在擬大綱的時候，超猶豫到底要不要寫資安相關的東西，大綱可以說是改了又發，發了又改，加上今年去聽 web conf 後，讓我對資安領域的專家、工作者更有一份敬畏之意，這領域真是充滿學問啊！要懂的知識是很廣泛的

但即便如此，最後還是決定硬著頭皮寫下去，畢竟文章的初衷是想分享自己的學習紀錄
也希望我的小整理能對看文章的你有所幫助
本人對資安懂得不多，如果文章有什麼錯誤歡迎指正

▌資訊安全的基本原則

CIA資安鐵三角 圖片來源

美國國家標準暨技術研究院（National Institute of Standards and Technology, Nist)針對資訊系統的資料提供三種安全保護：

1. 資料機密性（Confidentiality）
2. 資料完整性（Integrity）
3. 系統可用性（Availability）

這三種常叫 「CIA原則」，是安全架構的基石，也是被廣泛採納的原則。雖然根據 CIA 所訂定的保護已經算完善，但有些研究人員仍覺得還是不太夠，所以就提出這三個原則外的信賴性（Authenticity）、究責性(Accountability)

• 信賴性：資料本身和其來源是否經過驗證
• 究責性：確保資料的「不可否認」性，提供可靠紀錄在資安問題發生時，可以依據紀錄追溯來源

下面要來針對基本的「CIA原則」進行說明，先從第一個資料機密性（Confidentiality）開始講述

要確保資料機密性通常是透過「加密」（Encryption）的方式來處理，把要加密的資訊轉換為無法直接讀懂的方式呈現出（例如：密碼、身分證字號等）。資料加密可以分為兩大類：

• 對稱式金鑰（Asymmetric Encryption）
• 非對稱式金鑰（Public-key cryptography）

▌對稱式金鑰（Asymmetric Encryption）

「對稱式金鑰」中的加密演算法使用同一組密碼（金鑰）來進行資料的加密（Encryption）和解密（Decryption）或是使用兩個可以簡單地相互推算的密鑰。這意味著，如果 Alice 用一個密鑰加密一條消息，然後發送給 Bob，Bob 也需要使用同一個密鑰來解密這條消息

在加密的過程中，未被加密的原始資料稱為「本文/明文」（Plaintext）; 而經過加密後的資料稱為「密文」（Ciphertext）。「對稱式金鑰」的加密演算法就是負責將本文轉換為密文（廢話!!!

圖片來源

在過去，打仗時為了不要讓訊息被敵方識破，所以會把訊息加密。像是羅馬的凱薩大帝曾用了「向前移三個字母」來保護真實訊息，因而稱為「凱薩加密法」（Caesar Cipher）。是一種最古老和最簡單的加密技術之一，它是對稱式加密的一種特殊形式，由於這種加密方法相當容易被破解，所以在現代加密中很少單獨使用，以下舉個凱薩加密法的例子：

• 偏移量：3（這就是密鑰）
• 本文：HELLO
• 加密：將每個字母都向前移動 3 位
  H -> K
  E -> H
  L -> O
  L -> O
  O -> R
• 密文：KHOOR

上面講的是較古老的加密方式，在密碼學裡又稱為「古老密碼學」，透過簡單的分析，就可以被破解，因此這些演算法不會使用在近代的系統上。實務上為了讓密碼系統不易被破解，「近代密碼學」所提出的「對稱式金鑰」的加密演算法通常透過位移（shift）、替換(substitute)、查表、數值運算、排列組合等方式來進行多種加密

這種加密方式相對於「非對稱式加密」來說，計算通常更快，因為加解密使用同一把密鑰，但也造成一個致命缺點就是，雙方必須共享一個密鑰，如果哪天它不小心洩露出去，那就GG了，任何人都可以解密了

▪ 常見的「對稱式金鑰」加密演算法：

• IDEA（International Data Encryption Algorithm）
• DES（Data Encryption Standard）：較舊的加密算法，因為容易破解，所以現在較少使用
• AES（Advanced Encryption Standard）：目前最常用
• RC5（RC 代表發明此演算法的密碼學家 Rivest Cipher）: RC5 自從被發表以來，尚未被廣泛使用（因專利問題）也尚未發現嚴重的安全漏洞
• Blowfish：替代算法，較少使用

▌生活中的應用

• 網路的傳輸安全：對稱加密常用於保護網路傳輸的資料。例如，在HTTPS通訊協定中，一旦建立了安全的連線，對稱加密會對 user 端到 server（或反之）的所有資料進行加密
• Wi-Fi存取保護：Wi-Fi Protected Access（WPA）是一種用於保護無線網路的安全協定，也使用對稱加密來保護網路流量
• 金融服務：線上支付和銀行轉賬過程中，為了保證交易安全，往往會用到對稱加密來保護交易數據
• 雲端儲存服務：像是 Dropbox, Google Drive 等雲端儲存服務會使用對稱加密來保護儲存內容
• 即時通訊：WhatsApp, Signal 等通訊軟體會搭配使用對稱加密來保護訊息

▌總結

今天簡單介紹了「對稱式金鑰」加密的概念，但由於密鑰管理和傳輸的問題，所以通常不會單獨使用喔！
明天會來介紹另一種資料加密方式 -「非對稱式金鑰」，又叫「公開金鑰加密」，它很常與「對稱式加密」一起合併使用，以達到更全面的安全保護

BTW~ 如果對前端資安想了解更多可以參考胡立大大的文章，也是我今年有發摟的鐵人系列文章之一

▌參考資源

1. CIA 鐵三角
2. 懂這方面的友人XD
3. 計算機概論 全華出版
4. wikipedia