Hoe werkt openbare sleutelcodering?
Voor velen blijft veiligheid een mysterie dat beter aan de professionals wordt overgelaten. Het werd gezien als te complex voor de leek om te verkennen of volledig te begrijpen. Hoewel het een lastige taak is om in de wiskunde van enkele van de meest complexe algoritmen te duiken, is de essentie van wat al deze algoritmen doet werken, niet noodzakelijk buiten het bereik van iemand. In plaats van te kijken naar de kleine details van cryptografie die de meeste mensen saai of overweldigend vinden, kunnen we kijken naar de concepten die deel uitmaken van openbare sleutelcodering, zodat we volledig kunnen begrijpen wat ons precies tegen hackers beschermt.
Wat is codering met openbare sleutel?
Public Key-codering, een concept van cryptografie met openbare sleutels, is een middel om privé gegevens uit te wisselen met een openbare en een private sleutel. De publieke sleutel wordt door iedereen gezien (vandaar de naam "public"). De privésleutel is echter alleen zichtbaar voor de eindpunten die de gegevens verzenden. Public Key-codering staat bekend als een "asynchrone" algoritme.
Wat is een synchroon / asynchroon algoritme?
Als we PKE als een "asynchroon" algoritme moesten labelen, werd het gedaan om het te onderscheiden van synchrone algoritmen. Alle cryptografie maakt gebruik van een op sleutels gebaseerd systeem om het probleem van privacy aan te pakken. De termen "synchroon" en "asynchroon" verwijzen naar de manieren waarop deze sleutels worden gedeeld.
Laten we zeggen dat u probeert een brief te sturen naar iemand die is gecodeerd. De persoon die uw brief ontvangt, moet weten hoe de volledige tekst moet worden ontcijferd om te begrijpen wat erin zit. Hoe ga je die persoon leren om het te ontcijferen? Je moet elkaar in het geheim ontmoeten om die persoon de sleutel te geven. Dit is in wezen hoe synchrone algoritmen werken. Dat "ontmoeting in het geheim" deel is een beetje moeilijk, omdat ogen en oren overal zijn. Het internet is niet anders, omdat snoopers ook in staat zijn om te luisteren ("snuffelen") op uw uitzendingen.
Asynchrone algoritmen werken anders. De formule bestaat uit twee componenten: openbaar en privé. In een asynchroon scenario heb je in plaats daarvan een doos met een slot. Je stuurt dat vak naar de persoon naar wie je de brief wilt sturen en met een sleutel die het blokkeert, maar ontgrendelt het niet. Dit staat bekend als de openbare sleutel. Iedereen kan de doos op slot doen. Ontgrendelen is een ander verhaal.
U kunt uw box alleen ontgrendelen met uw persoonlijke sleutel en elk van u heeft uw eigen code die deze kan ontgrendelen. U hoeft elkaar niet in het geheim te ontmoeten of zoiets, en dit elimineert de mogelijkheid dat iemand nieuwsgierig wordt.
Wat als iemand uw privésleutel ontdekt?
"Als asynchrone codering wordt gebruikt voor het opslaan van wachtwoorden in de meeste moderne databases, waarom worden mensen dan nog steeds gehackt?" Dat is toch een beetje een rotzooi? Dit komt omdat hackers nog steeds gemene methoden gebruiken om toegang te krijgen tot belangrijke databases, hetzij door interne sabotage, social engineering of de beveiliging achter het account van een medewerker te omzeilen. Omdat de meeste bedrijven privésleutels op hun eigen servers opslaan, bestaat het risico dat ze alle accounts van hun gebruikers in gevaar brengen. Sommige algoritmen zijn ook heel gemakkelijk te achterhalen en te ontgrendelen, ongeacht of de hacker een privésleutel heeft of niet (lockpicking, iemand?). Dit is waar de codering van openbare sleutels zijn fout heeft.
Er zijn een paar bedrijven die iets proberen te doen aan dit probleem, waaronder het opslaan van privésleutels op veel verschillende servers. Maar niets werkt beter dan iemand de mogelijkheid te geven om zijn eigen privésleutel te maken (aangezien de privésleutel sterk genoeg is om niet op zichzelf te worden geraden). Op dit moment is PerfectCloud het enige bedrijf dat deze oplossing gebruikt. Het moet omdat het een dienst levert die zich bezighoudt met zeer gevoelige gegevens van zijn klanten. Helaas kan ik niet hetzelfde zeggen van andere alternatieve diensten.
Hoe zou u het probleem met de privésleutel aanpakken?
Welk advies zou u hebben voor mensen die bezorgd zijn over hun privacy? Laten we van je horen in de comments hieronder!