È probabile che tu abbia familiarità con la parola crittografia . Probabilmente hai sentito di quanto sia importante, e di quanto sia vitale per mantenere così sicure molte delle nostre vite iper-connesse.
Usa WhatsApp? Stai usando la crittografia. Accedi al servizio bancario online? Ancora lo stesso. Devo chiedere al barista un codice Wi-Fi? Questo perché ti stai connettendo a una rete utilizzando la crittografia: la password è la chiave.
Ma anche se usiamo la crittografia nelle nostre vite quotidiane, molta terminologia rimane misteriosa. Ecco una lista di otto termini di crittografia essenziali che devi capire.
1. Testo in chiaro
Iniziamo con il termine più elementare da sapere, che è semplice ma importante quanto gli altri: il testo in chiaro è un messaggio chiaro e leggibile che chiunque può leggere.
2. Testo cifrato
Il ciphertext è il risultato del processo di crittografia. Il testo in chiaro crittografato appare come stringhe di caratteri apparentemente casuali, rendendoli inutili. Una cifra è un altro modo di riferirsi all'algoritmo di crittografia che trasforma il testo in chiaro, da cui il termine testo cifrato.
3. Crittografia
La crittografia è il processo di applicazione di una funzione matematica a un file che rende i suoi contenuti illeggibili e inaccessibili, a meno che non si disponga della chiave di decodifica.
Ad esempio, supponiamo di avere un documento di Microsoft Word. Si applica una password utilizzando la funzione di crittografia incorporata di Microsoft Office. Il file è ora illeggibile e inaccessibile a chiunque non abbia la password.
decrittazione
Se la crittografia blocca il file, la decrittografia inverte il processo, trasformando il testo cifrato in testo normale. La decrittazione richiede due elementi: la password corretta e l'algoritmo di decrittografia corrispondente.
4. Chiavi
Il processo di crittografia richiede una chiave crittografica che indica all'algoritmo come trasformare il testo in chiaro in testo cifrato. Il principio di Kerckhoffs afferma che "solo la segretezza della chiave fornisce sicurezza", mentre la massima di Shannon continua "il nemico conosce il sistema".
Queste due affermazioni influenzano il ruolo della crittografia e le chiavi al suo interno.
Mantenere segreti i dettagli di un intero algoritmo di crittografia è estremamente difficile; mantenere una chiave molto più piccola segreta è più facile. La chiave blocca e sblocca l'algoritmo, consentendo il funzionamento del processo di crittografia o decrittografia.
Una chiave è una password?
No. Beh, almeno non del tutto. La creazione di chiavi è il risultato dell'uso di un algoritmo, mentre una password è solitamente una scelta dell'utente. La confusione nasce dal fatto che raramente interagiamo specificamente con una chiave crittografica, mentre le password fanno parte della vita quotidiana.
Le password sono a volte parte del processo di creazione delle chiavi. Un utente inserisce la sua password super forte usando tutti i tipi di caratteri e simboli, e l'algoritmo genera una chiave usando il loro input.
5. Hash
Pertanto, quando un sito Web crittografa la password, utilizza un algoritmo di crittografia per convertire la password in chiaro in un hash. Un hash è diverso dalla crittografia in quanto una volta che i dati sono stati sottoposti a hash, non può essere unhashed. O meglio, è estremamente difficile.
L'hashing è davvero utile quando devi verificare l'autenticità di qualcosa, ma non farlo leggere di nuovo. In questo, l'hashing della password offre una certa protezione contro gli attacchi di forza bruta. Quali sono gli attacchi di forza bruta e come puoi proteggerti? Quali sono gli attacchi di forza bruta e come puoi proteggerti? Probabilmente hai sentito la frase "attacco di forza bruta". Ma cosa significa quello esattamente? Come funziona? E come puoi proteggerti contro di esso? Ecco cosa devi sapere. Leggi altro (dove l'utente malintenzionato tenta ogni possibile combinazione di password).
Potresti aver persino sentito parlare di alcuni dei comuni algoritmi di hashing, come MD5, SHA, SHA-1 e SHA-2. Alcuni sono più forti di altri, mentre alcuni, come MD5, sono decisamente vulnerabili. Ad esempio, se vai al sito MD5 Online, noterai che hanno 123, 255, 542, 234 parole nel loro database di hash MD5. Vai avanti, provalo.
- Seleziona MD5 Encrypt dal menu in alto.
- Digita la tua password, premi Encrypt e visualizza l'hash MD5.
- Seleziona l'hash, premi Ctrl + C per copiare l'hash e seleziona MD5 Decrypt dal menu principale.
- Seleziona la casella e premi Ctrl + V per incollare l'hash, completare il CAPTCHA e premere Decrypt .
Come vedi, una password con hash non significa automaticamente che sia sicura (a seconda della password che hai scelto, ovviamente). Ma ci sono funzioni di crittografia aggiuntive che aumentano la sicurezza.
6. Sale
Quando le password fanno parte della creazione delle chiavi, il processo di crittografia richiede ulteriori passaggi di sicurezza. Uno di questi passaggi è salare le password. A un livello base, un sale aggiunge dati casuali a una funzione di hash unidirezionale. Esaminiamo cosa significa utilizzare un esempio.
Ci sono due utenti con la stessa password: hunter2 .
Eseguiamo hunter2 attraverso un generatore di hash SHA256 e riceviamo f52fbd32b2b3b86ff88ef6c490628285f482af15ddbb29541f94bcf526a3f6c7.
Qualcuno incide il database delle password e controllano questo hash; ogni account con l'hash corrispondente è immediatamente vulnerabile.
Questa volta, utilizziamo un singolo salt, aggiungendo un valore di dati casuali alla password di ciascun utente:
- Salt esempio n. 1: hunter2 + salsiccia : 3436d420e833d662c480ff64fce63c7d27ddabfb1b6a423f2ea45caa169fb157
- Salt esempio # 2: hunter2 + bacon : 728963c70b8a570e2501fa618c975509215bd0ff5cddaf405abf06234b20602c
Confrontate rapidamente gli hash per le stesse password con e senza il sale (estremamente semplice):
- Senza sale: f52fbd32b2b3b86ff88ef6c490628285f482af15ddcb29541f94bcf526a3f6c7
- Esempio di esempio n. 1: 3436d420e833d662c480ff64fce63c7d27ddabfb1b6a423f2ea45caa169fb157
- Salt esempio # 2: 728963c70b8a570e2501fa618c975509215bd0ff5cddaf405abf06234b20602c
Vedete che l'aggiunta del sale equivale a randomizzare il valore hash che la vostra password rimane (quasi) completamente sicura durante una violazione. E ancora meglio, la password continua a collegare il tuo nome utente in modo che non ci sia confusione nel database quando accedi al sito o al servizio.
7. Algoritmi simmetrici e asimmetrici
Nel computing moderno esistono due tipi di algoritmo di crittografia primario: simmetrico e asimmetrico. Entrambi crittografano i dati, ma funzionano in modo leggermente diverso.
- Algoritmo simmetrico: utilizzare la stessa chiave per la crittografia e la decrittografia. Entrambe le parti devono concordare la chiave dell'algoritmo prima di iniziare la comunicazione.
- Algoritmo asimmetrico: utilizzare due chiavi diverse: una chiave pubblica e una chiave privata. Ciò consente la crittografia sicura durante la comunicazione senza stabilire in precedenza un algoritmo reciproco. Questo è anche noto come crittologia a chiave pubblica (vedere la sezione seguente).
La stragrande maggioranza dei servizi online che usiamo nella nostra vita quotidiana implementa una qualche forma di crittologia a chiave pubblica.
8. Chiavi pubbliche e private
Ora capiamo di più sulla funzione delle chiavi nel processo di crittografia, possiamo guardare le chiavi pubbliche e private.
Un algoritmo asimmetrico utilizza due chiavi: una chiave pubblica e una chiave privata . La chiave pubblica può essere inviata ad altre persone, mentre la chiave privata è conosciuta solo dal proprietario. Qual è lo scopo di questo?
Bene, chiunque abbia la chiave pubblica del destinatario previsto può crittografare un messaggio privato per loro, mentre il destinatario può solo leggere il contenuto di quel messaggio a condizione che abbia accesso alla chiave privata accoppiata. Controlla l'immagine qui sotto per maggiore chiarezza.
Anche le chiavi pubbliche e private svolgono un ruolo essenziale nelle firme digitali, in base alle quali un mittente può firmare il proprio messaggio con la propria chiave di crittografia privata. Quelli con la chiave pubblica possono quindi verificare il messaggio, con la certezza che il messaggio originale proviene dalla chiave privata del mittente.
Una coppia di chiavi è la chiave pubblica e privata collegata matematicamente generata da un algoritmo di crittografia.
9. HTTPS
HTTPS (HTTP Secure) è un aggiornamento di sicurezza ora ampiamente implementato per il protocollo di applicazione HTTP che è alla base di Internet come lo conosciamo. Quando si utilizza una connessione HTTPS, i dati vengono crittografati utilizzando Transport Layer Security (TLS), proteggendo i dati durante il trasporto.
HTTPS genera chiavi private e pubbliche a lungo termine che a loro volta vengono utilizzate per creare una chiave di sessione a breve termine. La chiave di sessione è una chiave simmetrica monouso che la connessione distrugge una volta lasciato il sito HTTPS (chiudendo la connessione e terminando la crittografia). Tuttavia, quando visiti nuovamente il sito, riceverai un'altra chiave di sessione monouso per proteggere la tua comunicazione.
Un sito deve aderire completamente a HTTPS per offrire agli utenti sicurezza completa. Infatti, il 2018 è stato il primo anno in cui la maggior parte dei siti online ha iniziato a offrire connessioni HTTPS su HTTP standard.
10. Crittografia end-to-end
Uno dei più grandi buzzwords di crittografia è quello della crittografia end-to-end . WhatsApp ha iniziato a offrire agli utenti la crittografia end-to-end Perché la crittografia end-to-end di WhatsApp è un grosso problema Perché la crittografia end-to-end di WhatsApp è un grosso problema WhatsApp ha annunciato di voler abilitare end-to-end crittografia nel loro servizio. Ma cosa significa questo per te? Ecco cosa è necessario sapere sulla crittografia di WhatsApp. Leggi di più (E2EE) nel 2016, assicurandosi che i loro messaggi siano sempre privati.
Nel contesto di un servizio di messaggistica, EE2E significa che una volta premuto il pulsante di invio, la crittografia rimane attiva fino a quando il destinatario riceve i messaggi. Cosa sta succedendo qui? Bene, questo significa che la chiave privata utilizzata per codificare e decodificare i tuoi messaggi non lascia mai il tuo dispositivo, a sua volta assicurando che nessuno tranne te possa inviare messaggi usando il tuo moniker.
WhatsApp non è il primo, o addirittura l'unico servizio di messaggistica per offrire la crittografia end-to-end 4 Slick WhatsApp Alternative che proteggono la tua privacy 4 Slick WhatsApp Alternative che proteggono la tua privacy Facebook ha acquistato WhatsApp. Ora che siamo sopraffatti da questa notizia, sei preoccupato per la tua privacy dei dati? Leggi di più . Tuttavia, ha spostato l'idea della crittografia dei messaggi mobili nel mainstream - con grande rabbia per le innumerevoli agenzie governative in tutto il mondo.
Crittografia fino alla fine
Purtroppo, ci sono molti governi e altre organizzazioni che non amano davvero la crittografia Perché non dovremmo mai lasciare che il governo interrompa la crittografia Perché non dovremmo mai lasciare che il governo interrompa la crittografia Vivere con il terrorismo significa affrontare richieste regolari per una nozione veramente ridicola: creare un governo accessibile backdoor di crittografia. Ma non è pratico. Ecco perché la crittografia è vitale per la vita di tutti i giorni. Leggi di più . Lo odiano per gli stessi motivi per cui pensiamo che sia fantastico: mantiene la tua comunicazione privata e, in non piccola parte, aiuta la funzione di internet.
Senza di esso, Internet diventerebbe un luogo estremamente pericoloso. Certamente non completeresti il tuo banking online, acquisterai nuove pantofole da Amazon o dirai al tuo medico cosa c'è che non va.
In superficie, la crittografia sembra scoraggiante. Non mentirò; le basi matematiche della crittografia sono a volte complicate. Ma puoi ancora apprezzare la crittografia senza i numeri, e questo da solo è davvero utile.