Šifrování na Internetu (1)

4. 5. 2009

Sdílet

Nutnost co nejkvalitnějšího šifrování v oblasti Internetu se objevila zejména v souvislosti s internet bankingem a jinými obdobně citlivými službami. V principu jde o zabezpečení vzájemné komunikace mezi serverem a klientem tak, aby výslednou zprávu někdo nemohl zachytit a následně zneužít.

Jednou z prvních pomyslných vlaštovek byl v tomto směru šifrovací systém RSA (Rivest-Shamir-Adleman) z roku 1977. Nyní mnohem spíše narážíme na bezpečnostní protokoly SSL, či TSL. SSL je aktivně využíván pro ochranu protokolu HTTP – ten se pak označuje jako HTTPS a využívá port 443 (standardní je jinak notoricky známý port 80). Prostřednictvím webového prohlížeče lze díky tomu mít přístup i k jinak velice citlivým údajům a současně se minimalizuje možnost jejich úniku. SSL je už poměrně dávným dítkem společnosti Netscape Communications a existuje v několika verzích, lišících se svými vlastnostmi.

TLS, respektive Transport Layer Security je z historického hlediska jakousi náhradou SSL v3.0. Sice byl původně více či méně postaven právě kolem protokolu SSL v3.0, nicméně vlivem jistých vzájemných rozdílů se určitě nedá tvrdit, že by oba byly kompatibilní. Do detailů zde nebudeme zacházet (jednalo se o odlišné doplňování datových bloků do násobku jisté velikosti, či MAC výpočet), důležitější je vědět, že v rámci SSL lze použít různé metody, symetrické i asymetrické a že i tady se čas od času objeví nějaká ta slabina. Připomenout můžeme například kauzu z roku 2003, kdy dva z našich předních kryptologů publikovali odhalení chyby, umožňující rozluštit právě SSL/TSL (problém mimochodem primárně spočíval v OpenSSL). Proto i zde má smysl dbát na průběžné sledování novinek a případně následnou rychlou aplikaci záplat.

 

Šifrování e-mailů

Obyčejný e-mail je v zásadě něco na způsob pohlednice – ani ta neputuje vložená do obálky a přečte si ji tak (alespoň hypoteticky) klidně každý, kdo s ní kdekoliv po cestě přijde do styku, ať už zcela náhodně nebo úmyslně. Kvalitní programy pro šifrování pošty pochopitelně využívají asymetrický i symetrický princip, přičemž nasazení druhé varianty je zpravidla několikanásobně snazší a funguje lehce i pro e-maily odesílané prostřednictvím webového rozhraní.

Z hlediska bezpečnosti je asymetrické šifrování určitě lepší, neboť na rozdíl od toho symetrického nepoužívá pro šifrování i dešifrování totožný klíč. Se symetrickým principem se v praxi můžete setkat spíše v rámci vzájemné komunikace jen několika málo uživatelů. Pro skupinu více uživatelů je již rozhodně výhodnější asymetrický princip, kdy vlastní klíč je složen ze dvou částí (veřejné a soukromé). I pokud tedy někdo nakrásně prolomí veřejnou část, získá přístup pouze k informacím určeným pro jedinou konkrétní osobu – nikoliv už k veškerým informacím naráz.

 

Šifrování souborů

Co šifrování souborů týče, nabízí se nám celá řada freewarových programů, jakými je například Crypto Expert 2008 pro vytváření virtuálních disků chráněných heslem a 128bitovou šifrou. Dále lze uvést Crypt4Free (využívá algoritmy DESX a Blowfish) plus spoustu dalších. V zásadě platí, že k obyčejnému zašifrování nějakého souboru v domácích podmínkách postačí i WinZip, potažmo WinRar (byť primární účel těchto utilit samozřejmě spočívá v komprimaci) - a celá řada uživatelů je i takto využívá. O tom, zda jde ale skutečně WinZipem kvalitně šifrovat, jsou na Internetu dostupné celé specializované články a sluší se dodat, že právě on bývá vzhledem ke své popularitě častým terčem útoků.

Ačkoliv už „prehistorická“ verze 9.0 používala kombinaci algoritmu AES a autentizace typu Encrypt-then-Authenticate, následné analýzy ukázaly, že při použití vhodného typu útoku není prolomení zase až tak obtížné. Dnes jsou již samozřejmě ke stažení verze mnohem novější, nicméně ani na ty zřejmě není dobré úplně spoléhat. WinRar pak disponuje 128bitovým šifrováním archivu + šifrováním jmen souborů v tomto archivu. Z tohoto důvodu se uvádí, že archivace s heslem je proti případnému pokusu o prolomení značně pevnější. Přesto mnozí uživatelé často argumentují, že šifrovací algoritmus WinRaru je ve srovnání třebas s PGP i tak slabý.

 

Jaké řešení zvolit?

ICTS24

Ačkoliv existují i programy typu „vše pod jednou střechou“, já sám preferuji používat raději více různých (a současně více specifických) utilit. Opět platí, že běžný domácí uživatel (eventuálně menší firma) si mohou vystačit i s freewarem. Většinu zmiňovaného i jiného freewaru (PicoCrypt, MEO, Cryptext, ESE...) stáhnete bez obtíží a hrozby infikace malwarem třebas ze stránek slunecnice.cz, nebo stahuj.cz.

 

Autor článku