ЗНАЙ ИНТУИТ, Лекция, Шифроване

„Всичко, от което се нуждаете, за да сте сигурни, е добро криптиране.“ Това твърдение може да се чуе навсякъде. Ако информацията е криптирана, никой не може да я прочете или промени. Ако използваме криптиране, тогава знаем с кого си имаме работа, така че криптирането може да се тълкува и като удостоверяване.

Всичко това звучи доста хубаво и обикновено се оправдава на практика при използване на криптиране. Шифроването несъмнено е най-важното средство за гарантиране на сигурността. Механизмите за криптиране помагат за защита на поверителността и целостта на информацията. Механизмите за криптиране помагат да се идентифицира източникът на информация. Самото криптиране обаче не е решението на всички проблеми. Механизмите за криптиране могат и трябва да бъдат част от напълно функционална програма за сигурност. Наистина, механизмите за криптиране са широко използвани механизми за сигурност, просто защото помагат да се гарантира поверителността, целостта и възможността за идентифициране.

Шифроването обаче е само забавящо действие. Известно е, че всяка система за криптиране може да бъде кракната. Говорим за факта, че достъпът до информация, защитена с криптиране, може да отнеме много време и голямо количество ресурси. Като се има предвид този факт, нападателят може да се опита да намери и използва други слабости в системата като цяло.

Тази лекция ще обхване основните концепции, свързани с криптирането и как да използвате криптирането, за да запазите информацията защитена. Няма да разглеждаме подробно математическата основа на криптирането, така че читателят няма да се нуждае от много знания в товаобласти. Въпреки това ще разгледаме няколко примера, за да разберем как се използват различни алгоритми за криптиране в една добра програма за сигурност.

Основни концепции за криптиране

Шифроването осигурява три състояния на информационна сигурност.

Термини, свързани с криптиране

Преди да навлезем в детайлите на криптирането, нека дефинираме някои от термините, които ще бъдат използвани в дискусията. Първо, ще разгледаме термините за компонентите, участващи в криптирането и декриптирането. Фигура 12.1 показва общия принцип зад това как работи криптирането.

  • Обикновен текст. Информация в оригиналния й вид. Нарича се още обикновен текст.
  • Шифрован текст. Информация, изложена на алгоритъма за криптиране.

шифроване

Има и четири термина, които трябва да знаете:

  • Криптография. Наука за скриване на информация чрез криптиране.
  • Криптограф. Човек, който практикува криптография.
  • Криптоанализ. Изкуството да се анализират криптографските алгоритми за уязвимости.
  • Криптоаналитик. Лице, което използва криптоанализ за идентифициране и използване на уязвимости в криптографските алгоритми.

Атаки срещу системата за криптиране

Системите за криптиране могат да бъдат атакувани по три начина:

  • Чрез слабости в алгоритъма.
  • Чрез "груба сила" атака на ключа.
  • Чрез уязвимости в заобикалящата система.

Когато извършва атака срещу алгоритъм, криптоаналитикът търси уязвимости в метода за преобразуване на открития текст в шифър, за да разкрие открития текст без да използва ключ. Алгоритми, които иматуязвимостите не могат да се нарекат достатъчно мощни. Причината е, че известна уязвимост може да се използва за бързо възстановяване на оригиналния текст. В този случай атакуващият няма да трябва да използва допълнителни ресурси.

Атаките с груба сила са опити да се отгатне всеки възможен ключ за преобразуване на шифър в обикновен текст. Средно анализатор, използващ този метод, трябва да тества 50 процента от всички ключове, преди да успее. По този начин мощността на алгоритъма се определя само от броя на ключовете, които анализаторът трябва да опита. Следователно, колкото по-дълъг е ключът, толкова по-голям е общият брой ключове и толкова повече ключове трябва да опита нападателят, преди да намери правилния ключ. Атаките с груба сила теоретично трябва винаги да са успешни, като се има предвид необходимото време и ресурси. Следователно, алгоритмите трябва да бъдат оценени според периода от време, през който информацията остава защитена, когато се извърши атака с груба сила. Един алгоритъм се счита за сигурен, ако цената за получаване на ключ чрез груба атака надвишава цената на самата защитена информация.

Още по-краен пример за уязвимост е пакет за криптиране, използван от много потребители. Този пакет използва мощни алгоритми за криптиране за криптиране на имейли и файлове. Атаките срещу такава система не могат да бъдат лесно извършени с помощта на алгоритми или атаки с груба сила. Ключът на потребителя обаче е във файл на неговия компютър. Файлът е защитен с парола. Имайки предвид факта, че повечето потребители не използват комбинации от произволни знаци в своите пароли, много по-лесно е да познаете паролата на потребителя или да я получите чрез атаки.„груба сила“, отколкото да получите ключа на потребителя по същия начин.

От това трябва да се заключи, че системата влияе върху цялостната сигурност на шифрите не по-малко от алгоритъма за криптиране и ключа.