10 termini di crittografia di base che tutti dovrebbero conoscere e comprendere

Annuncio pubblicitario

È probabile che tu abbia familiarità con la parola crittografia. Probabilmente hai sentito parlare di quanto sia importante e di quanto sia vitale per proteggere così tanta parte delle nostre vite iper-connesse.

Usa WhatsApp? Stai utilizzando la crittografia. Accedi all'online banking? Ancora lo stesso. Devi chiedere al barista un codice Wi-Fi? Questo perché ti stai connettendo a una rete usando la crittografia: la password è la chiave.

Ma anche se utilizziamo la crittografia nelle nostre vite quotidiane, molta terminologia rimane misteriosa. Ecco un elenco di otto termini essenziali di crittografia che devi comprendere.

1. plaintext

Cominciamo con il termine più semplice da sapere, che è semplice ma altrettanto importante degli altri: testo in chiaro è un messaggio leggibile e chiaro che chiunque può leggere.

2. testo cifrato

testo cifrato è il risultato del processo di crittografia. Il testo in chiaro crittografato appare come stringhe apparentemente casuali di caratteri, rendendoli inutili. Un codice è un altro modo di fare riferimento all'algoritmo di crittografia che trasforma il testo in chiaro, da cui il termine testo cifrato.

3. crittografia

crittografia è il processo di applicazione di una funzione matematica a un file che rende il suo contenuto illeggibile e inaccessibile, a meno che non si disponga della chiave di decrittazione.

Ad esempio, supponiamo che tu abbia un documento Microsoft Word. Si applica una password utilizzando la funzione di crittografia integrata di Microsoft Office. Il file è ora illeggibile e inaccessibile a chiunque senza la password. Puoi anche crittografare l'intero disco rigido per sicurezza.

decrittazione

Se la crittografia blocca il file, la decrittografia inverte il processo, riportando il testo cifrato in testo normale. decrittazione richiede due elementi: la password corretta e l'algoritmo di decrittazione corrispondente.

4. chiavi

Il processo di crittografia richiede a chiave crittografica che dice all'algoritmo come trasformare il testo in chiaro in testo cifrato. Il principio di Kerckhoff afferma che "solo la segretezza della chiave fornisce sicurezza", mentre la massima di Shannon continua "il nemico conosce il sistema".

Queste due affermazioni influenzano il ruolo della crittografia e le chiavi al suo interno.

Mantenere segreti i dettagli di un intero algoritmo di crittografia è estremamente difficile; mantenere un segreto chiave molto più piccolo è più facile. La chiave blocca e sblocca l'algoritmo, consentendo al processo di crittografia o decrittografia di funzionare.

Una chiave è una password?

No. Beh, almeno non del tutto. La creazione della chiave è il risultato dell'utilizzo di un algoritmo, mentre una password è generalmente una scelta dell'utente. La confusione sorge quando raramente interagiamo specificamente con una chiave crittografica, mentre le password fanno parte della vita quotidiana.

Le password a volte fanno parte del processo di creazione delle chiavi. Un utente inserisce la sua password super forte usando tutti i tipi di caratteri e simboli e l'algoritmo genera una chiave usando il suo input.

5. hash

Pertanto, quando un sito Web crittografa la password, utilizza un algoritmo di crittografia per convertire la password in chiaro in un hash. UN hash è diverso dalla crittografia in quanto una volta che i dati sono stati sottoposti a hash, non possono essere cancellati. O meglio, è estremamente difficile.

L'hashing è davvero utile quando è necessario verificare l'autenticità di qualcosa, ma non è necessario rileggerlo. In questo, l'hash della password offre una certa protezione contro attacchi di forza bruta (dove l'attaccante prova ogni possibile combinazione di password).

Potresti anche aver sentito parlare di alcuni dei più comuni algoritmi di hashing, come MD5, SHA, SHA-1 e SHA-2. Alcuni sono più forti di altri, mentre alcuni, come MD5, sono decisamente vulnerabili. Ad esempio, se vai sul sito MD5 online, noterai che hanno 123.255.542.234 parole nel loro database hash MD5. Vai avanti, provalo.

• Selezionare MD5 Encrypt dal menu in alto.
• Digita la password, premi Encrypte visualizza l'hash MD5.
• Seleziona l'hash, premi Ctrl + C per copiare l'hash e selezionare MD5 Decrypt dal menu in alto.
• Seleziona la casella e premi Ctrl + V per incollare l'hash, completare CAPTCHA e premere Decrypt.

Come vedi, una password con hash non significa automaticamente che è sicura (a seconda della password che hai scelto, ovviamente). Ma ci sono ulteriori funzioni di crittografia che aumentano la sicurezza.

6. sale

Quando le password fanno parte della creazione della chiave, il processo di crittografia richiede ulteriori passaggi di sicurezza. Uno di questi passaggi è salatura le password. A un livello base, un salt aggiunge dati casuali a una funzione hash unidirezionale. Esaminiamo cosa significa usare un esempio.

Esistono due utenti con la stessa identica password: Hunter2.

Corriamo Hunter2 tramite un generatore di hash SHA256 e ricevere f52fbd32b2b3b86ff88ef6c490628285f482af15ddcb29541f94bcf526a3f6c7.

Qualcuno hackera il database delle password e controlla questo hash; ogni account con l'hash corrispondente è immediatamente vulnerabile.

Questa volta, utilizziamo un singolo sale, aggiungendo un valore di dati casuale a ogni password utente:

• Esempio di sale n. 1: hunter2 + salsiccia: 3436d420e833d662c480ff64fce63c7d27ddabfb1b6a423f2ea45caa169fb157
• Esempio di sale n. 2: hunter2 + Bacon: 728963c70b8a570e2501fa618c975509215bd0ff5cddaf405abf06234b20602c

Confronta rapidamente gli hash per le stesse password con e senza il sale (estremamente semplice):

• Senza sale: f52fbd32b2b3b86ff88ef6c490628285f482af15ddcb29541f94bcf526a3f6c7
• Esempio di sale n. 1: 3436d420e833d662c480ff64fce63c7d27ddabfb1b6a423f2ea45caa169fb157
• Esempio di sale n. 2: 728963c70b8a570e2501fa618c975509215bd0ff5cddaf405abf06234b20602c

Vedi che l'aggiunta del sale randomizza sufficientemente il valore di hash che la tua password rimane (quasi) completamente sicura durante una violazione. E ancora meglio, la password si collega ancora al tuo nome utente, quindi non c'è confusione nel database quando accedi al sito o al servizio.

7. Algoritmi simmetrici e asimmetrici

Nell'informatica moderna, ci sono due tipi principali di algoritmi di crittografia: simmetrici e asimmetrici. Entrambi crittografano i dati, ma funzionano in modo leggermente diverso.

• Algoritmo simmetrico: Utilizzare la stessa chiave sia per la crittografia che per la decrittografia. Entrambe le parti devono concordare la chiave dell'algoritmo prima di iniziare la comunicazione.
• Algoritmo asimmetrico: Utilizzare due chiavi diverse: una chiave pubblica e una chiave privata. Ciò consente la crittografia sicura durante la comunicazione senza aver precedentemente stabilito un algoritmo reciproco. Questo è anche noto come crittografia a chiave pubblica (vedi la sezione seguente).

La stragrande maggioranza dei servizi online che utilizziamo nella nostra vita quotidiana implementa una qualche forma di crittografia a chiave pubblica.

8. Chiavi pubbliche e private

Ora capiamo di più sulla funzione delle chiavi nel processo di crittografia, possiamo esaminare le chiavi pubbliche e private.

Un algoritmo asimmetrico utilizza due chiavi: a chiave pubblica e a chiave privata. La chiave pubblica può essere inviata ad altre persone, mentre la chiave privata è nota solo al proprietario. Qual è lo scopo di questo?

Bene, chiunque abbia la chiave pubblica del destinatario previsto può crittografare un messaggio privato per loro, mentre il il destinatario può solo leggere il contenuto di quel messaggio purché abbia accesso al privato associato chiave. Guarda l'immagine qui sotto per maggiore chiarezza.

Anche le chiavi pubbliche e private svolgono un ruolo essenziale in firme digitali, per cui un mittente può firmare il proprio messaggio con la propria chiave di crittografia privata. Chi possiede la chiave pubblica può quindi verificare il messaggio, sapendo che il messaggio originale proviene dalla chiave privata del mittente.

UN coppia di chiavi è la chiave pubblica e privata matematicamente collegata generata da un algoritmo di crittografia.

9. HTTPS

HTTPS (HTTP Secure) è un aggiornamento della sicurezza ora ampiamente implementato per il protocollo dell'applicazione HTTP che è una base di Internet come la conosciamo. Quando si utilizza una connessione HTTPS, i dati vengono crittografati mediante Transport Layer Security (TLS), proteggendo i dati durante il trasporto.

HTTPS genera chiavi pubbliche e private a lungo termine che a loro volta vengono utilizzate per creare una chiave di sessione a breve termine. La chiave di sessione è una chiave simmetrica monouso che la connessione distrugge quando si esce dal sito HTTPS (chiudendo la connessione e terminando la sua crittografia). Tuttavia, quando si visita nuovamente il sito, si riceverà un'altra chiave di sessione monouso per proteggere la comunicazione.

Un sito deve aderire completamente a HTTPS per offrire agli utenti una sicurezza completa. In effetti, il 2018 è stato il primo anno in cui la maggior parte dei siti online ha iniziato a offrire connessioni HTTPS su HTTP standard.

10. Crittografia end-to-end

Una delle più grandi parole d'ordine di crittografia è quella di crittografia end-to-end. Il servizio di piattaforma di messaggistica sociale WhatsApp ha iniziato a offrire ai suoi utenti la crittografia end-to-end (E2EE) nel 2016, assicurandosi che i loro messaggi siano sempre privati.

Nel contesto di un servizio di messaggistica, EE2E significa che una volta premuto il pulsante di invio, la crittografia rimane attiva fino a quando il destinatario non riceve i messaggi. Cosa sta succedendo qui? Bene, questo significa che la chiave privata utilizzata per codificare e decodificare i tuoi messaggi non lascia mai il tuo dispositivo, garantendo a sua volta che nessuno, tranne te, possa inviare messaggi usando il tuo moniker.

WhatsApp non è il primo o nemmeno l'unico servizio di messaggistica per offrire crittografia end-to-end 4 alternative a Slick WhatsApp che proteggono la tua privacyFacebook ha acquistato WhatsApp. Ora che siamo sopra lo shock di quelle notizie, sei preoccupato per la tua privacy dei dati? Leggi di più . Tuttavia, ha spostato ulteriormente l'idea della crittografia dei messaggi mobili nel mainstream, con grande rabbia di una miriade di agenzie governative in tutto il mondo.

Crittografia fino alla fine

Sfortunatamente ce ne sono molti governi e altre organizzazioni a cui non piace davvero la crittografia Perché non dovremmo mai lasciare che il governo rompa la crittografiaVivere con il terrorista significa affrontare regolarmente richieste per un'idea veramente ridicola: creare backdoor di crittografia accessibili dal governo. Ma non è pratico. Ecco perché la crittografia è vitale per la vita di tutti i giorni. Leggi di più . Lo odiano per le stesse ragioni per cui pensiamo che sia fantastico: mantiene privata la tua comunicazione e, in minima parte, aiuta la funzione di Internet.

Senza di essa, Internet diventerebbe un posto estremamente pericoloso. Certamente non completeresti il ​​tuo banking online, non compreresti nuove pantofole da Amazon o diresti al tuo medico cosa c'è che non va.

In apparenza, la crittografia sembra scoraggiante. Non mentirò; le basi matematiche della crittografia sono talvolta complicate. Ma puoi ancora apprezzare la crittografia senza i numeri, e questo da solo è davvero utile.