Każdy z nas słyszał o szyfrowanych komunikatorach, poczcie czy połączeniach. Jednak mało kto zawraca sobie głowę tym, jak to działa. Dzisiaj postaram się pokrótce opowiedzieć, czym zajmuje się kryptografia (trudne słowo!), jak działa szyfrowanie i dlaczego wszyscy go potrzebujemy 🙂
Kryptografia – nauka o bezpiecznej komunikacji
Kryptografia to ni mniej, ni więcej jak gałąź wiedzy zajmująca się zabezpieczaniem informacji przed niepowołanym dostępem. Razem z kryptoanalizą, czyli dziedziną zajmującą się łamaniem szyfrów, tworzą naukę zwaną kryptologią. Kryptografię zasadniczo możemy podzielić na dwa rodzaje – symetryczną i asymetryczną, które, jak się pewnie domyślacie, różnią się zasadami szyfrowania informacji.
Kryptografia (szyfrowanie) symetryczne
Jest to starszy i mniej skuteczny sposób szyfrowania informacji. A właściwie nie tyle mniej skuteczny, co wymagający dużo więcej zachodu. Polega on na tym, że Alice i Bob (oni zawsze się tak nazywają, kiedy mówimy o kryptografii 😉 ) wysyłają do siebie zaszyfrowaną wiadomość. Alice używa do jej zaszyfrowania tego samego klucza, którego Bob użyje do jej odszyfrowania. Na poniższym schemacie widzimy, że ten sam klucz pasuje do kłódki zamkniętej i otwartej.
Wyobraźmy sobie ten sposób działania jako pudełko, do którego wszyscy mają taki sam klucz. Takie rozwiązanie rodzi nam kilka problemów:
- Skoro oboje używają tego samego klucza, musimy go im dostarczyć w taki sposób, aby Eve (niepowołana osoba trzeba) go nie przechwyciła, ponieważ wtedy może przeczytać tę wiadomość. Eve więc może przejąć po drodze klucz do pudełka, dorobić sobie swój, przeczytać wiadomość w pudełku, nawet ją podmienić, a Alice ani Bob się o tym nie dowiedzą.
- Abyśmy mieli pewność, że pudełko jest bezpieczne, powinniśmy wymieniać w nim zamek po każdej wiadomości. Dzięki temu nawet jeśli Eve dorobi sobie klucz, po wymianie zamka nie przeczyta już następnej wiadomości.
- Klucz musi być bardzo trudny do podrobienia, co angażuje dodatkowe zasoby. Generalna zasada jest taka, że klucz nie do złamania powinien być jednorazowy (one-time pad) i mieć długość taką samą, jak szyfrowana wiadomość.
Kryptografia (szyfrowanie) asymetryczne
Jest to sposób, którego działanie jest dużo mniej intuicyjne, ale bardzo przydatne w systemach z wieloma użytkownikami. O ile szyfrowanie symetryczne ma sens przy komunikacji dwóch osób, kryptografia asymetryczna dobrze sprawdza się np. w mailach czy komunikatorach.
Aby lepiej zrozumieć zasadę działania, znowu posłużymy się przykładem pudełka z wiadomością. Do tego pudełka mamy parę kluczy – publiczny i prywatny. Jak sama nazwa wskazuje, klucz publiczny może wziąć od nas każdy i za jego pomocą zamknąć w pudełku wiadomość przeznaczoną dla nas (zaszyfrować ją). Jednak tylko my, z pomocą klucza prywatnego, możemy to pudełko otworzyć (odszyfrować wiadomość). Do naszego klucza prywatnego (na co też wskazuje nazwa 😉 ) nikt nie powinien mieć dostępu.
Szyfrowanie asymetryczne rozwiązuje problem dystrybucji klucza, z którym mieliśmy problem przy kryptografii symetrycznej. Odczytanie zaszyfrowanych w ten sposób informacji jest możliwe tylko w przypadku przejęcia klucza prywatnego, czyli de facto przejęcia kontroli nad urządzeniem. Adwersarz nie musi tego urządzenia wcale ukraść fizycznie – wystarczy, że padniemy ofiarą phishingu. Więcej o tym, jak nie paść ofiarą wyłudzenia danych, przeczytacie w tym artykule.
Po co nam to całe szyfrowanie?
W zasadzie moglibyśmy skwitować to jednym słowem: bezpieczeństwo. Ale możemy też trzema: identyfikacja, uwierzytelnienie, autoryzacja 🙂
Identyfikacja ma na celu zebranie danych i informacji o drugiej stronie. Mogą to być np. imię i nazwisko na infolinii, pseudonim na portalu, czy login.
Uwierzytelnienie to proces, w którym druga strona (rozmówca, bank, sklep internetowy czy dostawca poczty) weryfikuje, czy faktycznie ma do czynienia z nami. Najczęściej wykorzystywanym sposobem jest wpisanie hasła albo użycie danych biometrycznych (odcisk palca, skan twarzy).
Autoryzacja wykorzystuje te same metody, co proces uwierzytelniania. O ile jednak uwierzytelniamy się po to, aby potwierdzić naszą tożsamość, autoryzacja służy temu, żeby ustalić, czy mamy prawo do korzystania z danego zasobu. Na przykład do przelania środków w banku albo złożenia deklaracji w ZUS.
Podsumowanie
Z kryptografii korzystamy na każdym kroku, często nie zdając sobie z tego nawet sprawy. Każda płatność internetowa, przelew, logowanie na stronie z memami czy zamówienie na Allegro to operacja przy użyciu szyfrowania. Korzystają z niego niemal wszystkie witryny i programy, w których podajemy swoje dane. I nie chodzi tylko o dane osobowe, ale także o loginy i hasła. Nawet jeśli zapiszecie się na newsletter na tym blogu, Wasze dane zostaną zaszyfrowane przy pomocy protokołu SSL 🙂