加密的定義
最基本的加密層級是運用數學模型保護資訊或資料的程序;這類模型採用的拌碼方式,只有具備解碼金鑰的一方能夠存取。這個流程可能相當簡單,或極為複雜,而數學專家和電腦科學家則開發出特定的加密形式,可用來保護消費者和企業每天仰賴的資訊和資料。
加密機制的運作方式
加密機制的運作方式為將「明文」編碼為「密文」,通常是使用加密數學模型 (稱為演算法)。如要將資料解碼回明文,您必須使用解密金鑰、數字字串或演算法所建立的密碼。安全的加密方法含有大量加密編譯金鑰,未經授權的人士無法猜測哪一組是正確的金鑰,也無法使用電腦嘗試可能的組合而輕易計算出正確的字元字串 (又稱為蠻力攻擊)。
「凱撒加密法」是一個早期簡易加密的範例,因為羅馬皇帝凱撒在私人通訊中使用,因此以他的名字來命名。這個方法是替代密碼的一種類型,其中的字母會由依照字母順序固定移動幾個順位的字母取代。如要解密已編碼的文字,接收者必須知道該加密的金鑰,例如將字母順序往左移四位 (「左移四位」)。因此,每一個「E」都會變成「Z」,以此類推。
現代化的密碼編譯機制更為複雜,使用由電腦產生的字元數百個 (甚至幾千個) 的字串做為解密金鑰。
加密類型
兩種最常見的加密演算法類型是對稱式和非對稱式。
對稱加密 (也稱為共用金鑰或私密金鑰演算法) 會使用相同的金鑰加密及解密。對稱式金鑰加密的產生成本較低,且加密和解密所需的運算能力不大,所以解碼資料的時間也會較短。
但缺點是如果未經授權的人士取得金鑰,就能解密在雙方之間傳送的任何訊息和資料。因此,您必須使用其他加密編譯金鑰來加密共用金鑰,而造成依附元件循環。
非對稱式加密 (又稱為公開金鑰密碼編譯) 會使用兩個獨立的金鑰來加密及解密資料。一個是各方共用的公開金鑰,以供加密作業使用。擁有公開金鑰的所有使用者都可以傳送加密訊息,但只有第二個私密金鑰的持有者可以解密該訊息。
非對稱式加密的生產成本較昂貴,且解密所需的運算能力也大幅增加,因為公開加密金鑰通常較大,在 1,024 至 2,048 位元之間。因此,非對稱式加密通常不適合用於大型資料封包。
常見的加密演算法
對稱式加密的常見方法包括:
資料加密標準 (DES):1970 年代初開發的加密標準 (DES) 於 1977 年受到美國政府採用。DES 金鑰大小只有 56 位元,在當今的技術生態系統中已過時。不過,這對於現代密碼編譯的發展來說具有重大影響,因為密碼學家致力於改善該理論並建構更進階的加密系統。
三元 DES (3DES):更先進的 DES,採用了 DES 的加密區塊,並將這個加密區塊套用到其加密的各個資料區塊三次,方法是將其加密、解密,然後再次加密。這個方法會增加金鑰大小,因此難以蠻力攻擊解密。不過,3DES 仍被視為不安全,並從 2023 年開始,美國國家標準研究院 (NIST) 不再用於所有軟體應用程式。
進階加密標準 (AES):美國政府在 2001 年採用 AES,是目前最常用的加密方法。其設計原則為稱為「替代 - 排列網路」,它是 128 位元的區塊加密,可以有長度介於 128、192 或 256 位元的金鑰。
Twofish:會同時用於硬體和軟體中,視為最快的對稱式加密方法。Twofish 是免費的,但是沒有專利也不是開放原始碼。此外,它通常用於熱門的加密應用程式,例如 PGP (Pretty Good Privacy)。金鑰大小最高可達 256 位元。
非對稱式加密最常見的方法包括:
RSA:代表 Rivest-Shamir-Adelman,也就是來自 MIT 於 1977 年首次提出這個方法的三位研究人員。RSA 是非對稱式加密的原始形式之一。公開金鑰是由兩個質數的數值加上輔助值所建立。任何人都能使用 RSA 公開金鑰對資料進行加密,但只有知道質數的人才能解密資料。RSA 金鑰可能非常大 (一般為 2,048 或 4,096 位元),因此會被視為昂貴且速度緩慢。RSA 金鑰常用於加密對稱式加密的共用金鑰。
橢圓曲線密碼編譯 (ECC):非對稱式加密的進階形式,以有限場的橢圓曲線為基礎。這個方法可以為大量加密金鑰提供穩固的安全性,但佔用範圍更小、效率更高。舉例來說,256 位元橢圓曲線公開金鑰應可提供與 3,072 位元 RSA 公開金鑰同等的安全性。通常用於數位簽章,以及在對稱式加密中加密共用金鑰。
資料加密的重要性
不論是否有注意到,其實使用者每天都會遇到加密作業。加密機制可用於保護智慧型手機和個人電腦等裝置,以保護金融交易,例如進行銀行存款、向線上零售商購買商品,以及確保電子郵件和簡訊等私人訊息的安全性。
如果您發現網址開頭是「https://」(「s」代表「安全」),表示該網站使用的是傳輸加密。虛擬私人網路 (VPN) 會使用加密功能,確保資料在傳輸過程中受到私密保護,並避免遭人竊取。
資料加密程序相當重要,能夠保護使用者隱私,並保護資料免於攻擊者和其他網路安全威脅的侵擾。一般來說,在醫療照護、教育、財務、銀行和零售業等機構的法規中,加密作業是強制性措施。
加密機制實現以下四個重要功能:
- 機密性:保留資料密鑰的內容
- 完整性:驗證訊息或資料的來源
- 驗證:驗證訊息或資料內容在傳送後並未受到竄改
- 不可否認性:防止資料或訊息的傳送者否認其為來源
加密的優點
跨裝置保護資料
無論是朋友之間傳送訊息或金融交易,資料都持續移動。與其他安全性功能 (例如驗證) 搭配使用時,可協助確保資料在裝置或伺服器之間移動時安全無虞。
確保資料完整性
加密功能可防止未經授權的使用者查看資料明文,進而保護資料,防止惡意人士利用這些資料從事詐欺或勒索,或更改重要文件。
保護數位轉型
隨著越來越多機構和個人使用雲端儲存空間,加密機制在保護資料方面也扮演重要角色,且保護範圍涵蓋傳輸至雲端的過程、在伺服器中的靜態資料,以及由工作負載處理中的資料。Google 提供不同層級的加密機制和金鑰管理服務。
協助達成法規遵循要求
許多資料隱私權和安全性法規要求進行高強度加密。涵蓋範圍包括健康保險流通與責任法案 (HIPAA) 的醫療照護資料、支付卡產業資料安全標準 (PCI DSS) 的信用卡與簽帳金融卡交易、一般資料保護規則 (GDPR),以及公平信用實務法 (FCPA) 的零售交易資料。
加密技術的缺點
勒索軟體
雖然加密機制通常用於保護資料,但惡意人士有時可能會用來脅持資料。如果機構遭到入侵且相關資料受到非法存取,執行者就能對資料進行加密,並用來勒索機構付款再釋出資料。
金鑰管理
如果加密和解密資料的加密編譯金鑰不安全,加密機制的效率就較低。惡意攻擊者通常會著重於獲取機構的加密金鑰。除了惡意人士之外,遺失加密金鑰 (例如在侵襲伺服器所在位置的天災期間) 也可能會讓機構無法存取重要資料。因此,機構經常使用安全金鑰管理系統來管理及保護金鑰。
量子運算
量子運算對現代加密技術形成重大威脅。量子運算技術成熟後,就能在短短的時間內在一般電腦上處理大量資料。因此量子運算可能會破壞現有的加密機制。日後,所有機構都必須使用量子加密技術來調整加密技術。目前量子運算的運算能力相對有限,尚未準備好突破現代加密標準。但 NIST 已宣布支援四項新的「量子抗阻」演算法,旨在抵禦量子電腦攻擊。