Lo más probable es que esté familiarizado con la palabra encriptación . Probablemente hayas escuchado acerca de lo importante que es, así como de lo vital que es mantener segura la mayor parte de nuestras vidas hiperconectadas.
Utiliza WhatsApp? Estás usando encriptación. Inicie sesión en la banca en línea? Lo mismo de nuevo. ¿Tiene que pedirle al barista un código de Wi-Fi? Esto se debe a que se está conectando a una red mediante cifrado; la contraseña es la clave.
Pero a pesar de que utilizamos el cifrado en nuestra vida cotidiana, una gran cantidad de terminología sigue siendo misteriosa. Aquí hay una lista de ocho términos de encriptación esenciales que necesita comprender.
1. Texto sin formato
Comencemos con el término más básico para saber, que es simple pero tan importante como los demás: el texto sin formato es un mensaje simple y legible que cualquiera puede leer.
2. Texto cifrado
El texto cifrado es el resultado del proceso de encriptación. El texto cifrado aparece como cadenas aparentemente aleatorias de caracteres, dejándolos inútiles. Un cifrado es otra forma de referirse al algoritmo de cifrado que transforma el texto sin formato, de ahí el término texto cifrado.
3. Cifrado
El cifrado es el proceso de aplicar una función matemática a un archivo que hace que sus contenidos sean ilegibles e inaccesibles, a menos que tenga la clave de descifrado.
Por ejemplo, supongamos que tiene un documento de Microsoft Word. Aplica una contraseña utilizando la función de cifrado incorporada de Microsoft Office. El archivo ahora no se puede leer y no se puede acceder a nadie sin la contraseña.
Descifrado
Si el cifrado bloquea el archivo, el descifrado invierte el proceso y convierte el texto cifrado en texto sin formato. El descifrado requiere dos elementos: la contraseña correcta y el algoritmo de descifrado correspondiente.
4. Llaves
El proceso de encriptación requiere una clave criptográfica que le dice al algoritmo cómo transformar el texto plano en texto cifrado. El principio de Kerckhoff dice que "solo el secreto de la llave proporciona seguridad", mientras que la máxima de Shannon continúa: "el enemigo conoce el sistema".
Estas dos declaraciones influyen en el papel del cifrado y las claves dentro de eso.
Mantener los detalles de un algoritmo de cifrado completo en secreto es extremadamente difícil; mantener un secreto clave mucho más pequeño es más fácil. La clave bloquea y desbloquea el algoritmo, lo que permite que el proceso de cifrado o descifrado funcione.
¿Es una clave una contraseña?
No. Bueno, al menos no del todo. La creación de clave es el resultado del uso de un algoritmo, mientras que una contraseña suele ser una elección del usuario. La confusión surge ya que rara vez interactuamos específicamente con una clave criptográfica, mientras que las contraseñas son parte de la vida cotidiana.
Las contraseñas a veces son parte del proceso de creación de claves. Un usuario ingresa su contraseña súper fuerte utilizando todo tipo de caracteres y símbolos, y el algoritmo genera una clave usando su entrada.
5. hash
Entonces, cuando un sitio web cifra su contraseña, usa un algoritmo de encriptación para convertir su contraseña de texto plano a un hash. Un hash es diferente de la encriptación, ya que una vez que los datos son hash, no se puede deshacer. O más bien, es extremadamente difícil.
Hashing es realmente útil cuando necesita verificar la autenticidad de algo, pero no tiene que volver a leerlo. En esto, el hash de contraseñas ofrece cierta protección contra ataques de fuerza bruta. ¿Qué son los ataques de fuerza bruta y cómo puede protegerse? ¿Qué son los ataques de fuerza bruta y cómo puede protegerse? Probablemente has escuchado la frase "ataque de fuerza bruta". Pero qué, exactamente, significa eso? ¿Como funciona? ¿Y cómo puedes protegerte contra eso? Esto es lo que necesita saber. Leer más (donde el atacante intenta todas las combinaciones posibles de contraseñas).
Es posible que incluso hayas oído hablar de algunos de los algoritmos hash comunes, como MD5, SHA, SHA-1 y SHA-2. Algunos son más fuertes que otros, mientras que otros, como MD5, son francamente vulnerables. Por ejemplo, si va al sitio MD5 Online, notará que tiene 123, 255, 542, 234 palabras en su base de datos MD5 hash. Adelante, pruébalo.
- Seleccione MD5 Encrypt en el menú superior.
- Escriba su contraseña, pulse Cifrar y vea el hash MD5.
- Seleccione el hash, presione Ctrl + C para copiar el hash y seleccione Descifrar MD5 en el menú superior.
- Seleccione el cuadro y presione Ctrl + V para pegar el hash, complete el CAPTCHA y presione Descifrar .
Como puede ver, una contraseña hash no significa automáticamente que sea segura (dependiendo de la contraseña que elija, por supuesto). Pero hay funciones de cifrado adicionales que aumentan la seguridad.
6. Sal
Cuando las contraseñas son parte de la creación de claves, el proceso de cifrado requiere pasos de seguridad adicionales. Uno de esos pasos es salar las contraseñas. En un nivel básico, una sal agrega datos aleatorios a una función hash unidireccional. Examinemos lo que eso significa usar un ejemplo.
Hay dos usuarios con la misma contraseña exacta: hunter2 .
Ejecutamos hunter2 a través de un generador de hash SHA256 y recibimos f52fbd32b2b3b86ff88ef6c490628285f482af15ddcb29541f94bcf526a3f6c7.
Alguien piratea la base de datos de contraseñas y verifica este hash; cada cuenta con el hash correspondiente es inmediatamente vulnerable.
Esta vez, usamos una sal individual, agregando un valor de datos aleatorios a cada contraseña de usuario:
- Ejemplo de sal # 1: hunter2 + salchicha : 3436d420e833d662c480ff64fce63c7d27ddabfb1b6a423f2ea45caa169fb157
- Ejemplo de sal # 2: hunter2 + tocino : 728963c70b8a570e2501fa618c975509215bd0ff5cddaf405abf06234b20602c
Compare rápidamente los hashes para las mismas contraseñas con y sin la sal (extremadamente básica):
- Sin sal: f52fbd32b2b3b86ff88ef6c490628285f482af15ddcb29541f94bcf526a3f6c7
- Ejemplo de sal # 1: 3436d420e833d662c480ff64fce63c7d27ddabfb1b6a423f2ea45caa169fb157
- Ejemplo de sal # 2: 728963c70b8a570e2501fa618c975509215bd0ff5cddaf405abf06234b20602c
Verá que la adición de la sal aleatoriza al valor hash de manera que su contraseña permanezca (casi) completamente segura durante una violación. Y mejor aún, la contraseña todavía enlaza con su nombre de usuario, por lo que no hay confusión en la base de datos cuando inicia sesión en el sitio o servicio.
7. Algoritmos simétricos y asimétricos
En la informática moderna, existen dos tipos de algoritmo de cifrado primario: simétrico y asimétrico. Ambos encriptan datos, pero funcionan de una manera ligeramente diferente.
- Algoritmo simétrico: use la misma clave para el cifrado y el descifrado. Ambas partes deben acordar la clave del algoritmo antes de comenzar la comunicación.
- Algoritmo asimétrico: use dos claves diferentes: una clave pública y una privada. Esto permite el cifrado seguro mientras se comunica sin establecer previamente un algoritmo mutuo. Esto también se conoce como criptología de clave pública (ver la siguiente sección).
La abrumadora mayoría de los servicios en línea que utilizamos en nuestra vida diaria implementan alguna forma de cripología de clave pública.
8. Claves públicas y privadas
Ahora que comprendemos más sobre la función de las claves en el proceso de encriptación, podemos ver las claves públicas y privadas.
Un algoritmo asimétrico utiliza dos claves: una clave pública y una privada . La clave pública se puede enviar a otras personas, mientras que la clave privada solo es conocida por el propietario. ¿Cuál es el propósito de esto?
Bien, cualquier persona con la clave pública del destinatario previsto puede cifrar un mensaje privado para ellos, mientras que el destinatario solo puede leer el contenido de ese mensaje siempre que tenga acceso a la clave privada emparejada. Mira la imagen de abajo para mayor claridad.
Las claves públicas y privadas también desempeñan un papel esencial en las firmas digitales, por lo que un remitente puede firmar su mensaje con su clave de cifrado privada. Aquellos con la clave pública pueden verificar el mensaje, seguros sabiendo que el mensaje original provino de la clave privada del remitente.
Un par de claves es la clave pública y privada vinculada matemáticamente generada por un algoritmo de cifrado.
9. HTTPS
HTTPS (HTTP Secure) es una actualización de seguridad ampliamente implementada para el protocolo de aplicación HTTP que es la base de Internet tal como la conocemos. Al usar una conexión HTTPS, sus datos se encriptan usando Transport Layer Security (TLS), protegiendo sus datos mientras está en tránsito.
HTTPS genera claves privadas y públicas a largo plazo que, a su vez, se utilizan para crear una clave de sesión a corto plazo. La clave de sesión es una clave simétrica de un solo uso que la conexión destruye una vez que abandona el sitio HTTPS (cerrando la conexión y finalizando su encriptación). Sin embargo, cuando vuelva a visitar el sitio, recibirá otra clave de sesión de uso único para asegurar su comunicación.
Un sitio debe adherirse por completo a HTTPS para ofrecer a los usuarios seguridad completa. De hecho, 2018 fue el primer año en que la mayoría de los sitios en línea comenzaron a ofrecer conexiones HTTPS sobre HTTP estándar.
10. Cifrado de extremo a extremo
Una de las palabras de moda de cifrado más grandes es la del cifrado de extremo a extremo . Servicio de plataforma de mensajería social WhatsApp comenzó a ofrecer a sus usuarios cifrado de extremo a extremo Por qué el cifrado de extremo a extremo de WhatsApp es un gran negocio Por qué el cifrado de extremo a extremo de WhatsApp es un gran negocio WhatsApp anunció recientemente que habilitarían un extremo a otro cifrado en su servicio. ¿Pero qué significa esto para ti? Esto es lo que necesita saber sobre el cifrado de WhatsApp. Lea más (E2EE) en 2016, asegurándose de que sus mensajes sean privados en todo momento.
En el contexto de un servicio de mensajería, EE2E significa que una vez que presiona el botón de enviar, la encriptación permanece en su lugar hasta que el destinatario recibe los mensajes. ¿Que está sucediendo aquí? Bueno, esto significa que la clave privada utilizada para codificar y decodificar sus mensajes nunca se va de su dispositivo, a su vez asegurando que nadie más que usted pueda enviar mensajes utilizando su apodo.
WhatsApp no es el primer, ni siquiera el único servicio de mensajería que ofrece cifrado de extremo a extremo 4 Slick WhatsApp Alternativas que protegen su privacidad 4 Slick WhatsApp Alternativas que protegen su privacidad Facebook compró WhatsApp. Ahora que estamos sobre el impacto de esa noticia, ¿te preocupa tu privacidad de datos? Lee mas . Sin embargo, movió la idea del cifrado de mensajes móviles aún más a la corriente principal, para gran parte de la miríada de agencias gubernamentales de todo el mundo.
Cifrado hasta el final
Desafortunadamente, hay una gran cantidad de gobiernos y otras organizaciones que realmente no les gusta el cifrado. Por qué nunca debemos dejar que el gobierno rompa el cifrado. Vivir con terroristas significa que nos enfrentamos regularmente a una noción verdaderamente ridícula: crear un gobierno accesible. puertas traseras de encriptación. Pero no es práctico. Aquí se explica por qué el cifrado es vital para la vida cotidiana. Lee mas . Lo odian por las mismas razones por las que creemos que es fantástico: mantiene su comunicación privada y, en gran medida, ayuda a que Internet funcione.
Sin él, internet se convertiría en un lugar extremadamente peligroso. Ciertamente no completará su banca en línea, comprará nuevas zapatillas de Amazon, o le dirá a su médico qué le sucede.
En la superficie, el cifrado parece desalentador. No voy a mentir; los fundamentos matemáticos del cifrado son a veces complicados. Pero aún se puede apreciar el cifrado sin los números, y eso solo es realmente útil.