Введение в криптографию

CyrptoGraphyВведение в криптографию

Криптография, или искусство и наука шифрования конфиденциальной информации, когда-то была исключительной для правительственных, научных и военных кругов. Однако благодаря последним технологическим достижениям криптография начала проникать во все аспекты повседневной жизни..

Все от вашего смартфона до вашего банковского обслуживания в значительной степени зависит от криптографии, чтобы сохранить вашу информацию и ваши средства к существованию в безопасности.

И, к сожалению, из-за врожденных сложностей криптографии, многие люди предполагают, что эту тему лучше оставить хакерам в черной шляпе, многомиллиардным конгломератам и АНБ..

Но ничто не может быть дальше от истины.


С огромным количеством личных данных, циркулирующих в Интернете, сейчас как никогда важно узнать, как успешно защитить себя от людей с дурными намерениями.

В этой статье я собираюсь представить вам простое руководство для начинающих по криптографии.

Моя цель - помочь вам точно понять, что такое криптография, как она используется, как она используется и как вы можете применять ее для повышения вашей цифровой безопасности и защиты себя от взлома. Вот содержание:

  • Криптография через историю
  • Понимание шифров: основа всей криптографии
  • Почему криптография имеет значение
  • Типы криптографии
  • Типы криптографических функций
  • Криптография для повседневной жизни Джо и Джейн
  • Криптография не идеальна

1. Криптография на протяжении всей истории

Начиная с зари человеческой цивилизации информация была одним из наших самых ценных активов.

Способность нашего вида (или неспособность) хранить секреты и скрывать информацию уничтожила политические партии, изменила ход войн и свергла целые правительства.

Давайте вернемся к американской войне за независимость для быстрого примера криптографии на практике.

Предположим, что ценная информация о плане британской армии по нападению на американский лагерь была перехвачена местной милицией.

Поскольку это 1776 год и, следовательно, до iPhone, генерал Вашингтон не мог просто послать быстрый текст командующим офицерам в лагере, о котором идет речь.

Он должен будет отправить посыльного, который будет либо перевозить какую-либо письменную корреспонденцию, либо держать сообщение запертым в их голове..

И вот здесь Отцы-основатели могли бы попасть в препятствие.

Вышеупомянутый посланник теперь должен пройти через мили и мили вражеской территории, рискуя захватить и умереть, чтобы передать сообщение.

И если он было перехвачено? Это написано плохие новости для команды США.

Британские похитители могли просто убить мессенджера, положив конец общению.   

Они могли бы «убедить» его поделиться содержанием сообщения, что затем сделало бы информацию бесполезной.

Или, если бы посланник был другом Бенедикта Арнольда, они могли бы просто подкупить посланника за распространение ложной информации, что привело к гибели тысяч американских ополченцев.

Однако, с осторожным применением криптографии, Вашингтон мог бы применить метод шифрования, известный как шифр (подробнее об этом через секунду), чтобы сохранить содержимое сообщения в безопасности от рук противника..

Томас Джефферсон ЧиперсКопия цилиндрового шифра Томаса Джефферсона в Национальном криптологическом музее

Предполагая, что он доверил шифр только своим самым преданным офицерам, эта тактика гарантирует, что даже если сообщение было перехваченный, посланник не будет знать о его содержании. Таким образом, данные будут непонятны и бесполезны для врага.

Теперь давайте посмотрим на более современный пример, банковское дело.

Каждый день конфиденциальные финансовые записи передаются между банками, платежными системами и их клиентами. И понимаете ли вы это или нет, все эти записи должны храниться в какой-то момент в большой базе данных.

Без криптографии это было бы проблемой, очень большой проблема.

Если какая-либо из этих записей будет храниться или передаваться без шифрования, это будет сезон для хакеров, и ваш банковский счет быстро сократится до $ 0..  

Тем не менее, банки знают об этом и прошли обширный процесс применения передовых методов шифрования, чтобы сохранить ваши данные в руках хакеров и продуктов на вашем столе..

Итак, теперь, когда вы имеете представление о криптографии на 30 000 футов и о том, как она использовалась, давайте поговорим о некоторых технических деталях, связанных с этой темой..

2. Понимание шифров: основа всей криптографии

* Примечание. Для целей данной статьи я буду обозначать сообщения в легко читаемом формате как «открытый текст», а зашифрованные или нечитаемые сообщения - как «зашифрованный текст». Обратите внимание, что слова «шифрование» и «криптография» также будут использоваться взаимозаменяемо »*

Криптография на самом фундаментальном уровне требует двух этапов: шифрование и дешифрование. Процесс шифрования использует шифр для шифрования открытого текста и превращения его в зашифрованный текст. Расшифровка, с другой стороны, применяет тот же самый шифр, чтобы превратить зашифрованный текст обратно в открытый текст..

Вот пример того, как это работает.

Допустим, вы хотели зашифровать простое сообщение «Привет».

Таким образом, наш открытый текст (сообщение) «Привет».

Теперь мы можем применить к сообщению одну из самых простых форм шифрования, известную как «шифр Цезаря» (также известный как шифр сдвига)..

С помощью этого шифра мы просто сдвигаем каждую букву на заданное количество пробелов вверх или вниз по алфавиту. 

Так, например, на изображении ниже показано смещение 3 букв.

Сдвиг 3 буквОзначающий, что:

  • A = D
  • B = E
  • C = F
  • D = G
  • E = H
  • F = I
  • И так далее.

Применяя этот шифр, наш открытый текст «Hello» превращается в зашифрованный текст «Khoor»

Для неподготовленного глаза «Хур» не имеет ничего общего с «Привет». Однако, зная шифр Цезаря, даже самый начинающий криптограф сможет быстро расшифровать сообщение и раскрыть его содержимое..

Краткое слово о полиморфизме

Прежде чем мы продолжим, я хочу коснуться более сложной темы, известной как полиморфизм..

Хотя тонкости этой темы простираются далеко за пределы области действия данного руководства, ее растущая распространенность требует от меня краткого объяснения..

Полиморфизм - это, по сути, шифр, который меняется с каждым использованием. Это означает, что каждый раз, когда он используется, он дает другой набор результатов. Итак, если вы зашифровали точно такой же набор данных дважды каждое новое шифрование будет отличаться от предыдущего.

Давайте вернемся к нашему исходному примеру с открытым текстом «Hello». Хотя первое шифрование приведет к «Khoor», с применением полиморфного шифра, второе шифрование может привести к чему-то вроде «Gdkkn» (где каждая буква сдвинута вниз по ступенькам алфавита)

Полиморфизм чаще всего используется в алгоритмах шифрования для шифрования компьютеров, программного обеспечения и облачной информации..

3. Почему криптография имеет значение?

Я хочу предварить остальную часть этой статьи с предупреждением.

В оставшейся части этой статьи я буду объяснять, как именно работает криптография и как она применяется сегодня. При этом мне придется использовать значительное количество технического жаргона, который иногда может быть утомительным.

Но терпите меня и обратите внимание. Понимание того, как все элементы сочетаются друг с другом, обеспечит максимальную безопасность и сохранность информации в чужих руках..  

Поэтому, прежде чем я полностью расскажу о симметричной и асимметричной криптографии, AES и MD5, я хочу объяснить в терминах Layman, почему это важно и почему вы должен заботиться.

Для начала давайте обсудим единственную реальную альтернативу криптографии - запутывание. Запутывание определяется как «Акт создания чего-то неясного, неясного или неразборчивого ». Это означает, что для передачи защищенного сообщения вы должны скрыть некоторую информацию, необходимую для понимания сообщения..

Что, по умолчанию, означает, что потребуется всего один человек со знанием исходного сообщения, чтобы разглашать недостающие фрагменты для общественности.

При криптографии требуется специальный ключ и многочисленные вычисления. Даже если кто-то знает используемый метод шифрования, он не сможет расшифровать сообщение без соответствующего ключа, что сделает вашу информацию намного более безопасной..

Чтобы понять, почему криптография действительно все, что вам нужно, смотреть не дальше чем то, что мы все знаем и любим, Интернет.

По замыслу Интернет был создан для передачи сообщений от одного человека другому, аналогично почтовой службе. Интернет доставляет «пакеты» от отправителя получателю, и без различных видов криптографии, которые мы обсудим чуть позже, что-нибудь то, что вы послали, будет видно населению.

Те личные сообщения, которые вы хотели отправить своему супругу? Весь мир мог их видеть. Ваша банковская информация?

Любой, у кого есть роутер, может перехватить ваши средства и перенаправить их на свой счет. Ваши рабочие письма обсуждают секретные секреты компании? Вы могли бы также упаковать их и отправить их своим конкурентам.

К счастью, мы делать есть криптографические алгоритмы, которые активно защищают почти все наши личные данные.

Однако это не означает, что вы полностью защищены.

Вам нужно смотреть не дальше, чем недавние атаки на такие компании, как AdultFriendFinder и Anthem Inc., чтобы понять, что крупные корпорации не всегда внедряют необходимые системы, необходимые для защиты вашей информации..

Ваша личная безопасность ваш ответственность, никто другой.

И чем раньше вы сможете лучше понять существующие системы, тем скорее вы сможете принимать обоснованные решения о том, как защитить свои данные..  

Так что с этим из пути, давайте перейдем к хорошим вещам.

4. Типы криптографии

Сегодня используются четыре основных типа криптографии, каждый из которых имеет свои уникальные преимущества и недостатки..

Они называются хешированием, симметричной криптографией, асимметричной криптографией и алгоритмами обмена ключами..

1. Хеширование

Хеширование - это тип криптографии, который превращает сообщение в нечитаемую строку текста с целью проверки содержимого сообщения., не скрытие самого сообщения.

Этот тип криптографии чаще всего используется для защиты передачи программного обеспечения и больших файлов, когда издатель файлов или программного обеспечения предлагает их для загрузки. Причина этого заключается в том, что, хотя легко вычислить хеш, чрезвычайно трудно найти начальный вход, который обеспечит точное совпадение с требуемым значением.

Например, когда вы загружаете Windows 10, вы загружаете программное обеспечение, которое затем запускает загруженный файл по тому же алгоритму хеширования. Затем он сравнивает полученный хеш с предоставленным издателем. Если они совпадают, загрузка завершена.

Однако, если в загруженном файле есть даже малейшее изменение (либо из-за повреждения файла, либо из-за преднамеренного вмешательства третьей стороны), это резко изменит результирующий хеш, потенциально сводя к нулю загрузку..

В настоящее время наиболее распространенными алгоритмами хеширования являются MD5 и SHA-1, однако из-за многочисленных недостатков этого алгоритма большинство новых приложений переходят на алгоритм SHA-256 вместо его более слабых предшественников..

2. Симметричная криптография

Симметричная криптография, вероятно, самая традиционная форма криптографии, также является системой, с которой вы, вероятно, наиболее знакомы.  

Этот тип криптографии использует один ключ для шифрования сообщения, а затем расшифровывает это сообщение при доставке..

Поскольку симметричная криптография требует наличия безопасного канала для доставки криптографического ключа получателю, этот тип криптографии практически бесполезен для передачи данных (в конце концов, если у вас есть безопасный способ доставки ключа, почему бы не доставить сообщение таким же образом?). 

Таким образом, его основное применение - защита данных в покое (например, жестких дисков и баз данных).

симметричная криптография

В примере Войны за независимость, о котором я упоминал ранее, метод Вашингтона для передачи информации между его офицерами основывался бы на симметричной криптографической системе. Он и все его офицеры должны были бы встретиться в безопасном месте, поделиться согласованным ключом, а затем зашифровать и расшифровать корреспонденцию, используя тот же ключ.

Большая часть современной симметричной криптографии опирается на систему, известную как AES или Advanced Encryption Standards..

В то время как традиционные модели DES были отраслевой нормой в течение многих лет, в 1999 году DES подверглась публичной атаке и была взломана, в результате чего Национальный институт стандартов и технологий провел процесс отбора более сильной и более обновленной модели..

После напряженного 5-летнего соревнования между 15 различными шифрами, включая MARS от IBM, RC6 от RSA Security, Serpent, Twofish и Rijndael, NIST выбрал Rijndael в качестве победного шифра.

шифровать

Затем он был стандартизирован по всей стране, получив название AES или Advanced Encryption Standards. Этот шифр до сих пор широко используется и даже применяется АНБ в целях защиты секретной информации.

3. Асимметричная криптография

Асимметричная криптография (как следует из названия) использует два разных ключа для шифрования и дешифрования, в отличие от одного ключа, используемого в симметричной криптографии.

Первый ключ - это открытый ключ, используемый для шифрования сообщения, а второй - закрытый ключ, который используется для их расшифровки. Отличительной особенностью этой системы является то, что только секретный ключ может использоваться для расшифровки зашифрованных сообщений, отправленных с открытого ключа..

Хотя этот тип криптографии немного сложнее, вы, вероятно, знакомы с рядом его практических приложений..

Он используется для передачи файлов электронной почты, удаленного подключения к серверам и даже для цифровой подписи файлов PDF. Да, и если вы заглянете в свой браузер и заметите URL-адрес, начинающийся с «https: //», это яркий пример асимметричной криптографии, обеспечивающей безопасность вашей информации.

4. Алгоритмы обмена ключами

Хотя этот конкретный тип криптографии не особенно применим для людей за пределами сферы кибербезопасности, я хотел бы кратко упомянуть, чтобы убедиться, что у вас есть полное понимание различных криптографических алгоритмов.

Алгоритм обмена ключами, такой как Диффи-Хеллман, используется для безопасного обмена ключами шифрования с неизвестной стороной..

В отличие от других форм шифрования, вы не передаете информацию во время обмена ключами. Конечная цель заключается в создании ключа шифрования с другой стороной, который впоследствии можно будет использовать с вышеупомянутыми формами криптографии..

Вот пример из вики Diffie-Hellman, чтобы объяснить, как именно это работает.

Допустим, у нас есть два человека, Алиса и Боб, которые договариваются о случайном начальном цвете. Цвет является общедоступной информацией и его не нужно хранить в секрете (но каждый раз он должен отличаться). Затем Алиса и Боб выбирают секретный цвет, которым они ни с кем не делятся.

Теперь Алиса и Боб смешивают секретный цвет со стартовым цветом, в результате чего получаются их новые смеси. Затем они публично обмениваются смешанными цветами. После того, как обмен сделан, они теперь добавляют свой собственный цвет в смесь, которую они получили от своего партнера, и в результате получается идентичная общая смесь.

Алгоритмы обмена ключами

5. 4 типа криптографических функций

Итак, теперь, когда вы поняли немного больше о различных типах криптографии, многие из вас, вероятно, задаются вопросом, как она применяется в современном мире..

Существует четыре основных способа реализации криптографии в информационной безопасности. Эти четыре приложения называются «криптографическими функциями»..

1. Аутентификация

Когда мы используем правильную криптографическую систему, мы можем довольно легко установить личность удаленного пользователя или системы. Примером этого является SSL-сертификат веб-сервера, который предоставляет пользователю подтверждение того, что он подключен к нужному серверу..  

Идентификационная информация не пользователь, а скорее криптографический ключ этого пользователя. Это означает, что чем более надежно защищен ключ, тем более достоверна личность пользователя и наоборот..

Вот пример.

Допустим, я отправляю вам сообщение, которое я зашифровал своим личным ключом, а затем вы расшифровываете это сообщение, используя мой открытый ключ. Предполагая, что ключи безопасны, можно с уверенностью предположить, что я являюсь фактическим отправителем рассматриваемого сообщения..

Если сообщение содержит высокочувствительные данные, я могу обеспечить повышенный уровень безопасности, зашифровав сообщение своим личным ключом и тогда с вашим открытым ключом, что означает, что вы единственный человек, который действительно может прочитать сообщение, и вы будете уверены, что сообщение пришло от меня.

Единственным условием здесь является то, что открытые ключи связаны со своими пользователями доверенным образом, например, доверенный каталог.

Чтобы устранить этот недостаток, сообщество создало объект, называемый сертификатом, который содержит имя эмитента, а также имя субъекта, для которого выдан сертификат. Это означает, что самый быстрый способ определить, является ли открытый ключ безопасным, состоит в том, чтобы отметить, есть ли у эмитента сертификата также сертификат.

Примером такого типа криптографии в действии является Pretty Good Privacy, или PGP, программный пакет, разработанный Филом Циммерманом, который обеспечивает шифрование и аутентификацию для приложений хранения электронной почты и файлов..

как работает аутентификация

Этот программный пакет предоставляет пользователям шифрование сообщений, цифровые подписи, сжатие данных и совместимость с электронной почтой..

Хотя у Циммермана возникли некоторые юридические проблемы с исходным программным обеспечением, в котором для передачи ключей использовался RSA, MIT PGP версии 2.6 и новее являются легальными бесплатными программами для личного использования, а Viacrypt 2.7 и новее являются легальными коммерческими альтернативами..  

2. Неотказность

Эта концепция особенно важна для тех, кто использует или разрабатывает финансовые приложения или приложения для электронной коммерции.

Одна из больших проблем, с которыми столкнулись пионеры электронной коммерции, была распространенная природа пользователей, которые будут опровергать транзакции, как только они уже произошли. Криптографические инструменты были созданы, чтобы гарантировать, что каждый уникальный пользователь действительно сделал запрос транзакции, который будет неопровержимым в более позднее время.

Например, допустим, что клиент в вашем местном банке запрашивает перевод денег на другой счет. Позже на этой неделе они утверждают, что никогда не делали запрос, и требуют, чтобы полная сумма была возвращена на их счет..

Однако до тех пор, пока этот банк принял меры для обеспечения непризнания с помощью криптографии, он может доказать, что данная транзакция фактически была разрешена пользователем.

3. Конфиденциальность

С утечками информации и, по-видимому, бесконечным количеством скандалов о конфиденциальности, которые попадают в заголовки, сохраняя вашу личную информацию, ну, в общем, конфиденциальность, вероятно, является одной из ваших самых больших проблем. Это точная функция, для которой криптографические системы были изначально разработаны.  

С помощью правильных инструментов шифрования пользователи могут защитить конфиденциальные данные компании, личные медицинские записи или просто заблокировать свой компьютер простым паролем..

4. Честность

Другое важное использование криптографии - обеспечить, чтобы данные не просматривались и не изменялись во время передачи или хранения..

Например, использование криптографической системы для обеспечения целостности данных гарантирует, что конкурирующие компании не смогут подделать внутреннюю переписку и конфиденциальные данные своих конкурентов..

Наиболее распространенный способ обеспечения целостности данных с помощью криптографии - использование криптографических хешей для защиты информации с помощью безопасной контрольной суммы..

6. Криптография для повседневной жизни Джо и Джейн  

Итак, теперь, когда мы ознакомились с основами того, что такое криптография, как она используется, какие приложения используются, и почему это важно, давайте посмотрим, как можно применять криптографию в повседневной жизни..

И я хочу начать этот раздел, указав, что вы уже полагаться на криптографию каждый день, чтобы сохранить себя в безопасности!

Вы недавно использовали кредитную карту? Сыграли Blu-Ray фильм? Подключен к Wi-Fi? Посетили веб-сайт?

Все эти действия основаны на криптографии, чтобы обеспечить безопасность вашей информации и активов..

Но для тех из вас, кто хочет получить дополнительный уровень защиты, вот несколько способов, которыми вы можете внедрить еще больше шифрования в свою жизнь..

Скачать VPN для защиты вашего

VPN или виртуальная частная сеть позволяет вам создать безопасное соединение с другой сетью через общедоступный Интернет..

Это универсальные инструменты, которые позволяют вам получать доступ к веб-сайтам с ограниченным доступом, скрывать активность просмотра от глаз на общедоступном Wi-Fi и получать удаленный доступ к вашим частным серверам..

как работает VPN

Вот несколько примеров того, как они используются.

Допустим, вы руководитель высшего звена крупной компании. Вы находитесь на деловых встречах и хотите удаленно войти в свою корпоративную сеть.

На самом деле это невероятно простая задача. Все, что вам нужно сделать, это сначала подключиться к общедоступному Интернету через интернет-провайдера, а затем запустить VPN-подключение, используя VPN-сервер компании, специальное программное обеспечение и Voila! Теперь у вас есть доступ к вашей частной сети.

Или, может быть, вы независимый сотрудник, который в основном работает в местных кафе. Общедоступные соединения, такие как сети в вашем дружественном районе, Starbucks небезопасно, что означает, что любой хакер, достойный его соли, может легко шпионить за вашей деятельностью и украсть конфиденциальные данные, связанные с вашими текущими проектами..

Тем не менее, с помощью VPN вы можете подключиться к высокозащищенной сети, которая защитит вас от посторонних глаз менее чем этичных хакеров из кафе..

VPN могут даже использоваться в зарубежных странах для доступа к региональным веб-сайтам. Например, если вы путешествуете по Азии, вы, вероятно, знаете, что в китайском правительстве действует ряд драконовских законов о цензуре, которые блокируют публичный доступ к таким приложениям, как Facebook и Instagram..

Однако, если на вашем устройстве предварительно установлена ​​VPN, вы можете быстро подключаться к защищенной сети в своем родном городе и иметь мгновенный доступ ко всем веб-сайтам и платформам, которые вы обычно используете..

В то время как VPN являются отличным инструментом для тех, кто хочет повысить безопасность своей сети, важно, чтобы вы избирательно относились к который VPN провайдер вы используете.

Если вы хотите сравнить стоимость, безопасность и скорость различных услуг, вы можете проверить остальную часть нашего сайта для всестороннего обзора и сравнения самых популярных VPN на рынке.

Скачать HTTPS везде

HTTPS-страницы обычно используют либо SSL (Secure Sockets Layer), либо TLS (Transport Layer Security), чтобы повысить безопасность работы с асимметричной инфраструктурой открытых ключей..

Этот тип соединения шифрует сообщения, отправляемые между вашим компьютером и просматриваемым веб-сайтом, чтобы гарантировать, что вы менее подвержены хакерам.

Это очень важно всякий раз, когда вы передаете конфиденциальную личную информацию или финансовые данные.

«HTTPS Everywhere» - это бесплатное расширение для браузера с открытым исходным кодом, совместимое с Chrome, Firefox и Opera. С этим расширением любой веб-сайт, который вы посещаете, будет вынужден использовать HTTPS-соединение вместо менее безопасного HTTP-соединения, если оно поддерживается..

Установите BitLocker (для Windows) или FileVault2 (для Mac)

Если вы хотите предпринять дополнительные действия (помимо простого пароля для входа), чтобы обеспечить защиту вашей личной информации на вашем ПК или ноутбуке, тогда я настоятельно рекомендую вам установить BitLocker или FileVault2..

Эти устройства шифрования диска защищают ваши данные с помощью алгоритма шифрования AES, чтобы обеспечить шифрование для всех томов. Если вы выбираете это программное обеспечение, обязательно запишите свои учетные данные и храните их в надежном месте. Если вы потеряете эти учетные данные, вы почти наверняка потеряете доступ ко всей вашей зашифрованной информации..

7. Криптография не идеальна

На данный момент, я надеюсь, что вы выработали конкретное понимание криптографии и ее приложений для повседневной жизни.

Но прежде чем я закончу, я хочу оставить вас с предупреждением.

Хотя криптография, безусловно, может предоставить вам Больше безопасность, она не может обеспечить вас общее количество безопасность.

Из-за множества атак, которые произошли в последние годы, включая атаки Tesco Bank, Министерства юстиции и взломов AdultFriendFinder (и это только некоторые из них), совершенно очевидно, что криптография имеет свои недостатки.

И хотя подавляющее большинство из вас могут спокойно спать, зная, что крупные корпорации делают все возможное для обеспечения безопасной и надежной передачи и хранения ваших данных, важно понимать, что вы не невосприимчивы к подобной атаке.

Это не означает, что вы отговариваете вас от использования вышеупомянутых методов шифрования, просто чтобы сообщить вам, что даже самые лучшие криптографические алгоритмы были разработаны несовершенными группами людей и могут быть нарушены..

Поэтому, проходя свою повседневную жизнь, помните об этой реальности и осознайте, что «Более безопасный» не означает «Абсолютно безопасный»..

Вывод

Благодаря более глубокому пониманию распространенных методов шифрования и криптографических алгоритмов, используемых сегодня, вы будете лучше подготовлены к защите от потенциальных кибератак и нарушений безопасности данных..

Хотя криптография не идеальна, она является необходимо обеспечить постоянную безопасность вашей личной информации. А в связи с быстро меняющимся ландшафтом современных данных эта тема сейчас важнее, чем когда-либо прежде..

У вас есть вопросы о криптографии, на которые я не ответил? Какие лучшие практики вы использовали, чтобы защитить себя от угроз? Позвольте мне знать в комментариях ниже.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me