Vad är krypteringsprotokoll och hur fungerar de?

kryptering används dagligen för att säkra onlinekommunikation mellan två individer eller mellan klienter och servrar. Även om du kanske inte ser det i praktiken, döljer kryptering dina vilande data och data under överföring från externa angripare som potentiellt övervakar din kommunikation. Kryptering fungerar genom att ta in oformatterad text data, eller data som är okrypterad, och omvandlar den klartexten till chiffertext. Chiffertext är en slumpmässig samling av bokstäver, siffror och ibland symboler som döljer känslig data för oönskade tittare. Chiffertext kan återföras till sin form av känsliga data, så länge antingen en nyckel användes för att kryptera informationen, eller ett mönster hittas i chiffertexten för att Avkryptera Möjligheten att dekryptera data är avgörande i onlinekommunikationsprocessen, eftersom mottagaren av informationen ska kunna dekryptera informationen, vilket vanligtvis görs via nyckelanvändning. Kryptering är avgörande för att säkerställa att känsliga data förblir hemliga för oönskade angripare, och förutom kryptering finns det krypteringsprotokoll. 

Vad är ett krypteringsprotokoll?

Kryptering sker med hjälp av krypteringsalgoritmer. Dessa algoritmer utför alla kryptografiska operationer, med hjälp av krypteringsnyckeln, på klartextdata. Dessa algoritmer används sedan inom krypteringsprotokoll för att skydda data för olika användningsområden. Poängen med ett krypteringsprotokoll är att uppfylla en specifik funktion. Funktionerna som krypteringsprotokoll kan utföra varierar, från kommunikation med TLS / SSL till fjärranslutningar till datorer med SSHVi kommer att titta på några av de mer välkända krypteringsprotokollen senare i vår artikel. Innan vi går in på djupet med krypteringsprotokoll finns det några termer vi bör lära oss först, till att börja med asymmetrisk och symmetrisk kryptering.

Symmetrisk och asymmetrisk kryptering

Symmetrisk kryptering är en mycket enklare form av kryptering. Symmetrisk kryptering använder en nyckel för att kryptera data, oavsett om informationen är under överföring eller i vila. När det gäller kryptering av data under överföring skapas nyckeln och delas med både avsändaren och mottagaren av meddelandet. Informationen i meddelandet krypteras med den symmetriska nyckeln, vilket innebär att den enda personen som kan läsa denna data är någon som äger krypteringsnyckeln. När meddelandet når mottagaren kan de använda den symmetriska nyckeln för att dekryptera informationen. Att enbart använda symmetrisk kryptering rekommenderas inte, eftersom det är mycket mer osäkert jämfört med asymmetrisk kryptering. Detta beror på att med symmetrisk kryptering måste den skapade nyckeln någon gång levereras till datamottagaren. Om denna överföring inte görs säkert kan nyckeln avlyssnas under leveransen, vilket innebär att all kryptering som görs med den nyckeln nu är irrelevant. Ett exempel på data under överföring krypterad med en symmetrisk nyckel kan ses nedan.

Asymmetrisk kryptering, som jag nämnde tidigare, är den säkraste av de två typerna av kryptering. Med asymmetrisk kryptering skapas ett nyckelpar som består av en offentlig och en privat nyckel. Den offentliga nyckeln hålls tillgänglig för alla att se, medan den privata nyckeln endast är känd för nyckelparets skapare. För att asymmetriskt kryptera data krypterar nyckelparets skapare meddelandet med sin privata nyckel, skickar det krypterade meddelandet till mottagaren, och mottagaren kan sedan använda den offentliga nyckeln, som vanligtvis finns i ett offentligt nyckelregister, för att dekryptera meddelandet. Genom att dekryptera meddelandet med den offentliga nyckeln kan datamottagaren se att meddelandet är från den de tror att det är ifrån och att informationen i meddelandet inte har ändrats. Om informationen i meddelandet hade ändrats skulle dekrypteringen med den offentliga nyckeln inte producera ett läsbart meddelande, eftersom informationen skulle ha krypterats till ett annat värde. Även om asymmetrisk kryptering är säkrare än symmetrisk kryptering tenderar de att användas tillsammans för kommunikationskryptering. Den initiala anslutningen skapas med asymmetrisk kryptering, en symmetrisk sessionsnyckel skapas och sessionsnyckeln används sedan för att kryptera meddelanden i sessionen. Nedan visas ett diagram över den asymmetriska krypteringsprocessen.

Public Key Infrastructure (PKI)

Att arbeta hand i hand med asymmetrisk kryptering och krypteringsprotokoll är Infrastrukturer för offentliga nyckelringar, eller PKI. A PKI-infrastruktur Återvinnare digitala certifikat och asymmetriska nyckelpar för att autentisera användare och enheter inom ett nätverk. När någon vill använda ett nätverk som använder en PKI-infrastruktur måste de begära ett certifikat från en Certifikatmyndighet (CA) inom PKI:n. Begäran, även känd som en Certifikatsigneringsbegäran eller CSR, som innehåller information om begäraren, såväl som den offentliga nyckeln för ett asymmetriskt nyckelpar som de äger. Informationen i begäran verifieras av CA, och om den är giltig utfärdas ett certifikat till begäraren som innehåller deras offentliga nyckel tillsammans med ett antal andra komponenter. När en anslutning upprättas mellan certifikatinnehavaren och en server eller annan användare kan de titta på sitt digitala certifikats förtroendekedja för att verifiera att certifikatet fortfarande är giltigt. certifikatets förtroendekedja är en sökväg från det aktuella certifikatet som leder hela vägen tillbaka till rot-CA:ns certifikat. Varje certifikat i denna kedja kontrolleras för giltighet för att säkerställa att certifikatinnehavaren inte använder ett utgånget eller återkallat certifikat. Om detta är fallet för varje certifikat i kedjan, valideras certifikatet och en anslutning kan uppstå. För en bättre förståelse av PKI kommer jag att gå mer ingående in på hur en PKI är uppbyggd och vad den består av.

En PKI innehåller alltid en rot-CA. Detta är kärnan i förtroendet i PKI-infrastrukturen, som utfärdar certifikat till de utfärdande certifikatutfärdarna för att säkerställa att de i sin tur kan utfärda certifikat till begärande parter. Om en rot-CA komprometteras ogiltigförklaras varje enskilt certifikat som utfärdats inom den PKI-infrastrukturen, och därför hålls rot-CA:n offline hela tiden. Utfärdande certifikatutfärdare är också involverade i alla typer av PKI-infrastrukturer, eftersom rot-CA:n är offline och inte kan utfärda certifikat till användare. Utfärdande certifikatutfärdare, av vilka det kan finnas hur många som helst, gör som namnet antyder: utfärdar certifikat. Dessa certifikatutfärdare är länken från det utfärdade certifikatet till rot-CA:n i deras förtroendekedja. Om en utfärdande certifikatutfärdare komprometteras är det inte lika förödande som om rot-CA:n komprometteras, men det har fortfarande hårda konsekvenser. När en utfärdande certifikatutfärdare komprometteras även alla dess utfärdade certifikat. Detta innebär att en stor del av PKI:n nu är oanvändbar. I likhet med en utfärdande certifikatutfärdare, en mellanliggande certifikatutfärdare. Den mellanliggande certifikatutfärdaren används inte i de flesta PKI; Den används endast i en PKI-infrastruktur med tre nivåer. Dessa lägger till ytterligare ett lager till certifieringsvägen, eller förtroendekedjan. De tenderar att utfärda certifikat för utfärdande certifikatutfärdare och fungerar som länken från en rot-CA till en utfärdande certifikatutfärdare. Tillsammans med de olika certifikatutfärdarna inkluderar en PKI även certifikatåterkallningslistor. Certifikatåterkallningslistor, eller CRL, är listor som innehåller information om certifikat som har återkallats av en eller annan anledning. Detta borde vara tillräckligt för att besvara frågan: Hur fungerar en PKI? Låt oss nu ta en titt på de vanligaste krypteringsprotokollen och vad de gör.

Vanliga krypteringsprotokoll

• TLS/SSL: TLS/SSL är det vanligaste krypteringsprotokollet som används dagligen på internet. TLS/SSL står för Transport Layer Security/Secure Sockets Layer, vilket är ett krypteringsprotokoll som säkerställer att kommunikationen mellan en klient och en server hålls säker. När din webbläsare ansluter till en webbplats, om anslutningen är säkrad med TLS/SSL, visas ett hänglås och ordet "https" i sökfältet. TLS/SSL gör inte själva krypteringen; det använder istället en mängd olika krypteringsalgoritmer, som RSA eller AES, för att kryptera kommunikationen. Det är därför SSL/TLS anses vara ett krypteringsprotokoll. Att använda TLS/SSL för att kryptera kommunikation är mycket vanligt, eftersom ett antal olika krypteringsalgoritmer används med det. TLS/SSL kan användas för användarautentisering, trafikkryptering och för att visa att data inte har ändrats under överföring.
  Sättet TLS/SSL fungerar på är att ett asymmetriskt nyckelpar används i en "Handshake"-process för att säkra den initiala anslutningen mellan klienten och servern. I "Handshake" väljs den specifika protokollversionen som ska användas, TLS/SSL-certifikaten för både servern och klienten verifieras, algoritmen för "Record"-processen väljs och den delade nyckeln genereras med symmetrisk kryptering. Den delade nyckeln används sedan i nästa steg av kommunikationen, "Record"-protokollet. I detta krypteras paket som delas mellan de två användarna med den delade nyckeln för att säkerställa den säkraste formen av kommunikation.
• IPsec: IPsec, eller Internet Protocol Security, är ett krypteringsprotokoll som använder krypteringsalgoritmer som 3DES, AES, SHAoch CBC för att kryptera data i applikationer, routing eller virtuella privata nätverk, oftast. Med hjälp av sina två lägen, tunneling och transportläge, skyddar IPsec data som flyttas från en plats till en annan. Transportläget krypterar endast meddelandets nyttolast, inte rubriken. Eftersom viss information kan hämtas från rubriken används detta endast för enkla dataöverföringssituationer, till exempel att ansluta till en server eller arbetsstation. Tunnelläget, å andra sidan, krypterar och autentiserar både nyttolasten och rubriken. Tunnelläget används oftast med virtuella privata nätverk, eller VPN. Även om det i allmänhet är snabbare att använda VPN med IPsec, eftersom IPsec är snabbare att upprätta en anslutning, gör andra delar av TLS/SSL det till den föredragna metoden för kryptering och autentisering av data under överföring.
• SSH: Secure Shell, även känt som SSH, är en annan typ av krypteringsprotokoll. Sättet SSH fungerar påminner om ett VPN. Genom att skapa en krypterad tunnel kan användare använda SSH för att säkert och på distans ansluta till datorer, överföra filer, portvidarebefordra och mer. SSH fungerar på tre olika nivåer: transportnivå, användarautentiseringsnivå och anslutningsnivå. Transportnivån är det lager som säkert kopplar samman två parter, säkert krypterar all data som skickas mellan dem, autentiserar användarna till varandra och säkerställer att data som delas mellan användarna inte ändras på något sätt under överföring. För att utbyta nycklar ansluts de två parterna i SSH-anslutningen, och klientens och serverns nycklar utbyts via Diffie-Hellman-nyckelutbytet. Under denna fas av SSH väljs den symmetriska algoritmen, den asymmetriska algoritmen, meddelandeautentiseringsalgoritmen och hashalgoritmen som ska användas vid överföring av data och meddelanden. På autentiseringsnivån autentiserar klienten sin identitet via en autentiseringsmetod som stöds och som anges av servern från transportlagret. Autentiseringsmetoden i fråga kan vara vad som helst, från ett lösenord till en digital signatur. Anslutningsnivån hanterar alla anslutningar som skapas mellan servern och klienten. En annan kanal öppnas för varje kommunikation mellan servern och klienten. Ett exempel på detta är att om flera sessioner skapas på samma server, så öppnas en annan kommunikationskanal för varje session. Antingen klienten eller servern kan öppna en ny kommunikationskanal, så länge parametrarna för kanalen är tillgängliga för användning av både klienten och servern. 
• PGP: OpenPGP, även kallat PGP, är ett krypteringsprotokoll som gör det möjligt för användare att kryptera sina meddelanden digitalt signera dem, vilket ger meddelandets avsändare en starkare metod för både autentisering och dataintegritetsskydd. PGP används huvudsakligen för att skydda känslig e-postinformation. PGP utvecklades på 90-talet i ett försök att göra det till ett globalt använt och interoperabelt system. PGP är gratis att använda och integrera i ett antal olika e-postklienter. Olika krypteringsalgoritmer finns tillgängliga för användning med PGP, till exempel RSA och DSA för asymmetrisk kryptering, AES, 3DES och Tvåfiskar för symmetrisk kryptering och SHA för hashing. Olika sårbarheter har upptäckts för PGP genom åren, men dessa brister har alltid åtgärdats med uppdateringar eller rekommendationer. 
• S/MIME: Secure/Multipurpose Internet Mail Extensions, eller S/MIME, konkurrerar med OpenPGP som ett e-postbaserat krypteringsprotokoll. Precis som PGP tillåter S/MIME användare att kryptera och signera e-postdata för att ytterligare skydda den från angripare. Skillnaden mellan PGP och S/MIME är att S/MIME använder olika krypteringsalgoritmer för att säkra data. 
• Kerberos: Krypteringsprotokollet Kerberos fungerar som ett protokoll för enkel inloggning (SSO). Protokollet autentiserar sina användare mot en central autentiserings- och nyckeldistributionsserver. Användare av protokollet får "biljetter" när de väl autentiserats, vilket gör att de kan använda de olika tjänsterna inom nätverket. När en klient med en "biljett" kontaktar en server verifierar servern "biljetten" och ger användaren åtkomst. Kerberos används huvudsakligen på lokala nätverk (LAN) och för att upprätta delade hemligheter. Kerberos är ett välkänt och ofta använt krypteringsprotokoll, men både klienten och servern måste inkludera kod för att använda Kerberos, vilket avskräcker vissa organisationer från att använda det. 

Även om det finns många andra krypteringsprotokoll är dessa de mest kända och mest använda krypteringsprotokollen. Många av protokollen kan verka likadana, eftersom de fyller samma syfte, men de använder många olika krypteringsalgoritmer, så det är viktigt att undersöka de algoritmer som används när du väljer rätt krypteringsprotokoll för din organisation.

Är det säkert att använda krypteringsprotokoll?

Du kanske noterar att under vår diskussion om olika typer av krypteringsprotokoll har vissa protokoll inneburit sårbarheter. Detta väcker frågan: är dessa krypteringsprotokoll säkra att använda? Svaret är ja. Även om sårbarheter ofta hittas i krypteringsprotokoll, införs säkerhetsuppdateringar, uppgraderingar eller krav så snart de upptäcks för att skydda användare från dem som skulle utnyttja sådana säkerhetsluckor. Även sådana saker som verkar som att de aldrig skulle vara sårbara för attacker, som operativsystem, måste också uppdateras för att åtgärda sårbarheter, så som du kan se är ingenting hundra procent säkert på internet. Krypteringsprotokoll och krypteringsalgoritmer i allmänhet stöds också av National Institute of Standards and Technology (NIST). NIST är en institution utformad för att ge rekommendationer för onlinesäkerhet för myndigheter. NIST godkänner även de senaste krypteringsalgoritmerna och protokollen genom sina rekommendationer. Vad jag menar med detta är att om ett krypteringsprotokoll eller en krypteringsalgoritm rekommenderas för användning av NIST för myndigheter, då vet man att det har den högsta säkerhetsnivån och därmed kan användas av vem som helst.

Varför bör din organisation använda krypteringsprotokoll?

Även med alla sårbarheter som kan hittas i krypteringsprotokoll är de fortfarande ett av de säkraste verktygen på internet för att säkra känsliga data. Istället för att förlita sig på en enda metod för att säkra data använder krypteringsprotokoll som PGP eller Kerberos asymmetrisk kryptering, symmetrisk kryptering och digitala signaturer för att skydda säkerheten, integriteten och autenticiteten hos data och datahanterare. Dessa krypteringsprotokoll används i nästan all internetinteraktion för att hålla data säker. Från e-post, fjärrskrivbordsanslutningar, Wi-Fi-nätverksanslutningar och mer använder man krypteringsprotokoll varje dag. Även myndigheter, som står inför mycket allvarligare hot än genomsnittspersonen, använder krypteringsprotokoll för att hålla kommunikation och anslutningar säkra. Utöver detta, i takt med att hoten växer över tid, utvecklas mer avancerade metoder för dataskydd, inklusive säkrare krypteringsalgoritmer. Dessa krypteringsalgoritmer och säkerhetsmetoder implementeras i befintliga och nya krypteringsprotokoll för att säkerställa att användarna av dessa protokoll har bästa möjliga skydd på plats. En annan sak att notera är att när nyare krypteringsprotokoll skapas kommer dessa protokoll sannolikt att utföra andra uppgifter. Nästa års nyaste krypteringsprotokoll kan göra säkerheten för databaser, molnsystem eller till och med självkörande bilar mycket säkrare än de är idag. Uppdateringen av befintliga krypteringsprotokoll med nyskapade krypteringsalgoritmer säkerställer att om en krypteringsalgoritm har visat sig vara sårbar finns det ett annat alternativ för användare att implementera.

Slutsats

I vår artikel tog vi upp flera frågor om krypteringsprotokoll, inklusive hur en PKI fungerar, vad ett krypteringsprotokoll gör, om krypteringsprotokoll är säkra att använda och mycket mer. Som det är uppenbart genomsyrar krypteringsprotokoll alla delar av internet, från e-postmeddelanden till webbplatsanslutningar. Dessa är viktiga delar för ett säkert internet för alla, även stora företag och myndigheter. Krypteringsprotokoll kan bestå av krypteringsalgoritmer, digitala signeringsalgoritmer, hash-algoritmer, digital signeringskod och mer. Krypteringsprotokoll är också en stor del av PKI:er. PKI:er måste använda krypteringsprotokoll för att säkerställa att data, såsom en asymmetrisk digital certifikatnyckel, är säker. Det finns också ett antal krypteringsprotokoll att välja mellan, som alla tenderar att ha sitt eget syfte och sin egen metod för att uppnå det syftet. Protokoll som S/MIME eller PGP fokuserar på skyddet av e-postmeddelanden, medan andra protokoll, som SSH, arbetar för att säkert ansluta användare till fjärrdatorer eller externa servrar. Det är värt att notera att krypteringsprotokoll kan innehålla säkerhetsluckor som går obemärkta förbi, men så snart dessa luckor upptäcks släpper skaparna av krypteringsprotokollet en korrigering eller ett konfigurationsalternativ som åtgärdar den sårbarheten. Krypteringsprotokoll är ett av de bästa verktygen en organisation eller användare kan implementera för att hålla kommunikation och data, både under överföring och i vila, säkra.