10 termes de chiffrement de base que tout le monde devrait connaître et comprendre

Publicité

Il y a de fortes chances que vous connaissiez le mot chiffrement. Vous avez probablement entendu parler de son importance, ainsi que de son importance pour assurer la sécurité d'une grande partie de nos vies hyper-connectées.

Utilisez WhatsApp? Vous utilisez le cryptage. Connectez-vous à la banque en ligne? Encore le même. Vous devez demander au barista un code Wi-Fi? C'est parce que vous vous connectez à un réseau en utilisant le cryptage - le mot de passe est la clé.

Mais même si nous utilisons le cryptage dans notre vie de tous les jours, beaucoup de terminologie reste mystérieuse. Voici une liste de huit termes de chiffrement essentiels que vous devez comprendre.

1. Plaintext

Commençons par le terme le plus élémentaire à savoir, qui est simple mais tout aussi important que les autres: texte en clair est un message simple et lisible que tout le monde peut lire.

2. Texte chiffré

Texte chiffré est le résultat du processus de cryptage. Le texte en clair chiffré apparaît comme des chaînes de caractères apparemment aléatoires, les rendant inutiles. Un chiffre est une autre façon de se référer à l'algorithme de chiffrement qui transforme le texte en clair, d'où le terme texte chiffré.

3. Chiffrement

Chiffrement est le processus d'application d'une fonction mathématique à un fichier qui rend son contenu illisible et inaccessible, sauf si vous avez la clé de déchiffrement.

Par exemple, supposons que vous ayez un document Microsoft Word. Vous appliquez un mot de passe à l'aide de la fonction de chiffrement intégrée de Microsoft Office. Le fichier est désormais illisible et inaccessible à toute personne sans mot de passe. Vous pouvez même crypter l'intégralité de votre disque dur pour la sécurité.

Décryptage

Si le chiffrement verrouille le fichier, le déchiffrement inverse le processus, remettant le texte chiffré en texte clair. Décryptage nécessite deux éléments: le mot de passe correct et l'algorithme de déchiffrement correspondant.

4. Clés

Le processus de cryptage nécessite un clé cryptographique qui indique à l'algorithme comment transformer le texte en clair en texte chiffré. Principe de Kerckhoffs déclare que «seul le secret de la clé assure la sécurité», tandis que la maxime de Shannon continue «l'ennemi connaît le système».

Ces deux déclarations influencent le rôle du chiffrement et les clés à l'intérieur.

Il est extrêmement difficile de garder secrets les détails d'un algorithme de chiffrement entier; garder un secret beaucoup plus petit est plus facile. La clé verrouille et déverrouille l'algorithme, permettant au processus de chiffrement ou de déchiffrement de fonctionner.

Une clé est-elle un mot de passe?

Non, du moins pas entièrement. La création de clés est le résultat de l'utilisation d'un algorithme, alors qu'un mot de passe est généralement le choix de l'utilisateur. La confusion survient car nous interagissons rarement spécifiquement avec une clé cryptographique, alors que les mots de passe font partie de la vie quotidienne.

Les mots de passe font parfois partie du processus de création de clés. Un utilisateur entre son mot de passe super fort en utilisant toutes sortes de caractères et de symboles, et l'algorithme génère une clé en utilisant leur entrée.

5. Hacher

Ainsi, lorsqu'un site Web chiffre votre mot de passe, il utilise un algorithme de chiffrement pour convertir votre mot de passe en texte brut en hachage. UNE hacher est différent du chiffrement dans la mesure où une fois les données hachées, elles ne peuvent pas être hachées. Ou plutôt, c'est extrêmement difficile.

Le hachage est vraiment utile lorsque vous devez vérifier l'authenticité d'un élément, mais ne pas le relire. En cela, le hachage de mot de passe offre une certaine protection contre attaques par force brute (où l'attaquant essaie toutes les combinaisons de mots de passe possibles).

Vous avez peut-être même entendu parler de certains des algorithmes de hachage courants, tels que MD5, SHA, SHA-1 et SHA-2. Certains sont plus forts que d'autres, tandis que certains, comme MD5, sont carrément vulnérables. Par exemple, si vous vous rendez sur le site MD5 en ligne, vous remarquerez qu'ils contiennent 123 255 542 234 mots dans leur base de données de hachage MD5. Allez-y, essayez.

• Sélectionner MD5 Encrypt dans le menu supérieur.
• Tapez votre mot de passe, appuyez sur Crypteret affichez le hachage MD5.
• Sélectionnez le hachage, appuyez sur Ctrl + C pour copier le hachage, puis sélectionnez MD5 Decrypt dans le menu supérieur.
• Sélectionnez la case et appuyez sur Ctrl + V pour coller le hachage, complétez le CAPTCHA et appuyez sur Déchiffrer.

Comme vous le voyez, un mot de passe haché ne signifie pas automatiquement qu'il est sécurisé (selon le mot de passe que vous avez choisi, bien sûr). Mais il existe des fonctions de cryptage supplémentaires qui renforcent la sécurité.

6. Sel

Lorsque les mots de passe font partie de la création de clés, le processus de cryptage nécessite des étapes de sécurité supplémentaires. L'une de ces étapes est salaison les mots de passe. À un niveau de base, un sel ajoute des données aléatoires à une fonction de hachage unidirectionnelle. Examinons ce que cela signifie en utilisant un exemple.

Il y a deux utilisateurs avec exactement le même mot de passe: hunter2.

Nous courrons hunter2 via un générateur de hachage SHA256 et recevez f52fbd32b2b3b86ff88ef6c490628285f482af15ddcb29541f94bcf526a3f6c7.

Quelqu'un pirate la base de données de mots de passe et vérifie ce hachage; chaque compte avec le hachage correspondant est immédiatement vulnérable.

Cette fois, nous utilisons un sel individuel, en ajoutant une valeur de données aléatoire à chaque mot de passe utilisateur:

• Exemple de sel n ° 1: hunter2 + saucisse: 3436d420e833d662c480ff64fce63c7d27ddabfb1b6a423f2ea45caa169fb157
• Exemple de sel n ° 2: hunter2 + Bacon: 728963c70b8a570e2501fa618c975509215bd0ff5cddaf405abf06234b20602c

Comparez rapidement les hachages pour les mêmes mots de passe avec et sans le sel (extrêmement basique):

• Sans sel: f52fbd32b2b3b86ff88ef6c490628285f482af15ddcb29541f94bcf526a3f6c7
• Exemple de sel n ° 1: 3436d420e833d662c480ff64fce63c7d27ddabfb1b6a423f2ea45caa169fb157
• Exemple de sel n ° 2: 728963c70b8a570e2501fa618c975509215bd0ff5cddaf405abf06234b20602c

Vous voyez que l'ajout du sel randomise suffisamment la valeur de hachage pour que votre mot de passe reste (presque) complètement sûr pendant une violation. Et mieux encore, le mot de passe est toujours lié à votre nom d'utilisateur, il n'y a donc pas de confusion dans la base de données lorsque vous vous connectez au site ou au service.

7. Algorithmes symétriques et asymétriques

Dans l'informatique moderne, il existe deux principaux types d'algorithmes de chiffrement: symétrique et asymétrique. Ils chiffrent tous deux les données, mais fonctionnent de manière légèrement différente.

• Algorithme symétrique: Utilisez la même clé pour le chiffrement et le déchiffrement. Les deux parties doivent s'entendre sur la clé de l'algorithme avant de commencer la communication.
• Algorithme asymétrique: Utilisez deux clés différentes: une clé publique et une clé privée. Cela permet un chiffrement sécurisé lors de la communication sans établir auparavant un algorithme mutuel. Ceci est également connu comme cryptologie à clé publique (voir la section suivante).

L'écrasante majorité des services en ligne que nous utilisons dans notre vie quotidienne mettent en œuvre une certaine forme de cryptologie à clé publique.

8. Clés publiques et privées

Maintenant, nous comprenons mieux la fonction des clés dans le processus de cryptage, nous pouvons regarder les clés publiques et privées.

Un algorithme asymétrique utilise deux clés: a Clé publique et un Clé privée. La clé publique peut être envoyée à d'autres personnes, tandis que la clé privée n'est connue que du propriétaire. Quel est le but de cela?

Eh bien, toute personne possédant la clé publique du destinataire prévu peut crypter un message privé pour eux, tandis que le destinataire ne peut lire le contenu de ce message que s'il a accès au privé jumelé clé. Consultez l'image ci-dessous pour plus de clarté.

Les clés publiques et privées jouent également un rôle essentiel signatures numériques, grâce auquel un expéditeur peut signer son message avec sa clé de chiffrement privée. Les personnes disposant de la clé publique peuvent ensuite vérifier le message, sachant que le message d'origine provient de la clé privée de l'expéditeur.

UNE paire de clés est la clé publique et privée mathématiquement liée générée par un algorithme de chiffrement.

9. HTTPS

HTTPS (HTTP sécurisé) est une mise à niveau de sécurité désormais largement mise en œuvre pour le protocole d'application HTTP qui est le fondement d'Internet tel que nous le connaissons. Lorsque vous utilisez une connexion HTTPS, vos données sont cryptées à l'aide de Transport Layer Security (TLS), protégeant vos données pendant le transit.

HTTPS génère des clés privées et publiques à long terme qui à leur tour sont utilisées pour créer une clé de session à court terme. La clé de session est une clé symétrique à usage unique que la connexion détruit une fois que vous quittez le site HTTPS (fermeture de la connexion et fin de son cryptage). Cependant, lorsque vous revisitez le site, vous recevrez une autre clé de session à usage unique pour sécuriser votre communication.

Un site doit adhérer complètement au HTTPS pour offrir aux utilisateurs une sécurité complète. En effet, 2018 a été la première année où la majorité des sites en ligne ont commencé à proposer des connexions HTTPS via HTTP standard.

10. Cryptage de bout en bout

L'un des plus grands mots à la mode de chiffrement est celui de chiffrement de bout en bout. Le service de plateforme de messagerie sociale WhatsApp a commencé à offrir à ses utilisateurs un cryptage de bout en bout (E2EE) en 2016, en veillant à ce que leurs messages soient privés à tout moment.

Dans le contexte d'un service de messagerie, EE2E signifie qu'une fois que vous appuyez sur le bouton d'envoi, le chiffrement reste en place jusqu'à ce que le destinataire reçoive les messages. Que se passe-t-il ici? Eh bien, cela signifie que la clé privée utilisée pour l'encodage et le décodage de vos messages ne quitte jamais votre appareil, ce qui garantit que personne d'autre que vous ne peut envoyer des messages à l'aide de votre surnom.

WhatsApp n'est pas le premier, ni même le seul service de messagerie pour offrir un chiffrement de bout en bout 4 alternatives lisses à WhatsApp qui protègent votre vie privéeFacebook a acheté WhatsApp. Maintenant que nous sommes sous le choc de cette nouvelle, vous inquiétez-vous de la confidentialité de vos données? Lire la suite . Cela a cependant propulsé l'idée du cryptage des messages mobiles dans le courant dominant, à la grande colère de nombreuses agences gouvernementales du monde entier.

Cryptage jusqu'à la fin

Malheureusement, il y a beaucoup de les gouvernements et autres organisations qui n'aiment pas vraiment le cryptage Pourquoi ne devrions-nous jamais laisser le gouvernement rompre le chiffrementVivre avec un terroriste signifie que nous sommes confrontés à des appels réguliers pour une notion vraiment ridicule: créer des portes dérobées de chiffrement accessibles au gouvernement. Mais ce n'est pas pratique. Voici pourquoi le chiffrement est vital dans la vie de tous les jours. Lire la suite . Ils le détestent pour les mêmes raisons que nous pensons qu'il est fantastique - il garde votre communication privée et, en grande partie, aide Internet à fonctionner.

Sans cela, Internet deviendrait un endroit extrêmement dangereux. Vous ne voudriez certainement pas terminer vos opérations bancaires en ligne, acheter de nouvelles pantoufles sur Amazon ou dire à votre médecin ce qui ne va pas chez vous.

En surface, le cryptage semble intimidant. Je ne mentirai pas; les fondements mathématiques du chiffrement sont parfois compliqués. Mais vous pouvez toujours apprécier le cryptage sans les chiffres, et cela seul est vraiment utile.