Tento článek v sérii „Jak fungují sítě VPN“ popisuje, jak funguje šifrování symetrickým klíčem. Pokud jste již ztraceni, nepropadejte panice! Tato série článků vysvětluje koncepty a metody VPN, aniž by bylo nutné se hlouběji ponořit do matematiky, která je ovládá.
Pokud jste v konceptu VPN zcela nováčkem, podívejte se na tento úvod. Pokud už víte něco o tom, jak VPN fungují, a chcete vědět trochu víc, tato série je pro vás. Každý článek se zabývá jedním aspektem toho, jak VPN pomáhá zabezpečit data tím, že vypráví příběh, který slouží jako metafora pro zahrnuté logické mechanismy. Tyto příběhy zahrnují Adama a Burta, kteří se snaží udržet tajemství, a třetí osoba, Cesar, snažící se jejich tajemství hanebně odhalit. Vzhledem k tomu, že VPN nemají žádný dokonalý ekvivalent fyzického světa, některé prvky mohou prodloužit hranice důvěryhodnosti (například Cesar má přístup k paprsku duplikátoru). Pamatujte, že je to jen příběh…
Každý článek má také rozbalitelné části (označené ikonou ozubeného kola), které obsahují o něco podrobnější vysvětlení, které je poněkud techničtější, ale přesto se v matematice příliš neztratí. Tyto části trochu více propojují události příběhu se součástmi nebo kroky šifrování nebo ověřování, ale nejsou vyžadovány pro základní pochopení tématu.
Základní šifrování symetrickým klíčem
Předpokládejme, že Adam a Burt píší komiks. Vzhledem k tomu, že žijí v okolních městech a nemohou se tak často osobně setkávat, posílají si koncepty své knihy prostřednictvím pošty Greater Metropolitan Area Post Office. Nechtějí, aby někdo nahlédl do jejich knihy před jejím dokončením, takže použijí uzamykatelnou schránku (šifrování) a vytvoří kopii klíče (šifrovací klíč) pro každého z nich. Nyní, když Adam dokončí skript, může jej poslat Burtovi v této schránce a být si jistý, že pouze Burt jej může odemknout, až jej dostane poštou.
Jak je lockbox jako základní šifrování symetrickým klíčem.
Tento mechanismus je analogický jednomu z prvních široce používaných šifrovacích standardů pro počítačová data, DES (Digital Encryption Standard). DES je šifrovací algoritmus se symetrickým klíčem, což znamená, že klíč, který se používá k šifrování dat, se používá také k jejich dešifrování. Na zjednodušené úrovni je šifrovací algoritmus se symetrickým klíčem metodou aplikace řady předdefinovaných matematických kroků a klíč je jakousi klíčovou proměnnou (dalo by se říci „klíčovou“ proměnnou), která se zapojuje do této metody a vytváří jedinečný výstup – šifrovaná data. Tento proces lze také zvrátit použitím stejné metody obráceně, opět se stejným klíčem.
Hrozba
Nyní do obrázku vstupuje Cesar. Cesar je posedlý komiksem Adama a Burta a nemůže se dočkat, až se o něm dozví více. Kvůli tomuto příběhu má Cesar duplikátorový paprsek. Je také mistrem převleků, a tak své nadání využívá k pózování poštovního pracovníka. Jeho konečným cílem je najít způsob, jak zachytit krabici, kterou Adam a Burt poslali tam a zpět, aby nahlédli dovnitř. Brzy Cesar naznačí cestu dostatečně hluboko na poštu Greater Metropolitan Area, aby získal přístup do centrální třídírny pošty, a spatřil krabici od Adama po Burta. Cesar nechce u Adama ani Burta vzbudit podezření z opožděného doručení, a tak použije svůj duplikátor, aby vytvořil kopii krabice. Bohužel pro Cesara je i tato krabice zamčená (zašifrovaná), stejně jako originál. Ale mezi jeho talenty patří zámečník tovaryš, takže si vezme tuto duplicitní krabici do svého doupěte, aby se pokusil obejít zámek.
Útok typu Man-in-the-Middle.
Síťový provoz je odesílán v diskrétních jednotkách nazývaných pakety. Ať už tedy posíláte něco malého (krátký e-mail) nebo něco velkého (video), data budou před přenosem rozdělena do snadno spravovatelných paketů. Je to ekvivalent odeslání skládačky někomu po kouscích. Jakmile dorazí na místo určení, bude znovu sestaveno.
Tento proces zkoumání síťového provozu při přenosu se nazývá „kontrola paketů“ (někdy neformálněji nazývaná „sniffování paketů“ nebo „sniffing the wire“). Inspekce paketů umožňuje správcům sítě identifikovat a blokovat mnoho nepřátelského provozu v jejich síti. Může být také docela užitečné při odstraňování problémů s připojením v síti.
Lze jej použít i pro méně konstruktivní účely, jako je odposlech. Za těchto okolností se tento druh použití často nazývá útok typu Man-in-the-Middle (MitM). Pro někoho, jako je Cesar, který se dokáže vložit do tranzitní cesty, kterou tyto zprávy procházejí, umožňuje tento útok vetřelci kopírovat veškerý procházející provoz (aniž by jej zdržoval a potenciálně varoval kterýkoli konec, že něco není v pořádku), aby jej mohl později analyzovat. Provoz, který není zašifrován, lze snadno znovu sestavit, což umožňuje komukoli, kdo má vhodné nástroje, číst e-mail nebo zobrazit požadovanou webovou stránku. Šifrovaná data by před opětovným sestavením každého paketu vyžadovala znalost nebo objevení klíče k dešifrování každého paketu.
Crack hrubou silou
Řekněme tedy, že Cesar tráví čas prací na tomto zámku a nakonec se mu podaří zámek vybrat. Po určité praxi se naučí tento čas výrazně zkrátit. Poté zachytí další balíček, který Burt posílá zpět Adamovi, zkopíruje jej a pošle originál zpět na cestu k Adamovi. Teď si Cesar může vybrat zámek podle svého, a protože Adam balíček bez prodlení obdržel, on a Burt netuší, že by mohlo být něco v nepořádku. Představte si tedy jejich překvapení a zděšení, když Cesar zveřejní všechny detaily spoilerů jejich nového komiksu na svém blogu (nazývaném přirozeně „Cesarian Section“).
Adam a Burt si uvědomují, že budou muset vyvinout lepší způsob, jak si bezpečně vyměňovat zprávy. Pokud by zámek znovu zaklíčovali, Cesarovi by pravděpodobně netrvalo dlouho, než by se naučil, jak tento nový zámek vybrat. Rozhodnou se investovat do zámku s mnohem komplikovanějším klíčem (silnější šifrovací algoritmus symetrických klíčů). Ale jak dlouho může Cesarovi trvat, než prolomí tento zámek?
Moderní standardy symetrického šifrování.
DES již není považován za silný prostředek šifrování, implementovaný samostatně. V roce 2008 společnost SciEngines GmbH oznámila, že byla schopna prolomit DES za méně než jeden den.
Variace nazvaná Triple Digital Encryption Standard (zkráceně 3DES, obvykle vyslovováno „triple-dez“) v mnoha případech nahradila DES. Jak název napovídá, funguje pomocí algoritmu DES, ale běží třikrát. Klíč je třikrát tak dlouhý a ve své nejsilnější implementaci se skládá ze tří různých klíčů DES, jeden pro každou iteraci algoritmu DES. Může být užitečné představit si, že tento algoritmus funguje, jako by to byl složitý puzzle box. První klíč může být kombinací zvratů a machinací (jako u Rubikovy kostky), které jsou nutné k odhalení hádanky ve stylu posuvných dlaždic, která po vyřešení (druhý klíč) odhalí klíčovou dírku pro váš klíč (třetí klíč) .
Ještě silnějším šifrovacím algoritmem se symetrickým klíčem je AES (Advanced Encryption Standard, i když jej můžete někdy vidět označovaný původním názvem „Rijndael“, vyslovovaným „dešťová panenka“). Síla těchto druhů algoritmů se měří efektivní délkou jejich klíčů (v bitech). 3DES používá 168bitové klíče (ve své nejsilnější implementaci), i když se ukázalo, že některé útoky tuto sílu snižují, což odpovídá 80bitovému klíči. AES může používat 128bitové, 192bitové a 256bitové klíče. Se zvyšující se délkou každého z těchto klíčů roste i jeho související síla a požadavky na výpočet.
Vývoj šifrování
Adam a Burt se přirozeně obávají zachování tohoto řešení lockboxu, i když je na špičkové úrovni linka, nemusí být tak bezpečná, jak by chtěli. Taková studna jako Cesar má několik způsobů, jak se pokusit tento systém porazit. Může se pokusit nelegálně získat kopii klíče buď od Adama nebo Burta, nebo od prostředků, které používají k výměně klíče v první řadě (zvláště pokud tato výměna probíhá přes nezabezpečené médium). Nakonec může po praxi nebo technologickém pokroku objevit způsob, jak efektivněji „uhádnout“ klíč. Pokud chtějí zůstat před Cesarem, budou muset najít nějaké nové způsoby, jak mu mnohem ztížit hledání cesty kolem nebo skrz.
Více v sérii Jak fungují sítě VPN:
Část 2:Kryptografie veřejného klíče
Část 3:Výměna sdíleného klíče
Zjistěte více o našich hostingových službách VPS a ceně hostingu VPS.