延續昨天沒講完的內容,接著講網路防護的基本概念。
加密是網路上用來確保資料及通訊不會遭人窺探的必要手段,也呼應了最一開始提到的,資訊安全三大元素CIA。加密技術可保護的範圍非常廣,例如:電腦硬碟的檔案、網路銀行的連線階段、雲端儲存的資料、機敏電子郵件等。
除此之外,加密也可提供資料一致性的驗證,以及資料來源的認證。
加密過程只用到一把金鑰,這把金鑰既用於加密,也用於解密。其產生成本較低,且加密和解密所需的運算能力不大,所以解碼資料的時間也會較短。並且由於共用金鑰,如果未經授權的人士取得金鑰,就能解密在雙方之間傳送的任何訊息和資料。
對稱式加密常見的演算法包括:Advanced Encryption Standard (AES)、Blowfish、Triple-DES (Data Encryption Standard) 等等。
非對稱式加密採用兩把不同的金鑰,一把是公開金鑰,一把是私密金鑰,兩把配成一對。這一對金鑰屬於某個使用者或服務所有:例如某個網站伺服器。擁有公開金鑰的所有使用者都可以傳送加密訊息,但只有第二個私密金鑰的持有者可以解密該訊息。
非對稱式加密的生產成本較昂貴,且解密所需的運算能力也大幅增加,因為公開加密金鑰通常較大,在 1,024 至 2,048 位元之間。因此,非對稱式加密通常不適合用於大型資料封包。
非對稱式加密常見的演算法包括:Rivest-Shamir-Adelman(RSA)、橢圓曲線密碼編譯 (ECC)等等。
儘管雜湊值並非加密的一部分,但仍有必要將它納入網路防護的探討當中。
他是一種利用雜湊演算法,對一段訊息進行運算之後所產生出的一個數值,該數值從組成該訊息的所有位元產生而來。這些位元可以是資料、音訊或視訊。產生雜湊值時並不會改變資料的內容,並不像加密會將資料轉換成一種無法讀取的狀態。 產生雜湊碼的用意是為了證明訊息沒有遭到篡改,進而確保資料的一致性,也就是與原始內容一致。單獨使用雜湊值,可以確保資料沒有意外遭到變更。
雜湊値常與非對稱式加密共同使用,如果用非對稱式私密金鑰來將雜湊值加密,那可確保資料沒有被駭客惡意篡改。除非私密金鑰外洩,否則資料不可能遭到惡意修改。
現在生活中常使用無線網路,也就是我們說的Wi-Fi,但想要保護經由無線網路傳輸的資料、語音或視訊,卻不是一件容易的事。因為無線網路的傳輸過程會釋放出訊號,因此駭客只要在訊號的範圍內就可能攔截到傳輸的資料。雖然目前無線傳輸已經有一些加密標準,但絕大部分都有些問題。
目前的無線加密標準有:WEP、WPA、WPA2 以及最新的 WPA3。
Wired Equivalent Privacy (WEP) 採用 RC4 對稱式演算法來將無線傳輸加密。但很快就被駭客所破解,現在甚至還出現了一個非常好用的駭客工具叫做「WEP Crack」,專門用來破解 WEP。
Wi-Fi Protected Access (WPA) 是為了取代 WEP 而生,但仍沿用 RC4 演算法。因此駭客只要對 WEP Crack 做些修改就能用來破解 WPA。
WPA2 是 WPA 的第二版,共有兩種選擇:
第一種是 WPA2-Personal,它使用了單一共享金鑰 (有時亦稱為安全金鑰)。這基本上是在設定無線連線裝置 (如筆電和手機) 時所輸入的 WPA 無線基地台密碼。駭客在 2017 年首次發現了一個名為「Key Reinstallation AttaCK (KRACK)」的漏洞。
第二種是 WPA2-Enterprise,它透過一台集中的 Remote Authentication Dial-In User Service (RADIUS) 伺服器來認證使用者,藉此增加一道安全防護。此外,也採用 Extensible Authentication Protocol (EAP) 延伸式認證協定在本地端無線連線上傳輸認證資訊。RADIUS 與 EAP 加起來,就是所謂的 IEEE 802.1x 標準。