Wie funktioniert die Verschlüsselung mit öffentlichen Schlüsseln?
Für viele bleibt Sicherheit ein Geheimnis, das den Profis überlassen wird. Es wurde als zu komplex für den Laien angesehen, um es zu erforschen oder vollständig zu verstehen. Während das Eintauchen in die Mathematik einiger der komplexesten Algorithmen eine entmutigende Aufgabe sein kann, ist die Essenz dessen, was all diese Algorithmen bewirkt, nicht unbedingt außer Reichweite. Anstatt die Details der Kryptographie zu betrachten, die die meisten Menschen entweder langweilig oder überwältigend finden, können wir uns die Konzepte anschauen, die die Verschlüsselung mit öffentlichem Schlüssel ausmachen, damit wir vollständig verstehen, was genau uns vor Hackern schützt.
Was ist Verschlüsselung mit öffentlichen Schlüsseln?
Die Public-Key-Verschlüsselung, ein Konzept der Public-Key-Kryptographie, ist ein Mittel zum privaten Austausch von Daten mit einem öffentlichen und einem privaten Schlüssel. Der öffentliche Schlüssel wird von jedem gesehen (daher der Name "public"). Der private Schlüssel ist jedoch nur für die Endpunkte sichtbar, die die Daten übertragen. Die Verschlüsselung mit öffentlichen Schlüsseln ist als "asynchroner" Algorithmus bekannt.
Was ist ein synchroner / asynchroner Algorithmus?
Wenn wir PKE als "asynchronen" Algorithmus bezeichnen müßten, wurde es gemacht, um es von synchronen Algorithmen zu unterscheiden. Die gesamte Kryptographie verwendet ein schlüsselbasiertes System, um das Problem der Privatsphäre anzugehen. Die Begriffe "synchron" und "asynchron" beziehen sich auf die Art und Weise, in der diese Schlüssel gemeinsam genutzt werden.
Nehmen wir an, Sie versuchen, einen Brief an jemanden zu senden, der verschlüsselt ist. Die Person, die Ihren Brief erhält, muss wissen, wie der gesamte Text entschlüsselt werden muss, um zu verstehen, was darin enthalten ist. Wie wirst du dieser Person beibringen, sie zu entziffern? Sie müssen sich heimlich treffen, um diese Person zum Schlüssel zu machen. Dies ist im Wesentlichen, wie synchrone Algorithmen arbeiten. Das "Treffen im geheimen" Teil ist etwas schwierig, weil Augen und Ohren überall sind. Das Internet ist nicht anders, da Schnüffler auch auf Ihre Übertragungen hören ("schnüffeln") können.
Asynchrone Algorithmen funktionieren anders. Die Formel besteht aus zwei Komponenten: öffentlich und privat. In einem asynchronen Szenario haben Sie stattdessen eine Box mit einer Sperre. Sie senden diese Box an die Person, an die Sie den Brief senden möchten, und mit einem Schlüssel, der sie sperrt, aber nicht entsperrt. Dies wird als öffentlicher Schlüssel bezeichnet. Jeder kann die Box sperren. Entsperren ist eine andere Geschichte.
Sie können Ihre Box nur mit Ihrem privaten Schlüssel entsperren, und jeder von Ihnen hat Ihre eigenen, die ihn entsperren können. Sie müssen sich nicht im Verborgenen oder sonst etwas treffen, und dies eliminiert die Möglichkeit, dass jemand sich aufhält.
Was passiert, wenn jemand Ihren privaten Schlüssel findet?
"Wenn die asynchrone Verschlüsselung verwendet wird, um Passwörter in den meisten modernen Datenbanken zu speichern, warum werden dann immer noch Leute gehackt?" Das ist ein bisschen durcheinander, oder? Der Grund dafür ist, dass Hacker immer noch heimtückische Methoden verwenden, um in große Datenbanken zu gelangen, sei es durch interne Sabotage, Social Engineering oder das Überlisten der Sicherheit hinter dem Konto eines Mitarbeiters. Da die meisten Unternehmen private Schlüssel auf ihren eigenen Servern speichern, laufen sie immer noch Gefahr, alle Konten ihrer Benutzer zu kompromittieren. Einige Algorithmen sind auch sehr einfach herauszufinden und entsperren, unabhängig davon, ob der Hacker einen privaten Schlüssel hat oder nicht (Lock Picking, jemand?). Dies ist, wo öffentliche Schlüsselverschlüsselung seinen Fehler hat.
Es gibt einige Unternehmen, die versuchen, etwas gegen dieses Problem zu unternehmen, einschließlich der Speicherung privater Schlüssel auf vielen verschiedenen Servern. Aber nichts funktioniert besser, als jemandem die Möglichkeit zu geben, seinen eigenen privaten Schlüssel zu erstellen (vorausgesetzt, der private Schlüssel ist stark genug, um nicht selbst erraten zu werden). In diesem Moment ist PerfectCloud das einzige Unternehmen, das diese Lösung einsetzt. Es muss einen Service anbieten, der sehr sensible Daten von seinen Kunden behandelt. Leider kann ich nicht von anderen alternativen Diensten sprechen.
Wie würden Sie das Problem mit dem privaten Schlüssel angehen?
Welchen Rat hättest du für Leute, die wegen ihrer Privatsphäre besorgt sind? Lassen Sie uns von Ihnen in den Kommentaren unten hören!