从最基本的层面来讲,加密是一种保护信息或数据的过程,通过使用数学模型对数据进行加扰,确保只有拥有相应密钥来解扰数据的各方才能访问数据。这个过程可能很简单,也可能非常复杂,数学家和计算机科学家已经发明了特定形式的加密,用于保护消费者和企业每天依赖的信息和数据。
加密的工作原理是将“明文”编码为“密文”,通常通过使用被称为算法的密码学数学模型来实现。如需将数据解码回明文,需要使用解密密钥,也就是由某种算法创建的一串数字或密码。安全的加密方法会有大量的加密密钥,因此未经授权的人员既无法猜出正确的密钥,也无法使用计算机通过尝试每个可能的组合(称为暴力破解)轻松计算出正确的字符串。
一个早期的简单加密例子是凯撒密码,以罗马皇帝朱利叶斯·凯撒的名字命名,因为他在自己的私人通信中使用了这个密码。该方法是一种代换密码,其中,每个字母都会被替换为字母表中位于该字母之后且有固定间隔的另一个字母。如需解密经过编码的文本,接收者需要知道加密的密钥,例如在字母表中向下移动四个位置并向左移动(“左移四个位置”)。这样,每个“E”都会变成“Y”,依此类推。
现代加密要复杂得多,使用的是数百个(有时甚至数千个)计算机生成的字符串作为解密密钥。
对称加密(也称为共享密钥或私钥算法)使用相同的密钥来进行加密和解密。对称密钥加密的生成成本较低,加密和解密不需要太多的计算能力,这意味着解码数据的延迟时间较短。
但缺点是,如果未经授权的人员拿到密钥,就能够解密双方之间的消息和数据。因此,需要使用不同的加密密钥对共享密钥的传输进行加密,从而导致依赖循环。
非对称加密(也称为公钥加密)使用两个单独的密钥来加密和解密数据。其中一个是各方共享的用于加密的公钥。这样,拥有公钥的任何人都可以发送加密消息,但只有拥有第二个密钥(即私钥)的人才能解密消息。
非对称加密的生成成本较高,且需要更多的计算能力来解密,因为加密公钥通常很大,在 1,024 到 2,048 位之间。因此,非对称加密通常不适用于大数据包。
数据加密标准 (DES):DES 是 20 世纪 70 年代初制定的加密标准,在 1977 年被美国政府采用。DES 密钥的大小只有 56 位,在当今的技术生态系统中已经过时了。话虽如此,它对现代密码学的发展还是产生了重要的影响,密码学家们正是在它的理论基础上不断完善并建立更先进的加密系统。
三重 DES (3DES):下一代 DES 将 DES 的加密块应用于它加密的每个数据块三次,对数据进行加密、解密,然后再重新加密。这种方法增加了密钥的大小,使得用暴力破解进行解密变得更加困难。不过,3DES 仍然被认为是不安全的,从 2023 年开始,美国国家标准协会 (NIST) 已针对所有软件应用弃用 3DES。
高级加密标准 (AES):AES 是当前最广泛使用的加密方法,在 2001 年被美国政府采用。它是根据一种称为“替换置换网络”的原理设计的,采用 128 位块加密模式,密钥的长度可以是 128 位、192 位或 256 位。
Twofish:Twofish 在硬件和软件中都可以使用,被认为是最快的对称加密方法。Twofish 虽然可以免费使用,但它既没有获得专利,也没有开源。不过,它被用在一些热门加密应用中,例如 PGP (Pretty Good Privacy)。密钥大小上限为 256 位。
最常见的非对称加密方法包括:
RSA:代表 Rivest-Shamir-Adelman,他们是麻省理工学院的三位研究人员,在 1977 年首次描述了该方法。RSA 是非对称加密的原始形式之一。公钥由两个质数的因式分解加上一个辅助值构建而成。任何人都可以使用 RSA 公钥来加密数据,但只有知道这两个质数的人才能解密数据。RSA 密钥可能非常大,通常为 2,048 位或 4,096 位,因此被认为是开销大且速度慢。RSA 密钥通常用于加密对称加密的共享密钥。
椭圆曲线加密 (ECC):基于有限域上椭圆曲线的一种高级形式的非对称加密。该方法可为大量加密密钥提供强大的安全性,且占用空间更小、更高效。例如,“256 位椭圆曲线公钥应提供与 3,072 位 RSA 公钥相当的安全性”。通常用于数字签名以及对称加密中的共享密钥加密。
人们每天都会接触到加密,无论他们是否意识到这一点。加密技术被用于保护智能手机和个人电脑等设备的安全,保障银行存款和网上购物等金融交易的安全,并确保电子邮件和短信等信息的隐私。
如果您发现某个网站的地址以“https://”(“s”表示“secure”,即安全的意思)开头,就表示该网站正在使用传输加密。虚拟专用网 (VPN) 使用加密技术来确保与设备之间的数据传输不被窥探。
数据加密非常重要,因为它有助于保护人们的隐私,并保护数据免受攻击者和其他网络安全威胁的侵害。在医疗保健、教育、金融和银行以及零售等行业,从组织的监管角度来看,加密通常是强制性的。
加密有以下四个重要功能:
数据在不断地移动,无论是朋友之间的消息还是金融交易。可以将加密与身份验证等其他安全功能相结合,这有助于确保数据在设备或服务器之间传输时安全无虞。
除了防止未经授权的人员查看数据的明文外,加密还可以保护数据安全,使恶意方无法使用相关信息进行欺诈或勒索,或更改重要文件。
许多数据隐私权和安全法规要求采取强大的加密措施。这包括健康保险流通与责任法案 (HIPAA) 中涉及的医疗保健数据、支付卡行业数据安全标准 (PCI DSS) 中涉及的信用卡和借记卡交易数据、一般数据保护条例 (GDPR) 中涉及的数据以及公平信贷实践法案 (FCPA) 中涉及的零售交易数据。
虽然加密通常用于保护数据,但恶意方有时可以利用加密来劫持数据。如果一个组织被入侵,数据被访问,恶意方可以对数据进行加密并设定赎金,直到该组织支付释放数据的费用。
如果用于加密和解密数据的加密密钥不安全,则加密效率会低很多。恶意方通常会采取集中攻击来获取组织的加密密钥。除了恶意方之外,丢失加密密钥(例如在发生危及服务器的自然灾害期间)可能也会导致组织无法访问重要数据。因此,组织通常会使用一个安全的密钥管理系统来管理和保护其密钥。
量子计算对现代加密技术构成了生存威胁。量子计算技术一旦成熟,将能够以比普通计算机快得多的速度处理大量数据。因此,量子计算有可能会打破现有的加密格局。在未来,所有组织都必须采用量子加密方法来调整加密技术。目前,量子计算发展相对有限,暂时还不会打破现代加密标准格局。不过,NIST 已宣布支持 4 种新的“抗量子”算法,这些算法旨在抵御量子计算机攻击。