Содержание
Скорее всего, вы знакомы со словом шифрование. Вы, наверное, слышали о том, насколько это важно, а также насколько важно обеспечить безопасность нашей гиперсетевой жизни.
Используйте WhatsApp? Вы используете шифрование. Войти в интернет-банкинг? Опять то же самое. Нужно спросить у бариста код Wi-Fi? Это потому, что вы подключаетесь к сети с использованием шифрования — пароль является ключом.
Но даже несмотря на то, что мы используем шифрование в нашей повседневной жизни, многие термины остаются загадочными. Вот список из восьми основных терминов шифрования, которые вам необходимо понять.
1. Открытый текст
Давайте начнем с самого простого термина, который нужно знать, который прост, но так же важен, как и другие: простой текст это читаемое, простое сообщение, которое может прочитать каждый.
2. Зашифрованный текст
зашифрованный является результатом процесса шифрования. Зашифрованный открытый текст выглядит как случайные строки символов, что делает их бесполезными. Шифр — это еще один способ ссылки на алгоритм шифрования, который преобразует открытый текст, отсюда и термин зашифрованный текст.
3. Шифрование
шифрование это процесс применения математической функции к файлу, который делает его содержимое нечитаемым и недоступным, если у вас нет ключа дешифрования.
Например, допустим, у вас есть документ Microsoft Word. Вы применяете пароль, используя встроенную функцию шифрования Microsoft Office. Файл теперь не читается и недоступен для всех без пароля.
Дешифрирование
Если шифрование блокирует файл, то дешифрование переворачивает процесс, превращая зашифрованный текст обратно в открытый текст. Дешифрирование требуется два элемента: правильный пароль и соответствующий алгоритм расшифровки.
4. Ключи
Процесс шифрования требует криптографический ключ это говорит алгоритму, как преобразовать открытый текст в зашифрованный текст. Принцип Керкхоффса гласит, что «только секретность ключа обеспечивает безопасность», а принцип Шеннона продолжает: «Враг знает систему».
Эти два утверждения влияют на роль шифрования и ключи в этом.
Хранить в тайне детали всего алгоритма шифрования чрезвычайно сложно; Хранить намного меньший секретный ключ легче. Ключ блокирует и разблокирует алгоритм, позволяя функционировать процессу шифрования или дешифрования.
Ключ — это пароль?
Ну, по крайней мере, не совсем. Создание ключа является результатом использования алгоритма, а пароль обычно выбирается пользователем. Путаница возникает из-за того, что мы редко специально взаимодействуем с криптографическим ключом, тогда как пароли являются частью повседневной жизни.
Пароли иногда являются частью процесса создания ключа. Пользователь вводит свой сверхнадежный пароль, используя всевозможные символы и символы, а алгоритм генерирует ключ, используя их ввод.
5. Хэш
Поэтому, когда веб-сайт шифрует ваш пароль, он использует алгоритм шифрования для преобразования вашего открытого текста в хэш. гашиш отличается от шифрования тем, что после хэширования данные не могут быть хешированы. Вернее, это чрезвычайно сложно.
Хеширование действительно полезно, когда вам нужно проверить подлинность чего-либо, но не прочитать его обратно. В этом хеширование паролей обеспечивает некоторую защиту от атак методом перебора
(где злоумышленник пробует все возможные комбинации паролей).
Возможно, вы даже слышали о некоторых распространенных алгоритмах хеширования, таких как MD5, SHA, SHA-1 и SHA-2. Некоторые сильнее других, а некоторые, такие как MD5, совершенно уязвимы. Например, если вы зайдете на сайт MD5 Online, вы заметите, что в их хэш-базе данных MD5 содержится 123 255 542 234 слова. Продолжай, попытайся.
- Выбрать MD5 Encrypt из верхнего меню.
- Введите свой пароль, нажмите шифровать, и просмотрите хеш MD5.
- Выберите хеш, нажмите Ctrl + C скопировать хеш и выберите MD5 расшифровывать из верхнего меню.
- Выберите коробку и нажмите Ctrl + V чтобы вставить хеш, заполните CAPTCHA и нажмите расшифровывать.
Как видите, хешированный пароль не означает автоматически, что он безопасен (конечно, в зависимости от выбранного вами пароля). Но есть дополнительные функции шифрования, которые повышают безопасность.
6. Соль
Когда пароли являются частью создания ключа, процесс шифрования требует дополнительных шагов безопасности. Один из этих шагов соление пароли. На базовом уровне соль добавляет случайные данные в одностороннюю хеш-функцию. Давайте рассмотрим, что это значит, на примере.
Есть два пользователя с одинаковым паролем: hunter2.
Мы бегаем hunter2 через генератор хеша SHA256 и получите f52fbd32b2b3b86ff88ef6c490628285f482af15ddcb29541f94bcf526a3f6c7.
Кто-то взламывает базу паролей и проверяет этот хэш; каждая учетная запись с соответствующим хешем сразу становится уязвимой.
На этот раз мы используем индивидуальную соль, добавляя случайное значение данных к каждому паролю пользователя:
- Пример соли № 1: hunter2 + колбаса: 3436d420e833d662c480ff64fce63c7d27ddabfb1b6a423f2ea45caa169fb157
- Пример соли №2: hunter2 + бекон: 728963c70b8a570e2501fa618c975509215bd0ff5cddaf405abf06234b20602c
Быстро сравните хэши для одинаковых паролей с солью и без (чрезвычайно простой) соли:
- Без соли: f52fbd32b2b3b86ff88ef6c490628285f482af15ddcb29541f94bcf526a3f6c7
- Пример соли № 1: 3436d420e833d662c480ff64fce63c7d27ddabfb1b6a423f2ea45caa169fb157
- Пример соли № 2: 728963c70b8a570e2501fa618c975509215bd0ff5cddaf405abf06234b20602c
Вы видите, что добавление соли в достаточной степени рандомизирует хеш-значение, и ваш пароль остается (почти) полностью безопасным во время взлома. И, что еще лучше, пароль по-прежнему связан с вашим именем пользователя, поэтому при входе на сайт или службу не возникает путаницы в базе данных.
7. Симметричные и асимметричные алгоритмы
В современных вычислениях существует два основных типа алгоритмов шифрования: симметричный и асимметричный. Они оба шифруют данные, но функционируют немного по-разному.
- Симметричный алгоритм: Используйте один и тот же ключ для шифрования и дешифрования. Обе стороны должны договориться о ключе алгоритма перед началом связи.
- Асимметричный алгоритм: Используйте два разных ключа: открытый ключ и закрытый ключ. Это обеспечивает безопасное шифрование во время связи без предварительного установления общего алгоритма. Это также известно как криптология с открытым ключом (см. следующий раздел).
Подавляющее большинство онлайн-сервисов, которые мы используем в повседневной жизни, реализуют ту или иную форму криптологии с открытым ключом.
8. Публичные и частные ключи
Теперь мы понимаем больше о функции ключей в процессе шифрования, мы можем взглянуть на открытый и закрытый ключи.
Асимметричный алгоритм использует два ключа: открытый ключ и закрытый ключ. Открытый ключ может быть отправлен другим людям, в то время как закрытый ключ известен только владельцу. Какова цель этого?
Ну, любой, имеющий открытый ключ получателя, может зашифровать для него личное сообщение, в то время как получатель может только прочитать содержимое этого сообщения, если у него есть доступ к парному закрытому ключу. Проверьте изображение ниже для большей ясности.
Открытый и закрытый ключи также играют важную роль в цифровые подписи, посредством чего отправитель может подписать свое сообщение своим личным ключом шифрования. Те, у кого есть открытый ключ, могут затем проверить сообщение, будучи уверенными в том, что исходное сообщение пришло из закрытого ключа отправителя.
пара ключей является математически связанным открытым и закрытым ключом, сгенерированным алгоритмом шифрования.
9. HTTPS
HTTPS (HTTP Secure) Это широко распространенное в настоящее время обновление безопасности для протокола приложений HTTP, который является основой Интернета, как мы его знаем. При использовании соединения HTTPS ваши данные шифруются с использованием TLS, обеспечивая защиту ваших данных во время передачи.
HTTPS генерирует долгосрочные закрытые и открытые ключи, которые, в свою очередь, используются для создания краткосрочного сеансового ключа. Ключ сеанса — это симметричный ключ одноразового использования, который уничтожается соединением при выходе из HTTPS-сайта (закрытие соединения и прекращение его шифрования). Однако при повторном посещении сайта вы получите еще один одноразовый сеансовый ключ для защиты вашего общения.
Сайт должен полностью придерживаться HTTPS, чтобы обеспечить пользователям полную безопасность. Действительно, 2018 год стал первым годом, когда большинство сайтов в сети начали предлагать HTTPS-соединения по стандартному HTTP.
10. Сквозное шифрование
Одним из самых больших модных слов шифрования является сквозное шифрование. Сервис платформы социальных сообщений WhatsApp начал предлагать своим пользователям сквозное шифрование
(E2EE) в 2016 году, убедившись, что их сообщения всегда закрыты.
В контексте службы обмена сообщениями EE2E означает, что после нажатия кнопки отправки шифрование остается на месте до тех пор, пока получатель не получит сообщения. Что здесь происходит? Что ж, это означает, что закрытый ключ, используемый для кодирования и декодирования ваших сообщений, никогда не покидает ваше устройство, что, в свою очередь, гарантирует, что никто, кроме вас, не сможет отправлять сообщения, используя ваше прозвище.
WhatsApp — не первая и даже не единственная служба обмена сообщениями, предлагающая сквозное шифрование
, Это, однако, продвинуло идею мобильного шифрования сообщений дальше в мейнстрим — очень к ярости бесчисленных правительственных агентств по всему миру.
Шифрование до конца
К сожалению, есть много правительств и других организаций, которые действительно не любят шифрование
, Они ненавидят это по тем же причинам, которые мы считаем фантастическими: они поддерживают конфиденциальность вашего общения и, в немалой степени, помогают функционированию Интернета.
Без этого интернет стал бы чрезвычайно опасным местом. Вы, конечно, не сможете завершить онлайн-банкинг, купить новые тапочки у Amazon или рассказать своему врачу, что с вами не так.
На первый взгляд, шифрование кажется пугающим. Я не буду лгать; математические основы шифрования иногда сложны. Но вы все равно можете оценить шифрование без цифр, и одно это действительно полезно.
