Mikä on kryptografinen tiiviste?

Salausalgoritmien perusteet ovat melko helppoja ymmärtää. Syöttö tai pelkkä teksti otetaan yhdessä avaimen kanssa ja käsitellään algoritmilla. Tulos on salattu ja tunnetaan salatekstinä. Kriittinen osa salausalgoritmia on kuitenkin se, että voit kääntää prosessin. Jos sinulla on salateksti ja salauksenpurkuavain, voit suorittaa algoritmin uudelleen ja saada selväkielisen tekstin takaisin. Tietyntyyppiset salausalgoritmit edellyttävät samaa avainta sekä tietojen salaamiseen että salauksen purkamiseen. Toiset vaativat parin avaimia, yhden salaamiseen ja toisen salauksen purkamiseen.

Hajautusalgoritmin käsite liittyy toisiinsa, mutta sillä on muutamia kriittisiä eroja. Tärkein ero on se, että hajautusalgoritmi on yksisuuntainen funktio. Laitat selkeän tekstin hash-funktioon ja saat tiivistekoosteen, mutta sitä ei ole mahdollista muuttaa takaisin alkuperäiseksi selväksi tekstiksi.

Huomautus: Hajautusfunktion tulos tunnetaan hash-tiivistelmänä, ei salatekstinä. Termi hash digest lyhennetään myös yleisesti sanaksi "hash", vaikka sen käyttö voi joskus olla epäselvää. Esimerkiksi todennusprosessissa luot tiivisteen ja vertaat sitä tietokantaan tallennettuun tiivisteeseen.

Toinen hash-funktion keskeinen ominaisuus on, että hash-tiiviste on aina sama, jos syötät saman selväkielisyötteen. Lisäksi, jos teet edes pienen muutoksen selkeään tekstiin, hash-tiivistelmätulos on täysin erilainen. Näiden kahden ominaisuuden yhdistelmä tekee hajautusalgoritmeista hyödyllisiä kryptografiassa. Yleinen käyttö on salasanojen kanssa.

Salasanan hajautusalgoritmit

Kun kirjaudut sisään verkkosivustolle, annat sille käyttäjätunnuksesi ja salasanasi. Pintatasolla verkkosivusto tarkistaa sitten, että antamasi tiedot vastaavat sen tiedoissa olevia tietoja. Prosessi ei kuitenkaan ole aivan niin yksinkertainen.

Tietomurrot ovat suhteellisen yleisiä, ja on melko todennäköistä, että tietomurrot ovat jo vaikuttaneet sinuun. Asiakastiedot ovat yksi tietomurron suurimmista kohteista. Käyttäjätunnus- ja salasanaluetteloita voidaan vaihtaa ja myydä. Koko prosessin vaikeuttamiseksi hakkereille verkkosivustot käyttävät yleensä jokaista salasanaa hajautusalgoritmin kautta ja tallentavat vain salasanan tiivisteen itse salasanan sijaan.

Tämä toimii, koska kun käyttäjä yrittää todentaa, verkkosivusto voi myös tiivistää lähetetyn salasanan ja verrata sitä tallennettuun tiivisteeseen. Jos ne täsmäävät, se tietää, että sama salasana on lähetetty, vaikka se ei tiedä, mikä todellinen salasana oli. Lisäksi, jos hakkerit rikkovat tietokannan, johon on tallennettu salasanahajautus, he eivät voi heti nähdä todelliset salasanat.

Vahvat tiivisteet

Jos hakkereilla on pääsy salasanan tiivisteisiin, he eivät voi tehdä niille heti paljon. Ei ole käänteistä toimintoa tiivisteiden salauksen purkamiseen ja alkuperäisten salasanojen näkemiseen. Sen sijaan heidän on yritettävä murtaa hash. Tämä sisältää periaatteessa raa'an voiman, jossa tehdään useita salasana-arvauksia ja tarkistetaan, vastaako jokin tiivisteistä tietokantaan tallennettuja.

Hajautusarvon vahvuudessa on kaksi asiaa. Itse tiivistysfunktion vahvuus ja tiivistetyn salasanan vahvuus. Olettaen, että käytetään vahvaa salasanaa ja hajautusalgoritmia, hakkerin pitäisi yrittää tarpeeksi salasanoja laskeakseen 50 % koko hash-tulostustilasta, jotta hänellä olisi 50/50 mahdollisuus murtaa mikä tahansa yksittäinen hash.

Käsittelyn määrää voidaan vähentää dramaattisesti, jos hajautusalgoritmissa on heikkouksia, jotka joko vuotavat tietoja tai joilla on lisääntynyt mahdollisuus sattumalta saada sama tiiviste, joka tunnetaan törmäyksenä.

Raakavoimahyökkäykset voivat olla hitaita, koska kokeiltavia salasanoja on valtava määrä. Valitettavasti ihmiset ovat yleensä varsin ennakoitavissa salasanoja keksiessään. Tämä tarkoittaa, että perusteltuja arvauksia voidaan tehdä yleisesti käytettyjen salasanojen luetteloiden avulla. Jos valitset heikon salasanan, se voidaan arvata huomattavasti aikaisemmin kuin 50 % matkasta hash-tulostustilan luku antaa ymmärtää.

Tästä syystä on tärkeää käyttää vahvoja salasanoja. Jos salasanasi hajautus liittyy tietoturvaloukkaukseen, ei ole väliä, käyttikö sivusto parasta mahdollista ja turvallisinta saatavilla olevaa hajautusalgoritmia. Jos salasanasi on “salasana1”, se arvataan silti lähes välittömästi.

Johtopäätös

Hajautusalgoritmi on yksisuuntainen funktio. Se tuottaa aina saman lähdön, jos siinä on sama tulo. Pienetkin tuloerot muuttavat lähtöä merkittävästi, joten et voi tietää, olitko lähellä oikeaa tuloa. Hash-funktioita ei voi peruuttaa. Ei ole mitään keinoa kertoa, mitä tuloa käytettiin jonkin tietyn lähdön luomiseen ilman arvailua. Salaushajautustoiminto on kryptografisesti turvallinen ja soveltuu käyttötarkoituksiin, jotka vaativat tällaista turvallisuutta. Yleinen käyttötapa on salasanojen hajautus. Muita käyttötapauksia ovat tiedostojen tiivistäminen eheyden todentamiseksi.