博客
什么是加密?
摘要形状摘要形状

在加密中,加密是编码信息的过程或 敏感数据 所以只有授权方可以访问它。加密本身并不妨碍干扰和  中间人攻击,但否认拦截器的可理解内容。 

加密如何工作?

在加密方案中,使用加密算法(或密码)加密称为明文的预期信息或消息。 

输出称为CipherText,只能使用解密密钥读取。 

通常,加密算法分为两类: 

  1. 对称密钥加密: 在此加密方案中,加密和解密密钥是相同的。关键有时被称为共享秘密,因为执行加密的发送者或计算机系统必须与授权用于解密该消息的人共享密钥。对称密钥加密趋于比不对称加密方案更快。对称数据加密的最流行示例是先进的加密标准(AES),旨在保护政府'敏感信息。对称密钥加密也称为秘密密钥加密,对称密码或私钥加密。 
  2. 公钥加密: 这种类型的加密使用了两个,逻辑链接的不同键。为任何人发布加密密钥以使用和加密消息,而接收方只有访问解密密钥以读取加密消息。公钥加密通常使用素数来创建键,因为它的计算方式难以考虑大型素数,使得难以逆转加密。在此之前,首先在1973年的秘密文档中首次描述这种加密,在此之前,所有加密方案都是对称密钥算法。 RIVEST-Shamir-Adleman(RSA)加密算法是最流行的公钥加密算法。使用RSA,公共和私钥可用于加密消息,并且任何不用于加密的消息都将成为解密密钥。公钥加密也称为非对称加密,非对称密钥加密或公钥加密。 

原则上,可以解密没有解密密钥的消息,但是精心设计的加密方案需要相当大的计算资源和技能。

这意味着如果未经授权的实体截获了加密的消息,则只有他们知道用于加密消息和解密密钥的密码,它们只能获得访问权限。 

如今,许多加密过程采用对称算法(加密数据)和非对称算法(以安全地交换密钥)。这允许它们利用对称密钥加密的速度,同时保持公钥加密的额外保密。 

任何加密系统的三个主要组成部分都是:

  • 要保护的数据
  • 加密算法
  • 关键管理流程

为什么加密很重要?

加密很重要,因为它允许您保护数据免受未经授权的访问。加密是基础的 网络安全数据安全信息安全 and 网络安全,由于其提供的能力:

  • 保密: 通过对消息进行编码,只有预期的受众只能访问加密数据。
  • 正直: 加密消息证明,自发送后,消息尚未更改。
  • 验证: 加密方法允许您验证消息的原点。
  • 不可否认: 一旦发送,发件人就无法拒绝他们发送了加密的消息。 

使用加密罐 防止数据违规数据泄漏企业间谍活动, 蛮力攻击 和 other 网络攻击。根据您的行业,监管合规可能取决于使用加密和其他安全措施的数据保护。

例如:

如何使用加密?

军队和政府已经使用加密,以促进秘密通信。

今天,在平民系统中越来越普遍,以保护途中的数据和休息。 

每次刷卡或在线购买某些东西时,您都依靠加密来保护您的付款信息。

在付款和电子商务之外,组织越来越依赖加密来保护应用程序,商业秘密和客户信息。

越来越多 数据泄露的成本,平均392万美元在全球范围内和美国819万美元,突出了保护机密性,完整性和真实性的必要性 敏感数据 当其他安全措施失败时。更不用说监管和声誉赔偿。 

加密也用于保护运输中的数据以防止 中间人攻击 和窃听。例如,通过Internet,智能手机,蓝牙或ATM传输的数据。

除了保护数据和通信之外,加密可用于安全数据销毁。 

用于永久删除来自硬盘驱动器的数据的传统方法依赖于覆盖设备'S用零,或其他模式的内容。此过程可能需要时间根据存储的容量和类型。 Cryptography Excerst通过Crypto-Shredding进行了几乎瞬间擦除的方法。

加密的局限性是什么?  

虽然加密是一个重要的工具,但保证敏感信息的机密性,完整性或可用性是不够的。 

大多数加密软件只加密休息或运输中的信息,请离开 敏感数据 在Plaintext中,在处理期间可能易受曝光,例如在云服务中。  

有加密进程可以在加密数据上计算(同态加密和安全的多方计算),但这些产生了高的计算和通信成本。

为了回应休息时的加密,网络犯罪分子已经开发出新型的网络攻击,包括加密攻击,被盗的密文攻击,密码分析,加密密钥的攻击,内幕攻击,数据完整性攻击,数据销毁攻击和数据销毁攻击和数据  赎金软件攻击

数据碎片和数据保护技术试图通过分发,移动或突变密文来抵消这些攻击,因此更难识别,窃取,损坏或销毁。 

即使使用这些技术,加密的质量也不存在't matter if your 第三方供应商 他们的供应商aren'T使用与您的组织相同的加密标准。

这就是为什么更多组织正在投资的原因 供应商风险管理 and 网络安全评级工具 这可以帮助他们自动监控和评估第一,第三和第四方的安全姿势。 

这些工具将允许您的供应商风险团队专注于首先和最高风险,高影响的补救措施 指数增加一个人可以管理的第三方供应商的数量

如果您的组织缺乏供应商风险管理专业知识,请考虑投资一种可以的工具 自动化供应商风险管理,提供 供应商风险评估问卷模板 and a 第三方风险管理框架

在供应商风险管理之外,寻找一个 用于连续扫描与您的业务相关的数据风险的工具.  

加密的其他重大限制是关键管理,因为解密密文的键必须存在某处,攻击者经常知道在哪里看。关键管理有很多最好的实践,但它增加了额外的复杂性 事件响应计划 并且可以增加启动灾难恢复过程所需的时间。 

加密算法的类型是什么?

  • 高级加密标准(AES): 由美国政府选择的国家标准和技术研究所(NIST)建立的对称块密码,以保护分类信息,并在全球各地的软件和硬件中实施,以加密 敏感数据
  • 数据加密标准(DES): 用于加密数据的对称密钥算法。 DES.'从一开始就批评了56位的短关键长度,这是由于它的批评 漏洞 蛮力攻击。
  • Triple des(3Des): 原始DES算法的改进。从本质上讲,3DES在加密和解密期间连续三次执行DES算法,使其对慢速攻击速度较慢的更加稳健。 
  • Diffie-Hellman密钥交换: 又称指数密钥交换,通过使用数字来牢固地在公共信道内牢固地交换密码键以产生解密密钥。  
  • 椭圆曲线密码学(ECC): 基于有限田椭圆曲线代数结构的公钥密码术方法。由此产生的加密算法更快,更高效,同时产生具有较短键的可比安全水平。这使得ECC成为计算资源有限的设备的良好选择。 
  • 量子密钥分布(QKD): 使用一对缠结的光子生成加密密钥的提出的加密方法,然后将其单独发送到消息。量子纠缠使发件人和接收器能够在接收到传输之前知道加密密钥是否已被拦截或更改。这是因为观察传输信息的非常行神在量子领域中改变了它。一旦确定了安全且未被截取的加密,就会给出许可来发送加密的消息。 
  • Rivest-Shamir-Adleman(RSA): 广泛用于安全数据传输的第一个公钥密码系统之一。许多协议,如安全壳(SSH),非常好的隐私(PGP), 安全套接字层(SSL) 和传输层安全(TLS)依赖于RSA和数字签名。

加密的历史是什么?

加密是最古老的科学形式之一。

从史前时代到现代,始终是从意外眼睛伪装,化妆或保护敏感信息的基本人类愿望。 

这款有趣的是,尽管加密算法和技术的进步,加密的核心问题仍然是相同的。

问题是,仍然是如何安全地和秘密地交换钥匙。这一切都归结为关键管理。 

1900年,埃及贵族在Khnumhotep墓中使用了一个简单的象形文字替代,改变了另一个符号。一种非常简单的加密形式,可以在相对较短的时间内被弄清楚。 

到700年,Sparta正在使用一种名为Scytale rountposition密码的新形式的加密。这种形式的加密更改了文档中字母的位置,而不是更改字母本身。 

与现代加密算法相比,该概念似乎简单,但当时非常复杂。 

它包括一块薄薄的纸莎草,缠绕在一名圆形的员工,加密器将在员工的长度下写下他们的信息。完成后,他们会包裹纸莎草。 

对于任何观察者,该消息是不可读的并且看起来像涂鸦。但是,该消息的接收者将对消息的作者具有相同的棒并重新加回纸纸纸张,揭示消息。 

回想一下,很少有人可以当时写入和阅读,使得这种加密方法是强大的。

快进1917年当英国拦截加密的德国传输时,目前称为"Zimmerman Telegram"是由德国外交部长亚瑟·齐默曼撰写的德国墨西哥部长,如果它加入德国努力,就向墨西哥提供美国领地。

英国向美国展示了这封电报,作为美国宣布德国及其盟友宣布战争的催化剂,并于1917年4月6日。 

在第二次世界大战期间,德国人开发了一台被称为谜的机器,这是一个足够小的小木箱,可以由单个士兵携带。打开时,该盒子显示了一个小型打字机样式键盘。通过一组三个转子完成加密,每个转子可以设置为字母表的任何字母,形成解密密钥。 

三组转子形成了比简单的替换更强更复杂的加密算法。此外,实际上还有五个标准转子,但一次只能使用三个,产生60种不同的可能组合。 

德国人将每两天改变转子和他们的起始位置。 

艾伦转弯,一位为英国政府工作的年轻数学家最终建造一个称为图灵爆炸的机器破译谜。 

它不是'T直到1976年,通过引入IBM,加密开始在军事环境之外使用'S数据加密标准(DES)和由Whitfield Diffie和Martin Hellman发布的文件,标题为密码学中的新方向。

本文奠定了解决了加密方案的一个基本问题的基础,如何以安全和安全的方式分发加密密钥。 

今天,加密广泛应用于军队外部。

upguard如何改善您的组织's cybersecurity

类似的公司 洲际交流泰勒炒纽约证券交易所,IAG,第一州超级,Akamai,Morningstar和NASA使用Upguard来保护他们的数据, 防止数据违规,监控 漏洞 and avoid 恶意软件.

We'在数据漏洞中获得专家,我们的 数据违规研究 已被推荐 纽约时报彭博华盛顿邮报福布斯路透社 and TechCrunch。

upguard供应商风险 可以最大限度地减少您的组织花费通过自动化管理第三方关系的时间 供应商问卷 并不断监测您的供应商'安全姿势随着时间的推移,同时基准反对他们的行业。 

每个供应商都是针对50多个标准的评分,例如存在 SSL.  and DNSSEC.以及风险 域名劫持中间人攻击 and 电子邮件欺骗 for 网络钓鱼.

每天,我们的平台用一个人得分 网络安全评级 out of 950. We'如果他们的分数下降,请提醒你。

Upguard Breachsight. 可以帮助监控DMARC,战斗 typosquatting., 避免 数据违规 and 数据泄漏,避免监管罚款并保护您的客户's trust through 网络安全评级 和连续的曝光检测。 

如果你'd想看看你的组织如何堆积, 获取您的自由网络安全评级

今天预订演示。

自由

白色upguard徽标
可用于下载的Upguard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色upguard徽标
电子书,报告& Whitepapers
可用于下载的Upguard免费资源
Upguard客户支持团队Upguard客户支持团队Upguard客户支持团队

见上upguard

通过我们的网络安全专家预订免费,个性化的船上呼叫。
摘要形状摘要形状

相关文章

了解有关网络安全中最新问题的更多信息。
提供图标

注册我们的时事通讯

每周获取您收件箱中的最新策划网络安全新闻,违反,活动和更新。
摘要形状摘要形状
免费即时安全分数

您的组织有多安全?

请求免费网络安全报告以发现您的网站,电子邮件,网络和品牌的关键风险。
  • 检查图标
    即时洞察力您可以立即采取行动
  • 检查图标
    数百个风险因素,包括电子邮件安全,SSL,DNS健康,开放式端口和常见漏洞
网站安全扫描结果网站安全扫描评级摘要形状
发布时间: 2021-05-11 02:53:44

最近发表