Levinud krüpteerimistüübid, protokollid ja algoritmid on selgitatud
Tõenäoliselt ei kuluta krüpteerimisele palju aega, kuid see on teie võrguohutuse põhiaspekt. Paljud krüpteerimistüübid on aluseks suurele osale sellest, mida me Internetis teeme, sealhulgas 3DES , AES ja RSA .
Neid ja teisi algoritme kasutatakse paljudes meie turvalistes protokollides, näiteks TLS/SSL , IPsec , SSH ja PGP . Selles artiklis käsitleme krüptimist, mida see tegelikult endast kujutab, mida see teeb, mõningaid selle taga olevaid põhimõisteid. Tutvustame teile neid peamisi krüpteerimistüüpe ja neid kasutavaid turvaprotokolle.
Lugege meie täielikku turvaartiklite seeriat
Krüpteerimisalgoritmid:
- Mis on AES?
- Mis on RSA?
- Mis on 3DES-krüptimine ja kuidas DES töötab?
- Krüpteerimine, räsimine ja soolamine (mis need on ja mille poolest need erinevad?)
Turvaprotokollid:
- Meili krüpteerimine (ülevaade)
- PGP krüptimine
- Kuidas kasutada PGP-krüptimist Windowsiga
- Kuidas kasutada PGP-krüptimist Outlookiga
- Kuidas kasutada Gmailiga PGP-krüptimist
- SSL-i juhend algajatele
- Mis on SSH ja kuidas see töötab?
- Mis on TLS ja kuidas see töötab?
- Mis on IPsec ja kuidas see töötab?
Krüptograafia
- Krüptograafia juhend algajatele
- Avaliku võtmega krüptograafia
- Mis on Diffie-Hellmani võtmevahetus ja kuidas see töötab?
- Mis on digitaalallkirjad ja kuidas need toimivad?
Turvalisus
- Pilve krüptimine
- 8 parimat krüptitud sõnumsiderakendust
- Krüptimise tagauksed on halb mõte, siin on põhjus, miks…
Mis on krüpteerimine?
Krüpteerimine on sisuliselt kood, mida kasutatakse sõnumi või andmete sisu peitmiseks . See on iidne tehnika, kuid vanad meetodid on palju lihtsamad kui need, mida me praegu kasutame. Varasemad krüpteerimismeetodid hõlmasid kas tähtede järjekorra muutmist või tähtede asendamist teiste tähemärkidega.
Varajase krüptimise näide šifr oleks asendada 'a' z-ga, 'b' 'y'-ga, 'c' 'x'-ga ja nii edasi. The võti selle koodi juurde kuulub teadmine, et iga täht on vahetatud tähega, millel on tähestikus vastupidine positsioon. Sellise koodi all muutuks „Ära ütle kellelegi”:
Wlm’g gvoo zmblmv
Aja jooksul, eriti 20. sajandil, õppisid inimesed neid koode palju paremini murdma, mistõttu muutus oluliseks keerulisemate koodide väljamõtlemine. Arvutite tulek muutis varem keeruliseks peetud koodide murdmine üsna triviaalseks; paljusid varasemaid arvuteid kasutati sõjaliseks koodimurdmiseks. Asja tegi veelgi keerulisemaks digitaalse side kiire kasv ja selle keerulised turvavajadused. Nüüd Keerukad krüpteerimistüübid moodustavad meie Internetis turvalisuse tagamise selgroo .
Sümmeetrilise võtmega krüptimine
Sümmeetrilise võtmega krüptimine.
Esimest tüüpi koodi, mida tutvustame, nimetatakse sümmeetrilise võtmega krüptimine . See hõlmab a üks võti nii andmete krüptimiseks kui ka dekrüpteerimiseks . Eelpool mainitud kood oleks sümmeetrilise võtmega krüptimise väga lihtne vorm, sest šifrit (a=z, b=y, c=x jne) saab kasutada nii info krüpteerimiseks kui ka dekrüpteerimiseks.
Versioonid, mida me täna kasutame, nagu 3DES ja AES on palju keerulisemad . Nad hõlmab andmetele võtme lisamist, samuti paljusid asendamis- ja ülekandmisringe keerukate matemaatiliste valemite abil . Need algoritmid muudavad lõpliku šifreeritud teksti andmetest täiesti võõraks, mida see peaks esindama.
Näiteks kui krüpteerime 'Ära ütle kellelegi', võtmega 'Notapassword' veebipõhine AES-krüptija , see annab meile:
X59P0ELzCvlz/JPsC9uVLG1d1cEh+TFCM6KG5qpTcT49F4DIRYU9FHXFOqH8ReXRTZ5vUJBSUE0nqX1irXLr1A==
Nagu näete, ei näe see välja nagu algne sõnum ja see on kaugelt väljaspool kellegi aju võimet šifrit välja mõelda. Piisava võtme pikkuse ja õige rakendamise korral on see ka Arvutitel ei ole võimalik AES-i murda, seega peame seda meie praeguses tehnoloogilises kliimas ohutuks kasutada .
Sümmeetrilise võtmega krüptograafiat on suurepärane kasutada kui ainult üks inimene peab andmeid krüpteerima ja dekrüpteerima või kui mitmel osapoolel on võimalus võtit eelnevalt jagada . Kuigi see on kasulik paljudes olukordades, on ka teisi, kus see võib olla problemaatiline.
Mis saab siis, kui keegi soovib turvaliselt suhelda kellegagi, keda ta pole kunagi varem kohanud? Ilmselgelt poleks neil olnud võimalust võtit eelnevalt jagada ja tõenäoliselt pole neil turvalist kanalit, mida nad saaksid kasutada koodi soovitud adressaadile saatmiseks. See viib meid teise peamise krüptograafia tüübi juurde, avaliku võtmega krüpteerimine .
Avaliku võtmega krüptimine
Avaliku võtmega krüptimine on tuntud ka kui asümmeetriline krüptimine, kuna see nõuab ühte võtit andmete krüptimiseks ja teist nende dekrüpteerimiseks . Kui teil on vaja turvaliselt vahetada teavet kellegagi, kellega teil pole varem olnud võimalust võtmeid vahetada, pakuvad avaliku võtmega krüpteerimisalgoritmid (nt RSA) teile võimaluse seda teha.
Iga kasutaja loob võtmepaari, mis koosneb nii avalikust kui ka privaatvõtmest . Avalikku võtit jagatakse avalikult, samas kui privaatvõtit hoitakse salajas paroolina. Kahe võtme vahelise keeruka matemaatilise seose tõttu saab pärast avaliku võtmega krüpteerimist andmeid dekrüpteerida ainult vastava privaatvõtmega.
Seda tüüpi krüpteeringuga sõnumi saatmiseks saatja peab esmalt otsima oma saaja avaliku võtme . Nad krüpteerivad andmed selle avaliku võtmega ja saadavad need siis adressaadile. Isegi kui vastane andmeid pealt kuulab, ei saa neid ilma privaatvõtmeta lugeda . Seejärel dekrüpteerib adressaat sõnumi oma privaatvõtmega ja kui ta soovib vastata, otsib ta oma korrespondendi avaliku võtme ja kordab protsessi.
Avaliku võtmega krüptimine on aeglane ja ressursimahukas. Selle asemel, et kasutada seda tervete failide krüptimiseks, see on nii kasutatakse tavaliselt sümmeetriliste võtmete krüptimiseks, mida kasutatakse omakorda failide krüptimiseks . Kuna avaliku võtmega krüpteerimine hoiab sümmeetrilise võtme lukustatuna ja sümmeetrilist võtit on vaja failide avamiseks, pääseb krüpteeritud andmetele ligi ainult vastavat privaatvõtit omav isik.
Milleks saab krüptimist kasutada?
Krüpteerimine võib teha palju enamat kui lihtsalt andmete kaitsmine uudishimulike pilkude eest. Seda saab kasutada ka teabe terviklikkuse ja autentsuse tõestamiseks, kasutades nn digitaalallkirjad . Krüpteerimine on digitaalõiguste haldamise ja kopeerimiskaitse oluline osa samuti.
Krüptimist saab kasutada isegi andmete kustutamiseks . Kuna kustutatud teavet saab mõnikord andmete taastamise tööriistade abil tagasi tuua, on andmete esmasel krüpteerimisel ja võtme äraviskamisel võimalik taastada ainult šifritekst, mitte algandmed.
Kus krüptimist kasutatakse?
Sa ei pruugi seda märgata, aga kui sa just metsas ei ela, tõenäoliselt puutute krüptimisega kokku iga päev . Enamik ühendusi suuremate veebisaitidega krüpteeritakse HTTPS-i tähistatud TLS-iga ja/või tabalukuga teie veebibrauseri URL-i ribal. Teie WhatsAppi sõnumid on samuti krüptitud ja teie telefonis võib olla ka krüpteeritud kaust.
Teie e-posti saab krüpteerida ka selliste protokollidega nagu OpenPGP. VPN-id kasutavad krüptimist ja kõik, mida pilve salvestate, peaks olema krüptitud. Saate krüpteerida kogu kõvaketta ja isegi krüptitud häälkõnesid teha.
Suur hulkmeie side- ja finantssüsteemid kasutavad meie teabe turvalisuse tagamiseks krüptimistja vastastest eemal. Krüpteerimine on ka krüptoraha rahakottide turvamise võtmeaspekt, mis on Tor-võrgu kaitsmise oluline osa, ja seda kasutatakse ka paljudes teistes tehnoloogiates.
Vaata ka: PGP krüptimine
Milline krüpteerimistüüp on kõige turvalisem?
See on mõnevõrra trikiga küsimus kahel erineval põhjusel. Esimene on see, et on palju erinevaid tüüpe, millest igaühel on oma kasutusala.Poleks mõtet võrrelda RSA-d AES-iga, sest need lahendavad erinevaid probleeme.
Teine probleem on see, et 'kõige turvalisem' ei pruugi tingimata tähendada parimat või praktilisemat. Võiksime muuta iga oma algoritmi kordades turvalisemaks, kasutades lihtsalt suuremaid võtmeid või korrates algoritmilist protsessi.
Selle lähenemisviisi probleem seisneb selles, et need üliturvalised algoritmid oleksid uskumatult aeglased ja kasutaksid naeruväärselt palju arvutusressursse.See muudaks need kasutuskõlbmatuks. Soovitatavad algoritmid on need, mis tabavad turvalisuse ja praktilisuse vahelist piiri.
Praegu on turvaliste, kuid siiski praktiliste algoritmide kuldstandardid järgmised:
- AES-256— Sümmeetrilise võtmega krüptimiseks
- RSA-4096— avaliku võtmega krüptimiseks
Kõik need šifrid kasutavad turvalisuse suurendamiseks suuri võtmeid (vastavalt 256 ja 4096 bitti).
Peamised krüpteerimisalgoritmid
Krüpteerimisalgoritme on palju erinevaid. Mõned on loodud sobima erinevatel eesmärkidel, samas kui teised on välja töötatud, kuna vanad muutuvad ebaturvaliseks.3DES, AES ja RSA on tänapäeval kõige levinumad algoritmid, kuigi teatud olukordades rakendatakse ka teisi, nagu Twofish, RC4 ja ECDSA.
3DES krüptimine
Kolmekordne andmete krüpteerimisalgoritm (TDEA), rohkem tuntud kui kolmekordne andmete krüpteerimisstandard (3DES) on sümmeetrilise võtmega algoritm mis saab oma nime, kuna andmed liiguvad läbi algne DES-algoritm kolm korda krüpteerimisprotsessi ajal.
Kui DES-i turvaprobleemid hakkasid ilmnema, leevendati neid, käivitades andmed selle kaudu mitu korda kolme võtmega, mida hakati nimetama 3DES-iks. Iga võti on 56 bitti pikk , täpselt nagu DES-is. Sellise suurusega võtmeid peetakse iseenesest ebaturvalisteks, mistõttu DES kasutusest loobuti. Krüpteerimisalgoritmi kolm korda rakendades on 3DES-i palju raskem murda.
Kui paneme oma sõnumi „Ära räägi kellelegi” võtmega „Notapassword” an võrgus 3DES krüpteerija , see annab meile:
U2FsdGVkX19F3vt0nj91bOSwF2+yf/PUlD3qixsE4WS9e8chfUmEXw==
3DES-il on kolm erinevat võtmevalikut, kuid ainult üks, mis on riikliku standardi- ja tehnoloogiainstituudi (NIST) poolt lubatud, hõlmab kolme sõltumatut võtit . Kuigi see annab võtme pikkuseks 168 bitti, kohtumise keskel rünnakud (pdf) tõhusalt vähendage reaalse maailma turvalisust 112 bitile .
3DES-i kasutatakse endiselt rahanduses, mõnes Microsofti pakkumises ja paljudes muudes süsteemides, kuid tundub, et lähitulevikus läheb see pensionile . aasta teise eelnõu kohaseltKrüptograafiliste algoritmide ja võtme pikkuste kasutamise üleminek, 'Pärast 31. detsembrit 2023 ei ole kolme võtmega TDEA [3DES] krüpteerimine lubatud, välja arvatud juhul, kui see on spetsiaalselt lubatud teiste NIST-i juhistega.' See on sellepärast, et 3DES on üsna aeglane ja seda ei peeta teiste algoritmidega võrreldes ohutuks .
AES krüptimine
The Täiustatud krüpteerimisstandard (AES) töötati välja DES-algoritmi asendamiseks, kuna tehnoloogilised edusammud hakkasid DES-i ebaturvalisemaks muutma. See on tegelikult Rijndaeli plokkšifri tüüp, mis valiti standardiks NIST pärast aastatepikkust hindamist konkureerivate algoritmide alusel.
AES-i funktsioonid t kolm erinevat võtme suurust, 128-bitine, 192-bitine ja 256-bitine. Võtme suurus määrab, kas krüptimisetappe tehakse 10, 12 või 14 ringi . Protsess algab sellega võtme laiendamine , kus algklahvi kasutatakse uute võtmete loomiseks, mida kasutatakse igas voorus. Siis lisatakse esimese ringi võti et alustada andmete krüpteerimist.
Pärast seda algavad ringid. Need hõlmavad baitide asendamine , kus iga andmebait asendatakse teisega vastavalt etteantud tabelile. Pärast seda tuleb ridu nihutada , kus iga andmerida nihutatakse teatud arvu tühikute võrra vasakule. Ringi järgmine osa on segada veerge , kus andmete edasiseks hajutamiseks rakendatakse igale veerule valemit. Lõpuks lisatakse veel üks ümmargune võti.
Seejärel korrake neid nelja sammu kummagi jaoks üheksa, 11 või 13 vooru , olenevalt sellest, kas 128-bitised, 192-bitised või 256-bitised võtmed , kasutatakse vastavalt. AES-i krüpteerimisprotsess on lõpetatud baitide asendamine ja ridade nihutamine siis veel korra viimase ringi võtme lisamine . Lõpptulemus on šifreeritud tekst.
Nagu nägime artikli alguses, kui sisestasime 128-bitisesse AES-i veebikrüpteerijasse oma sõnumi 'Ära ütle kellelegi' võtmega 'Notapassword', andis see meile:
X59P0ELzCvlz/JPsC9uVLG1d1cEh+TFCM6KG5qpTcT49F4DIRYU9FHXFOqH8ReXRTZ5vUJBSUE0nqX1irXLr1A==
The AES-algoritmi kasutatakse suure hulga meie andmete turvamiseks nii puhkeolekus kui ka transpordi ajal . Mõned selle levinumad rakendused võivad hõlmata järgmist:
- WinZip
- VeraCrypt
- Signaal
- TLS
- SSH
AES on ka USA valitsuse poolt heaks kiidetud salastatud teabe krüpteerimiseks :
- SALAJASED andmed abil saab krüpteerida 128-bitised võtmed.
- TÄIESTI SALAJASED andmed saab krüpteerida mõlemaga 192-bitised või 256-bitised võtmed.
Teada on mitmeid külgkanalite ründeid, mis mõjutavad erinevaid AES-i rakendusi, kuid algoritmi ennast peetakse turvaliseks.
RSA krüptimine
RSA oli esimene asümmeetriline krüpteerimisalgoritm, mis on üldsusele laialt kättesaadav . Algoritm tugineb algarvude faktooringu raskusele, mis võimaldab selle kasutajatel seda teha turvaliselt andmeid jagada, ilma et peaksite eelnevalt võtit levitama, või neil on juurdepääs turvalisele kanalile.
Avaliku võtmega krüpteerimisskeemina krüpteerivad selle kasutajad andmed nende adressaadi avaliku võtmega, mis võib dekrüpteerida ainult saaja privaatvõtmega . RSA on aeglane ja kasutab palju arvutusressursse, mistõttu kasutatakse seda üldiselt ainult sümmeetriliste võtmete krüptimiseks, mis on palju tõhusamad.
RSA avalike ja privaatvõtmete süsteemi olemuse tõttu ei saa me tekstsõnumeid krüpteerida sama võtmega 'Notapassword', mida eespool kasutasime. Selle asemel anname teile demonstratsiooni mõne teise juhusliku avaliku võtmega võrgugeneraator . Kui me krüpteerida 'Ära ütle kellelegi' järgmisega avalik võti :
—-ALGUST AVALIK VÕTI--
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDPLfAcyE5w+6qQE6W5g2vmX55v
q9rsMqP4QWrYS1UMAVJ4DTYLT09d0MR00yxBn6f3wvJkxQXihTnsSKvtO09Ld4/f
LGIeoYvulzp73mvPtIO2wjzP6eb0ndM42CAnxVtzzWmFXH3AYvCQ0AK+OJnJQVZ4
GgimzH4wwO9Uc6bEawIDAQAB
—–AVALIK VÕTI LÕPETA––
Saame:
G7qrc4WRKADzcc1a9tdFHTas8bsV2rQqgBuxQJ2O8Uvf++t/Ss8DBe+7kDWgSXqKGOytkYKX/DjMLUJnTxd2iVQeDF4my8O9Gl9bnUN+OlH1EcrynkF7+7+GnyBecrynkF3+7+GnyEcrynkF3+3+ 6/R9E9w5eAn49nAR12w5NxsbCoo=
Ülaltoodud sõnum saab olla ainult dekrüpteeritud tagasi algsele kujule järgmisega privaatvõti :
---ALUSTAGE RSA ERAVÕTI--
MIICXwIBAAKBgQDPLfAcyE5w+6qQE6W5g2vmX55vq9rsMqP4QWrYS1UMAVJ4DTYL
T09d0MR00yxBn6f3wvJkxQXihTnsSKvtO09Ld4/fLGIeoYvulzp73mvPtIO2wjzP
6eb0ndM42CAnxVtzzWmFXH3AYvCQ0AK+OJnJQVZ4GgimzH4wwO9Uc6bEawIDAQAB
AoGBAK5C4XgUM4Zs6GYPYJHNrPA09TrQvm91mN2ziH8tvfc/FXLNCewxZXxvoQ7y
oIMCG3IWk3OXFQAXN0U7SwFbpbE8G7J0xXftTj9nxGjb0NL3zJrJcg+VUjQ8P63F
EsEFh6tqur2j/sYQIFsgQuJ6b4gPdaLJ6rK7tVPIQ2G/TlABAKEA9wkTgdnpm9a5
3uxpUGB+pq4pAteVhWcHlWxRyEpC6Fv+D/QOkB+fkG0HUPnmGDS0HiYOYMSHL91r
dND2iHXGawJBANaymut04nAQzWhj/Vb1KSY1UjN5i7j1NZ4b2E8MWZht90exk0NY
0wxnqFR8SIHMtUnWqRIqVijEcIa7ETRmegECQQCEMmA1CecglS0MZZkKAUllayfZ
NIL4S6VcSgYN1+esLqZr5R/x8mpSQHY82C5Q38tPou/oyuLJM4Vwku6LIfOXAkEA
tQEXAvMkBH7l7eB+sVU3P/MsPiF23pQ8g/PNxbcPwibTlynqkZjNNWQe0juFlYjU
PlAvchUnVm9mvu/vbVIIAQJBALQXwqZXfQIftvBmjHgnoP90tpN4N/xcIqMTX9x3
UZVFWPERBXfklGTOojPYO2gVVGZWr2TVqUfV3grSno1y93E=
—–LÕPETA RSA ERAVÕTI––
RSA-d kasutatakse sageli TLS-is , see oli algne PGP-s kasutatav algoritm, ja see on sageli esimene algoritm, mille poole keegi pöördub, kui ta vajab avaliku võtmega krüptimist. Paljud VPN-id tuginevad RSA-le, et pidada läbirääkimisi turvaliste käepigistuste üle ning luua krüpteeritud tunnelid serverite ja klientide vahel. Loomiseks kasutatakse ka RSA-d digitaalallkirjad , mis kontrollida andmete autentsust ja terviklikkust .
RSA erinevates rakendustes on avastatud mitmeid turvaauke, kuid Algoritmi ennast peetakse turvaliseks seni, kuni kasutatakse 2048-bitisi (või suuremaid) võtmeid .
Lugege meie täielikku juhendit RSA krüptimise kohta
Turvaprotokollid
Selle artikli ülejäänud osa ei käsitle selliseid krüpteerimisalgoritme nagu need, mida me just arutasime. Selle asemel on need turvalised protokollid, mis kasutavad ülaltoodud krüpteerimisalgoritme, et hoida meie andmeid paljudes erinevates olukordades turvaliselt.
TLS/SSL
Transpordikihi turvalisus (TLS) on endiselt sageli viidatud selle eelkäija nimega Secure Sockets Layer (SSL), kuid see on tõesti SSL-i uuendatud versioon koos paljude turvatäiustustega . TLS on üks turvalisemaid protokolle, millega kõige sagedamini kokku puutute. Kui näete oma veebibrauseri aadressiribal URL-i kõrval märget „https” või rohelist lukku, teate, et TLS-i kasutatakse teie ühenduse turvamiseks veebisaidiga .
See erineb kolmest ülalmainitud süsteemist selle poolest, et TLS ei ole krüpteerimisalgoritm, vaid protokoll, millest on saanud Interneti standard andmete turvamiseks. See tähendab, et TLS ei ole mehhanism, mis krüpteerib; see kasutab selleks algoritme nagu RSA, AES ja teised .
TLS on lihtsalt kokkulepitud süsteem, mida kasutatakse andmete kaitsmiseks erinevates olukordades. TLS-i saab kasutada krüpteerimiseks, autentimiseks ja andmete algse terviklikkuse säilitamiseks.
Seda kasutatakse kõige sagedamini transpordikihi protokollide, näiteks HTTP (mida me kasutame veebisaitidega ühenduse loomiseks), FTP (mida me kasutame failide edastamiseks kliendi ja serveri vahel) ja SMTP (mida me e-posti jaoks kasutame).
TLS-i lisamine nendele protokollidele kaitseb ülekantavaid andmeid, mitte ei jäta need avalikuks, et igaüks, kes seda pealt kuulab, pääseks juurde. Lisaks sellele, et teie veebibrauser saab veebisaidiga turvalise ühenduse luua, TLS-i kasutatakse ka VPN-ides nii autentimiseks kui ka krüptimiseks .
TLS koosneb kahest kihist, Käepigistusprotokoll ja salvestusprotokoll . Ühenduse loomiseks kasutatakse käepigistuse protokolli. Ühenduse loomisel otsustavad klient ja server, millist protokolli versiooni kasutatakse, autentivad üksteise TLS-sertifikaadid (sertifikaadid, mis kinnitavad iga osapoole identiteeti), valivad, milliseid algoritme krüptimiseks kasutatakse ja genereerivad jagatud sertifikaadi. võti avaliku võtmega krüptimise kaudu.
The Salvestusprotokoll seejärel turvab edastatavad andmepaketid rakendusega jagatud võtmed, mis genereeriti käepigistuse protokollis . Protsessi palju tõhusamaks muutmiseks kasutatakse sümmeetrilise võtmega krüptimist.
Lisaks andmete krüpteerimisele võetakse tasu ka salvestusprotokolli eest andmete jagamine plokkideks, täidise lisamine, andmete tihendamine ja sõnumi autentimiskoodi (MAC) rakendamine . Samuti teeb see kõik need protsessid vastuvõetud andmete puhul vastupidises järjekorras.
Nagu kõigis protokollides, avastati aja jooksul SSL-is mitmeid vigu, mis viisid TLS-i väljatöötamiseni. TLS-il on mitmeid turvalisust suurendavaid täiendusi, kuid seda on aja jooksul jätkuvalt värskendatud. TLS 1.3 määratleti augustis 2018, kuid versioon 1.2 on endiselt levinud .
IPsec
IPsec tähistab I internet P rotokoll Sec Urity, ja nii see on enim kasutatud VPN-ides , kuid seda saab kasutada ka marsruutimine ja rakenduse tasemel turvalisus . See kasutab andmete krüptimiseks ja nende terviklikkuse kaitsmiseks mitmesuguseid krüptoalgoritme, sealhulgas 3DES, AES, SHA ja CBC .
Kuidas saab IPseci tunnelirežiim andmeid krüpteerida ja hoida neid turvaliselt avatud Internetis liikudes.
IPseci saab rakendada kahes erinevas režiimis, tunneli režiim ja transpordiliik . Tunnelirežiimis on mõlemad päis ja kasulik koormus on krüpteeritud ja autentitud , seejärel saadeti uues paketis teise päisega. VPN-id kasutavad seda hosti-hosti-, hosti-võrgu ja võrgu-võrgu suhtluses.
Transpordirežiim krüpteerib ja autentib ainult kasuliku koormuse, mitte päise. Andmed edastatakse läbi L2TP tunneli, mis tagab täieliku turvalisuse. Tavaliselt kasutatakse seda klientide ja serverite või tööjaama ühendamiseks lüüsiga.
Kui tegemist on VPN-i konfiguratsioonid , IPsec saab kiiremini ühenduse luua ja seda on lihtsam rakendada , kuid paljudel juhtudel TLS-i kasutamine võib olla üldiselt kasulikum . Samal ajal kui Snowden lekib näitas, et NSA üritas õõnestada IPseci turvalisust, seda peetakse endiselt ohutuks, kuni see on õigesti rakendatud .
SSH
S kindlustama Sh ta ( SSH ) on veel üks turvaline protokoll, mida kasutatakse mitmesugustes stsenaariumides. Need sisaldavad turvaline juurdepääs kaugterminalile , kui an krüpteeritud tunnel (sarnaselt VPN-iga), kasutades SOCKS-i puhverserverit, failide turvaline edastamine , pordi edastamine, ja palju muud.
SSH koosneb kolmest eraldi kihist: transpordikiht , kasutaja autentimise kiht ja ühenduskiht . Transpordikiht võimaldab kahel osapoolel turvaliselt ühenduse luua, üksteist autentida, andmeid krüpteerida, andmete terviklikkust kinnitada ja ühenduse jaoks määrata mitmeid muid parameetreid.
Transpordikihis võtab klient ühendust serveriga ja võtmeid vahetatakse kasutades Diffie-Hellmani võtmete vahetus . A avaliku võtme algoritm (näiteks RSA), sümmeetrilise võtmega algoritm (nt 3DES või AES), sõnumi autentimise algoritm ja räsi algoritm ülekande jaoks on samuti valitud.
Server loetleb kliendile toetatud autentimismeetodid, mis võivad sisaldada paroole või digitaalallkirju. The klient autentib end seejärel autentimiskihi kaudu kasutades kokkulepitud süsteemi.
Ühenduskihis saab pärast kliendi autentimist avada mitu kanalit. Iga sideliini jaoks kasutatakse eraldi kanaleid , näiteks kanal iga terminaliseansi jaoks, ja kanali saab avada kas klient või server.
Kui kumbki osapool soovib kanali avada, saadab ta teisele poolele sõnumi koos ettenähtud parameetritega. Kui teine pool saab nende spetsifikatsioonide alusel kanali avada, siis see avatakse ja andmeid vahetatakse . Kui kumbki osapool soovib kanali sulgeda, saadab ta teisele poole sõnumi ja kanal suletakse.
Kuigi SSH-tunnel ei ole VPN, saab seda kasutada sarnaste tulemuste saavutamiseks. Võite kasutada a SOCKS puhverserver teie liikluse krüpteerimiseks SSH-kliendist SSH-serverisse. See võimaldab teil krüpteerida iga rakenduse liiklust, kuid see ei paku VPN-i universaalsust .
The Snowden lekib sisaldas faile, mis sellele viitasid NSA võib teatud tingimustel olla võimeline SSH-d dekrüpteerima . Kuigi mõned rakendused võivad olla haavatavad, SSH-protokolli ennast peetakse üldiselt ohutuks kasutamiseks .
PGP
PGP on viimane turvaprotokoll, millest me täna räägime. See võimaldab selle kasutajatel krüpteerida oma sõnumeid ning neid digitaalselt allkirjastada, et tõestada nende autentsust ja terviklikkust . Alates üheksakümnendate algusest on see olnud oluline tööriist e-kirjades sisalduva tundliku teabe kaitsmisel.
Protokolli ennast nimetatakse tegelikult OpenPGP-ks , kuid PGP-l on pikk ja keeruline ajalugu, mis hõlmab esialgset programmi ja arenduse ümber moodustatud ettevõtet PGP Inc. Pärast seda on PGP Inc.-i mitu korda omandanud teised ettevõtted ning osa selle varadest kuulub nüüd Symantecile ja teistele ettevõtetele.
OpenPGP standard töötati välja 1997. aastal, et PGP võiks saada a ülemaailmselt kasutatav ja koostalitlusvõimeline süsteem . Seda saab vabalt rakendada erinevatesse meiliklientidesse, kuid üks kõige sagedamini kasutatavatest konfiguratsioonidest hõlmab Gpg4win , avatud lähtekoodiga krüpteerimispakett Windowsi jaoks.
OpenPGP-d saab kasutada mitmete erinevate algoritmidega, nt RSA või DSA avaliku võtmega krüptimiseks; AES, 3DES ja Twofish sümmeetrilise võtmega krüptimiseks; ja SHA räsimiseks .
Selle arendamise käigus on OpenPGP erinevates rakendustes leitud mitmeid turvaauke. Uued versioonid on kõrvaldanud need turvavead, millest uusim EFAIL , avastati sel aastal.
Kuni HTML-i renderdamine ja JavaScript on meilide vaatamise ajal keelatud ning välise sisu automaatne uuesti laadimine on peatatud, PGP-d peetakse endiselt turvaliseks . Mõned kliendid, näiteks Thunderbird, on välja andnud ka värskendusi, mis neid probleeme leevendavad.
Kas krüpteerimine on ohutu?
Turvalisuse osas ei saa miski olla täiesti ohutu. Kui soovite, võite ehitada oma maja kaitsmiseks 100 jala kõrguse seina. See takistaks enamikul röövlitel teie majja pääsemist, kuid see oleks ka kallis ja ebamugav. Kuigi see võib takistada enamikul varastel sissepääsu, ei ole see läbitungimatu. Igaüks, kellel on 100 jala kõrgune redel, võib soovi korral siiski juurdepääsu saada.
Krüpteerimine on sisuliselt sama. Võiksime kasutada palju keerukamaid algoritme, et muuta oma andmed veelgi turvalisemaks, kuid see muudaks protsessi ka palju aeglasemaks ja vähem mugavaks . Turvalisuse eesmärk on muuta rünnak teie vastu korraldamiseks liiga kulukaks ja aeganõudvaks. Õiged kaitsemehhanismid sõltuvad sellest, mida püüate kaitsta, kui väärtuslik see on ja kui kõrgelt sihitud see on.
Kui olete tavaline inimene, kes soovib oma Facebooki parooli turvaliselt hoida, te ei pea sama palju pingutama kui USA valitsus, kui nad edastavad sõjasaladusi .
Tavainimese jaoks on kõige tõenäolisem oht nende Facebooki paroolile tüdinud häkkerid või madala tasemega petturid. Seevastu valitsused peavad muretsema kõrgelt kvalifitseeritud rühmade pärast, kellel on rahvusriigi toetus ja nende käsutuses on tohutud vahendid . Need vastased on palju võimekamad, mis tähendab, et turvalisus peab olema palju rangem, et muuta edukad rünnakud ebatõenäoliseks.
Sellest hoolimata peetakse kõiki täna käsitletud krüpteerimisalgoritme ja turvaprotokolle ohutuks. 'Ohutu' all mõtleme, et see on nii kellelgi on võimatu neid praegust tehnoloogiat kasutades murda . Muidugi sõltub see kõik neist protokollid ja algoritmid on õigesti rakendatud ja kasutatud .
Kuna ohumaastik areneb pidevalt, leitakse nende algoritmide ja protokollide erinevate rakenduste vastu alati uusi haavatavusi. Selle tõttu on seec oluline, et olla kursis viimaste arengute ja riskidega .
Olles kursis viimaste probleemidega, rakendades neid turvameetmeid õigesti ja kasutades neid asjakohaste juhiste kohaselt, peaksite saama igat sellist krüpteerimistüüpi enesekindlalt kasutada .
Seotud postitus: Parimad andmebaasi krüptimise tööriistad
Interneti turvalisuse tabalukk autor Mike MacKenzie all CC0