Základy bezpečnosti 03 – Šifrujte (1. díl)

Pokračujeme v našem seriálu o počítačové bezpečnosti. V dnešním dílu se budeme věnovat šifrování dat. Proč a jak bychom měli svá citlivá data šifrovat? A není šifrování pouze pro odborníky?

Pomocí šifrování se čitelná data převádí na data šifrovaná, která jsou čitelná pouze pro majitele dešifrovacího klíče (hesla). Šifrování se věnuje vědní obor nazývaný kryptografie  a slouží k ochraně dat před přístupem neoprávněných osob a naopak prolamováním šifer se zabývá kryptoanalýza. Šifrování zpráv se používá již od nepaměti. Počátky šifrování se datují až do roku 1900 př.n.l., kdy staří Egypťané používali pro zápis tajných dat atypické hieroglyfy. Pomocí takto zapsaných značek měli zajištěno, že k důvěrným informacím bude mít přístup pouze předem určená skupina lidí. Známá je i šifra používaná Juliusem Caesarem, která byla po něm i pojmenovaná. Až do první poloviny 20. století k šifrování zpráv stačily jednoduché pomůcky. Později ale začaly vznikat vysoce sofistikované přístroje umožňující výrazně složitější postupy při šifrování. Jedním z nejznámějších přístrojů tohoto období byla německá Enigma, o které byly natočeny i filmy (Kód Enigmy, Enigma).

Bezpečnost jakékoliv šifry je dána v prvé řadě algoritmem, kterým jsou data šifrována. V současné době se nejčastěji používaji šifry AES a RSA. Sebelepší šifra je ale snadno prolomitelná, pokud je zvolen málo bezpečný nebo nevhodný klíč (heslo). Výběrem takového hesla jsme se věnovali v prvním díle našeho seriálu.

AES - Advanced Encryption Standard je standardizovaná symetrická bloková šifra šifrující i dešifrující stejným klíčem data rozdělená do bloků pevně dané délky
Asymetrická šifra - šifrovací metoda. která používá veřejný klíč pro šifrování a soukromý klíč pro dešifrování. Používá se například pro elektronický podpis.
Certifikát - digitálně podepsaný veřejný šifrovací klíč, který vydává certifikační autorita. Obsahuje (kromě jiného) informace o majiteli veřejného klíče a vydavateli certifikátu (tvůrci digitálního podpisu, tj. certifikační autoritě). Certifikáty jsou používány pro identifikaci protistrany při vytváření zabezpečeného spojení. Na základě principu přenosu důvěry je možné důvěřovat neznámým certifikátům, které jsou podepsány důvěryhodnou certifikační autoritou.
DES - Data (Digital) Encryption Standard je symetrická šifra vyvinutá v 70. letech. V roce 1977 byla zvolena za standard pro šifrování dat. V současnosti je tato šifra považována za nespolehlivou a doporučuje se používat bezpečnější šifru AES.
Elektronický (digitální) podpis - v počítači nahrazují klasický vlastnoruční podpis, respektive ověřený podpis. Je připojen k datové zprávě nebo je s ní logicky spojen, umožňuje ověření totožnosti podepsané osoby ve vztahu k datové zprávě. Elektronický podpis je prostředek k tomu, jak v anonymním světě internetu ověřit totožnost odesílatele.
Hash, hašovací funkce - způsob, jak z celého textu vytvořit krátký řetězec, který s velmi velkou pravděpodobností identifikuje nezměněný text, něco jako podpis nebo otisk.
Klíč - tajná informace (heslo), která při šifrování určuje jak bude text zašifrován a při dešifrování naopak. Bez správného klíče nelze šifrový text přečíst. U asymetrických šifer jsou klíče dva (pro šifrování a pro dešifrování).
Kryptoanalýza - zabývá se luštěním šifer. V poslední době její význam získává stále více na váze, díky odhalování teoretických slabin běžně používaných šifer.
Kryptografie - věda studující šifrovací algoritmy, kryptografické nástroje, hardwarové implementace šifrovacích algoritmů, kryptografické protokoly apod.
Kryptologie - věda, která se zabývá šifrováním ze všech úhlů pohledu. Jejími hlavními disciplínami jsou kryptografie a  kryptoanalýza.
Šifra nebo šifrování - kryptografický algoritmus, který převádí čitelnou zprávu neboli prostý text na její nečitelnou podobu neboli šifrový text.
Symetrická šifra je taková, která pro šifrování i dešifrování používá tentýž klíč.
RSA - šifra s veřejným klíčem (asymetrická šifra), jedná se o první algoritmus, který je vhodný jak pro podepisování, tak šifrování. V současnosti defacto standard, přičemž při dostatečné délce klíče je považován za bezpečný. Název odvozen z iniciál autorů Rivest, Shamir, Adleman.

Proč šifrovat?

S rozvojem počítačů a především jejich vzájemného propojení je šifrování dat mnohem důležitější než dříve. Chránit je třeba nejen uložená data, ale i data posílaná internetem nebo i komunikace přes mobilní telefony. Přes svou důležitost většina uživatelů svá data šifrováním nechrání. Důvodů je celá řada - od lehkomyslnosti až po strach z moderních technologií. Mnozí si dokonce myslí, že svá data v počítači chráněná mají - vždyť je přece počítač chráněn heslem. To je ale nebezpečný omyl! Důvodů je několik:
  • jak jsme si řekli již v předchozím díle, nešifrovanou komunikaci přes internet lze snadno odposlouchávat a získaná data následně zneužít
  • při přenosu, ať již e-mailem, CD nebo USB diskem nejsou citlivá data nijak chráněná
  • vlastní počítač chrání heslo před přístupem neoprávněných osob k běžícímu systému. Ale pokud z počítače vyndáte disk a připojíte ho k jinému, všechna data budou přístupná. Při krádeži či ztrátě tak bez šifrování nejsou data chráněná vůbec
  • pro podnikatele navíc vyvstává povinnost uchovávat citlivá a osobní data v bezpečí i ze zákona

Kdy a kde šifrovat?

Jak jsme psali již v předchozím díle, šifrování je důležité při komunikaci na Internetu. Obzvlášť pokud jste připojeni na cizí síti, například k veřejně přístupné WiFi atp. Pokud v takovém případě používáte nezabezpečenou komunikaci, každé zařízení mezi vámi a cílovým serverem ji může odposlouchávat a zachytávat citlivé údaje - například přihlašovací jméno a heslo k nějaké internetové službě. Veřejné sítě proto využívejte pouze k anonymnímu prohlížení webových stránek. Potřebujete-li se přesto přihlásit, vždy si zkontrolujte, zda stránka používá šifrovaný protokol HTTPS (viz minulý díl).

Zároveň je třeba připomenout, že Internet nejsou jen webové stránky. Připojují se k němu i další programy a služby - počínaje e-mailem a programy na komunikaci (messengery) až po zálohování na Cloud. Většina dnes již šifrované spojení umí využívat. Ale bude dobré se zeptat svého “ajťáka”, aby vám je zkontroloval a případně správně nastavil. Důležité je to obzvlášť, pokud používáte mailového klienta (Thunderbird, Outlook, Mail…) a kde bývá často při přihlašování k serveru nastaveno nezabezpečené spojení.

Druhým případem, kdy je třeba data ochránit, je jejich předávání. Jakmile opustí vaše ruce (počítač), jsou samozřejmě relativně snadno zneužitelná. USB disk s citlivými daty se může ztratit nebo být odcizen, k e-mailu se může dostat nepovolaná osoba atp. V případě potřeby předávání citlivých údajů vždy raději soubory zašifrujte. Samozřejmě adresát musí znát klíč k takto zabezpečenému souboru. Ten předávejte vždy jiným způsobem, než zabezpečená data - můžete ho například zaslat pomocí SMS apod.

Zašifrováním citlivých souborů můžete zabezpečit i svůj počítač pro případ jeho ztráty či zcizení. Je to ale velmi nepraktické - s takovými soubory nemůžete přímo pracovat. Pro tento případ je výhodnější používat šifrování celého disku nebo osobní složky s daty. Uživatel se tedy nemusí starat o to, které soubory zabezpečí nebo jestli nezapomněl nějaký zašifrovat, protože jsou zkrátka zašifrované všechny. Pokud takový disk připojíte k jinému počítači, nepůjde přečíst bez znalosti klíče. Nevýhodou tohoto řešení je, že dochází k určitému snížení výkonu počítače, neboť k šifrování a dešifrování dochází průběžně. V dnešní době to však již není nijak zásadní problém.

Je tedy zřejmé, že chránit svá data šifrováním je v současné době víceméně nutné a v mnoha případech dokonce povinné. Jako každá technologie má nejen své výhody, ale i nevýhody. Již jsme zmiňovali snížení výkonu, ale to při současných výkonech počítačů není problém. Výrazněji by se to mohlo projevit pouze na pomalejších strojích nebo při práci s velkým objemem dat. Druhou nevýhodou je ztráta dat v případě poškození disku nebo při ztrátě klíče. Ze zašifrovaného již pravděpodobně zachránit nepůjdou. Tento problém ale odpadá, pokud pravidelně zálohujete data a zálohovat byste měli i z mnoha jiných důvodů (zálohování se budeme věnovat v některém z dalších dílů). Výhody ochrany dat tedy rozhodně převažují.

Na závěr zmíníme ještě jeden případ šifrování dat a to je tzv. ransomware, i když jde v tomto případě o zneužití technologie. Ten se poslední dobou stal mezi útočníky velmi populární. Tyto programy po napadení počítače zašifrují data uložená na disku a následně požadují po oběti výkupné za zpřístupnění dat. V případě, že se vám to stalo, rozhodně nic neplaťte. Pravděpodobnost, že vám anonymní útočník data vrátí, je opravdu malá. Soustřeďte se především na prevenci:

  • Aktualizujte si operační systém i používané programy
  • Používejte kvalitní a aktuální antivirový program
  • Neotevírejte podezřelé a nevyžádané e-maily. Pozor na to, že se takto nakažené zprávy snaží maskovat jako seriózni či neškodné
  • Zálohujte, zálohujte, zálohujte… V případě útoku pak můžete data relativně snadno obnovit

V současnosti se již šifrování nemusí bát ani laik. Projděte si proto své počítače, zda někde není potřeba zlepšit ochranu dat. Příště se podíváme na některé programy, které k tomu můžete snadno využít.

Díly seriálu psaného pro JTJ Education

  1. Bezpečná hesla (1. díl)
  2. Bezpečná hesla (2. díl)
  3. Šifrujte (1. díl)
 

Jméno
Text