資訊系統的運作,建立在我們信任這個系統的前提,
在每個科技背後,除了品牌信心與安全的象徵之外,
如果人們無法信賴它、使用它,並且放心的將資料放在其中,
那即使再好的優惠功能,也始終會讓人在使用上存有疑慮。
密碼學的存在,即是為了確保 IT 系統的使用的背後,
都能有最核心的保護我們敏感資料的關鍵存在。
隨著電腦 1970 年代開始發展以來,
隨之而來針對其中的竊取、監聽、破譯或側錄都所在多有,
最初當然是因為戰爭因素,所以加速了密碼學的整體發展,
但即使時至 2024 年 8 月,因應新的量子電腦新興科技趨勢,
美國技術標準研究院 NIST 也正式公佈能用以抵抗量子電腦破譯的演算法,
可以說科技的進程發展的基石,即是背後能提供的安全保證。
在每個科技產品內,無論是電腦、手機、平板、智慧家電,
往往都需要採用身份認證的步驟,來在第一時間驗證合法用戶,
此時每個系統便必須設計儲存帳號與密碼的機制,
以便隨時針對用戶提出驗證申請時,能及時處理認證需求。
以 Microsoft 系統而言,
基本上提供 Security Accounts Manager (SAM) 資料庫,
或是 Active Directory 資料庫作為認證資料的存放與取用,
再者利用 NTLM 認證機制,檢視存放於 SAM 資料庫的雜湊值密碼是否正確,
或是更嚴謹的 Kerberos,包含金鑰派發流程機制的強認證機制。
在背後運用到的密碼學原理,則有一次性的雜湊函數 (Hash),
或是使用由密碼公鑰基礎設施 PKI 支持的金鑰派發機制 (KDC),
來因應可能面臨的面對的密碼破解攻擊,像是:
: 字典攻擊 (Dictionary Attack)
: 暴力攻擊 (Brute-Force Attack)
: 條件攻擊 (Rule-based) Attack)...
認證階段要完成對當前用戶的身份的認證,
得面臨: 如何確保認證過程的安全性無虞?
以 TLS/SSL 憑證機制而言,
即採用「非對稱公開金鑰(public key cryptography)」,
而廣泛採用 TLS/SSL 機制的即為最流行的 Https 通訊協議,
包含透過採用兩把不同的金鑰來提供加、解密作法:
其中私鑰 (Private Key) 用以解密加密後的資料,
以及公鑰 (Public Key) 用以加密要傳送的明文資料,
透過一方公鑰加密、一方私鑰解密的流程,保護兩者之間通訊關係。
而 TLS/SSL 憑證機制最為關鍵的即為背後的憑證 (Certificate)。
數位憑證 (Digital Certificate) 係支持 PKI 機制運行的核心,
憑證是透過數位簽署 (Digital Signature) 的聲明,
內含公鑰和主體名稱資訊,例如使用者、公司或系統名稱。
而 PKI 機制的身份認證則依賴 CA 簽章和提供的數位憑證(或是公鑰憑證),
廣泛用於 Internet 上的加密訊息或驗證訊息傳送者身分。
也因此自 2019 年起,絕大多數的瀏覽器平台,
都會將未採用 HTTPS 的網站列為不安全的警示。
帳號密碼的存管、派送與驗證,背後都運用很多密碼學原理基礎,
為的是希望透過採用嚴謹的金鑰管控流程 (產製、分發、派送、更新),
都能實踐在理論數學已驗證過的系統安全性,
故除了儲存本身可以使用雜湊函數 (HASH/MD5/SHA) 機制外,
為了經濟、便利廣泛的網際網路系統連接,也應運而生的 PKI 基礎,
透過權威單位管控的合法性憑證,成為一般性網站安全與否的指標,
進而將流量加密成為預設選項,來確保網路流量傳輸的機敏資訊保護。