ключа: открытый ключ и закрытый ключ . Открытый ключ может быть отправлен другим людям, тогда как закрытый ключ известен только владельцу. Какова цель этого?
Любой, кто имеет открытый ключ предполагаемого получателя, может зашифровать личное сообщение для него, в то время как получатель может только прочитать содержимое этого сообщения при условии, что у него есть доступ к парному закрытому ключу. Проверьте изображение ниже для большей ясности.
Открытый и закрытый ключи также играют важную роль в цифровых подписях , благодаря чему отправитель может подписать свое сообщение своим личным ключом шифрования. Те, у кого есть открытый ключ, могут затем проверить сообщение, будучи уверенными в том, что исходное сообщение пришло из личного ключа отправителя.
Пара ключей — это математически связанный открытый и закрытый ключ, сгенерированный алгоритмом шифрования.
9. HTTPS
HTTPS (HTTP Secure) — это широко распространенное в настоящее время обновление безопасности для протокола приложений HTTP, который является основой Интернета, как мы его знаем. При использовании HTTPS-соединения ваши данные шифруются с использованием TLS, что обеспечивает защиту ваших данных во время передачи.
HTTPS генерирует долгосрочные закрытые и открытые ключи, которые, в свою очередь, используются для создания краткосрочного сеансового ключа. Ключ сеанса — это симметричный ключ одноразового использования, который уничтожается соединением, когда вы покидаете сайт HTTPS (закрытие соединения и прекращение его шифрования). Однако при повторном посещении сайта вы получите еще один одноразовый сеансовый ключ для защиты вашего общения.
Сайт должен полностью придерживаться HTTPS, чтобы обеспечить пользователям полную безопасность. Действительно, 2018 год стал первым годом, когда большинство сайтов в сети начали предлагать HTTPS-соединения по стандартному HTTP.
10. Сквозное шифрование
Одним из самых популярных модных слов шифрования является сквозное шифрование . Сервис платформы социальных сообщений WhatsApp начал предлагать своим пользователям сквозное шифрование (E2EE) в 2016 году, обеспечивая постоянную конфиденциальность своих сообщений.
В контексте службы обмена сообщениями EE2E означает, что после нажатия кнопки отправки шифрование остается на месте до тех пор, пока получатель не получит сообщения. Что здесь происходит? Что ж, это означает, что закрытый ключ, используемый для кодирования и декодирования ваших сообщений, никогда не покидает ваше устройство, что, в свою очередь, гарантирует, что никто, кроме вас, не сможет отправлять сообщения, используя ваше прозвище.
WhatsApp — не первая и даже не единственная служба обмена сообщениями, предлагающая сквозное шифрование. Это, однако, продвинуло идею мобильного шифрования сообщений дальше в мейнстрим — очень к ярости бесчисленных правительственных агентств во всем мире.
Шифрование до конца
К сожалению, есть много правительств и других организаций, которые действительно не любят шифрование. Они ненавидят это по тем же причинам, которые мы считаем фантастическими: они поддерживают конфиденциальность вашего общения и, в немалой степени, помогают функционированию Интернета.
Без этого Интернет стал бы чрезвычайно опасным местом. Вы, конечно, не сможете завершить онлайн-банкинг, купить новые тапочки у Amazon или рассказать своему врачу, что с вами не так.
На первый взгляд, шифрование кажется пугающим. Я не буду лгать; математические основы шифрования иногда сложны. Но вы все равно можете оценить шифрование без цифр, и одно это действительно полезно.