Les chances sont que vous êtes familier avec le mot cryptage . Vous avez probablement entendu parler de son importance et de l'importance de garder une grande partie de notre vie hyper-connectée en sécurité.
Utilisez WhatsApp? Vous utilisez le cryptage. Connectez-vous à la banque en ligne? Encore le même. Faut-il demander au barista un code Wi-Fi? C'est parce que vous vous connectez à un réseau en utilisant le cryptage-le mot de passe est la clé.
Mais même si nous utilisons le cryptage dans notre vie de tous les jours, beaucoup de termes restent mystérieux. Voici une liste de huit termes de chiffrement essentiels que vous devez comprendre.
1. Plaintext
Commençons par le terme le plus basique à savoir, qui est simple mais tout aussi important que les autres: le texte en clair est un message lisible et clair que tout le monde peut lire.
2. Ciphertext
Le texte chiffré est le résultat du processus de chiffrement. Le texte en clair crypté apparaît comme des chaînes de caractères apparemment aléatoires, les rendant inutilisables. Un chiffrement est une autre façon de se référer à l'algorithme de chiffrement qui transforme le texte en clair, d'où le terme chiffrement.
3. Chiffrement
Le cryptage est le processus consistant à appliquer une fonction mathématique à un fichier qui rend son contenu illisible et inaccessible, à moins que vous n'ayez la clé de déchiffrement.
Par exemple, disons que vous avez un document Microsoft Word. Vous appliquez un mot de passe en utilisant la fonction de cryptage intégrée de Microsoft Office. Le fichier est maintenant illisible et inaccessible à quiconque sans le mot de passe.
Déchiffrement
Si le cryptage verrouille le fichier, le décryptage inverse le processus et rétablit le texte chiffré en texte brut. Le décryptage nécessite deux éléments: le mot de passe correct et l'algorithme de décryptage correspondant.
4. Clés
Le processus de cryptage nécessite une clé cryptographique qui indique à l'algorithme comment transformer le texte en texte chiffré. Le principe de Kerckhoffs stipule que «seul le secret de la clé assure la sécurité», tandis que la maxime de Shannon continue: «l'ennemi connaît le système».
Ces deux déclarations influencent le rôle du chiffrement et des clés à l'intérieur de celui-ci.
Garder les détails d'un algorithme de cryptage entier secret est extrêmement difficile; garder un secret de clé beaucoup plus petit est plus facile. La clé verrouille et déverrouille l'algorithme, permettant au processus de chiffrement ou de déchiffrement de fonctionner.
Une clé est-elle un mot de passe?
Eh bien, au moins pas entièrement. La création de clé est le résultat de l'utilisation d'un algorithme, alors qu'un mot de passe est généralement un choix de l'utilisateur. La confusion apparaît car nous interagissons rarement spécifiquement avec une clé cryptographique, alors que les mots de passe font partie de la vie quotidienne.
Les mots de passe font parfois partie du processus de création de clé. Un utilisateur entre son mot de passe super fort en utilisant toutes sortes de caractères et de symboles, et l'algorithme génère une clé en utilisant leur entrée.
5. Hachage
Ainsi, lorsqu'un site Web crypte votre mot de passe, il utilise un algorithme de cryptage pour convertir votre mot de passe en texte brut en un hachage. Un hachage est différent du cryptage car une fois que les données sont hachées, elles ne peuvent pas être effacées. Ou plutôt, c'est extrêmement difficile.
Hashing est vraiment utile lorsque vous avez besoin de vérifier l'authenticité de quelque chose, mais pas de le lire. Dans ce cas, le hachage par mot de passe offre une certaine protection contre les attaques par force brute. Quelles sont les attaques de force brute et comment pouvez-vous vous protéger? Quelles sont les attaques de force brute et comment pouvez-vous vous protéger? Vous avez probablement entendu l'expression "attaque par force brute". Mais qu'est ce que cela veut dire exactement? Comment ça marche? Et comment pouvez-vous vous protéger contre cela? Voici ce que vous devez savoir. Lire la suite (où l'attaquant essaie toutes les combinaisons de mots de passe possibles).
Vous avez peut-être même entendu parler de certains des algorithmes de hachage courants, tels que MD5, SHA, SHA-1 et SHA-2. Certains sont plus forts que d'autres, tandis que d'autres, comme MD5, sont carrément vulnérables. Par exemple, si vous vous dirigez vers le site MD5 Online, vous remarquerez qu'ils ont 123 255 542 234 mots dans leur base de données MD5. Allez-y, essayez-le.
- Sélectionnez MD5 Encrypt dans le menu principal.
- Tapez votre mot de passe, appuyez sur Chiffrer et affichez le hachage MD5.
- Sélectionnez le hachage, appuyez sur Ctrl + C pour copier le hachage, puis sélectionnez MD5 Decrypt dans le menu principal.
- Sélectionnez la case et appuyez sur Ctrl + V pour coller le hachage, complétez le CAPTCHA et appuyez sur Decrypt .
Comme vous le voyez, un mot de passe haché ne signifie pas automatiquement qu'il est sécurisé (en fonction du mot de passe que vous avez choisi, bien sûr). Mais il existe des fonctions de cryptage supplémentaires qui renforcent la sécurité.
6. Sel
Lorsque les mots de passe font partie de la création de clés, le processus de chiffrement requiert des étapes de sécurité supplémentaires. Une de ces étapes consiste à saler les mots de passe. À un niveau de base, un sel ajoute des données aléatoires à une fonction de hachage unidirectionnelle. Examinons ce que cela signifie en utilisant un exemple.
Il y a deux utilisateurs avec exactement le même mot de passe: hunter2 .
Nous courons hunter2 à travers un générateur de hachage SHA256 et recevons f52fbd32b2b3b86ff88ef6c490628285f482af15ddcb29541f94bcf526a3f6c7.
Quelqu'un hacks la base de données de mot de passe et ils vérifient ce hachage; chaque compte avec le hachage correspondant est immédiatement vulnérable.
Cette fois, nous utilisons un sel individuel, en ajoutant une valeur de données aléatoire à chaque mot de passe de l'utilisateur:
- Sel exemple # 1: hunter2 + saucisse : 3436d420e833d662c480ff64fce63c7d27ddabfb1b6a423f2ea45caa169fb157
- Sel exemple # 2: hunter2 + bacon : 728963c70b8a570e2501fa618c975509215bd0ff5cddaf405abf06234b20602c
Comparez rapidement les hachages pour les mêmes mots de passe avec et sans le sel (extrêmement basique):
- Sans sel: f52fbd32b2b3b86ff88ef6c490628285f482af15ddcb29541f94bcf526a3f6c7
- Exemple de sel # 1: 3436d420e833d662c480ff64fce63c7d27ddabfb1b6a423f2ea45caa169fb157
- Exemple de sel # 2: 728963c70b8a570e2501fa618c975509215bd0ff5cddaf405abf06234b20602c
Vous voyez que l'ajout du sel randomise suffisamment la valeur de hachage que votre mot de passe reste (presque) complètement sûr pendant une violation. Et mieux encore, le mot de passe renvoie toujours à votre nom d'utilisateur, donc il n'y a pas de confusion dans la base de données lorsque vous vous connectez au site ou au service.
7. Algorithmes symétriques et asymétriques
Dans l'informatique moderne, il existe deux types d'algorithmes de chiffrement principaux: symétrique et asymétrique. Ils chiffrent tous les deux les données, mais fonctionnent d'une manière légèrement différente.
- Algorithme symétrique: utilisez la même clé pour le cryptage et le décryptage. Les deux parties doivent s'entendre sur la clé d'algorithme avant de commencer la communication.
- Algorithme asymétrique: utilisez deux clés différentes: une clé publique et une clé privée. Cela permet un cryptage sécurisé lors de la communication sans avoir préalablement établi un algorithme mutuel. Ceci est également connu sous le nom de cryptologie à clé publique (voir la section suivante).
L'écrasante majorité des services en ligne que nous utilisons dans notre vie quotidienne mettent en œuvre une certaine forme de cryptologie à clé publique.
8. Clés publiques et privées
Maintenant, nous comprenons mieux sur la fonction des clés dans le processus de cryptage, nous pouvons regarder les clés publiques et privées.
Un algorithme asymétrique utilise deux clés: une clé publique et une clé privée . La clé publique peut être envoyée à d'autres personnes, tandis que la clé privée est seulement connue du propriétaire. Quel est le but de ceci?
Eh bien, n'importe qui avec la clé publique du destinataire prévu peut crypter un message privé pour eux, tandis que le destinataire peut seulement lire le contenu de ce message à condition qu'ils aient accès à la clé privée appariée. Consultez l'image ci-dessous pour plus de clarté.
Les clés publiques et privées jouent également un rôle essentiel dans les signatures numériques, grâce auxquelles un expéditeur peut signer son message avec sa clé de chiffrement privée. Ceux avec la clé publique peuvent alors vérifier le message, en sachant que le message original provient de la clé privée de l'expéditeur.
Une paire de clés est la clé publique et privée liée mathématiquement générée par un algorithme de chiffrement.
9. HTTPS
HTTPS (HTTP Secure) est une mise à niveau de sécurité désormais largement implémentée pour le protocole d'application HTTP, qui constitue la base de l'Internet tel que nous le connaissons. Lorsque vous utilisez une connexion HTTPS, vos données sont cryptées à l'aide de TLS (Transport Layer Security), protégeant ainsi vos données pendant leur transit.
HTTPS génère des clés privées et publiques à long terme qui à leur tour sont utilisées pour créer une clé de session à court terme. La clé de session est une clé symétrique à usage unique que la connexion détruit une fois que vous quittez le site HTTPS (fermeture de la connexion et fin de son cryptage). Cependant, lorsque vous revisitez le site, vous recevrez une autre clé de session à usage unique pour sécuriser votre communication.
Un site doit adhérer complètement à HTTPS pour offrir aux utilisateurs une sécurité complète. En effet, 2018 a été la première année où la majorité des sites en ligne ont commencé à offrir des connexions HTTPS sur HTTP standard.
10. Chiffrement de bout en bout
L'un des plus gros mots à la mode de cryptage est celui du cryptage de bout en bout . Service de plate-forme de messagerie sociale WhatsApp a commencé à offrir à ses utilisateurs le cryptage de bout en bout Pourquoi le cryptage de bout en bout de WhatsApp est un gros problème Pourquoi le cryptage de bout en bout de WhatsApp est un gros problème WhatsApp a récemment annoncé qu'il serait de bout en bout cryptage dans leur service. Mais qu'est-ce que cela signifie pour vous? Voici ce que vous devez savoir sur le chiffrement WhatsApp. Lire la suite (E2EE) en 2016, en s'assurant que leurs messages sont privés à tout moment.
Dans le contexte d'un service de messagerie, EE2E signifie qu'une fois que vous avez appuyé sur le bouton d'envoi, le cryptage reste en place jusqu'à ce que le destinataire reçoive les messages. Que se passe-t-il ici? Eh bien, cela signifie que la clé privée utilisée pour l'encodage et le décodage de vos messages ne quitte jamais votre appareil, assurant à son tour que personne d'autre que vous ne peut envoyer des messages en utilisant votre surnom.
WhatsApp n'est pas le premier, ou même le seul service de messagerie à offrir le cryptage de bout en bout 4 Slick WhatsApp Alternatives qui protègent votre vie privée 4 Slick WhatsApp Alternatives qui protègent votre vie privée Facebook a acheté WhatsApp. Maintenant que nous sommes sur le choc de ces nouvelles, êtes-vous inquiet au sujet de votre confidentialité des données? Lire la suite . Cependant, il a poussé l'idée du cryptage des messages mobiles dans le courant dominant, au grand dam des innombrables agences gouvernementales du monde entier.
Chiffrement jusqu'à la fin
Malheureusement, il y a beaucoup de gouvernements et d'autres organisations qui n'aiment pas le cryptage Pourquoi nous ne devrions jamais laisser le gouvernement briser le cryptage Pourquoi nous ne devrions jamais laisser le gouvernement briser Chiffrement Vivre avec le terrorisme signifie que nous sommes régulièrement confrontés à une notion vraiment ridicule: créer un gouvernement accessible cryptage backdoors. Mais ce n'est pas pratique. Voici pourquoi le cryptage est vital pour la vie quotidienne. Lire la suite . Ils le détestent pour les mêmes raisons que nous pensons que c'est fantastique - il maintient votre communication privée et, en grande partie, aide la fonction Internet.
Sans cela, Internet deviendrait un endroit extrêmement dangereux. Vous n'achèteriez certainement pas vos services bancaires en ligne, n'achèteriez pas de nouveaux pantoufles chez Amazon ou ne diriez pas à votre médecin ce qui ne va pas chez vous.
En surface, le cryptage semble décourageant. Je ne mentirai pas; les fondements mathématiques du cryptage sont parfois compliqués. Mais vous pouvez toujours apprécier le cryptage sans les chiffres, et cela seul est vraiment utile.