Napi rendszerességgel használunk olyan termékeket és szolgáltatásokat, amelyeknél a biztonságra valamilyen kriptográfiai megoldás ügyel – megmutatjuk a legfontosabb tudnivalókat és azt is, hogy miért fontos a titkosítás.
A kriptográfia egy olyan tudományág, amely az információk elrejtésével, titkosításával és a titkosított információk dekódolásával, visszafejtésével foglalkozik, célja azt biztosítani, hogy adatcsere során az információkhoz csak az arra jogosultak férhessenek hozzá.
A kriptográfia szó (ó)görög eredetű: kripto = rejtett, gráfia = írás. Már az ókorból, az időszámításunk előtti 4. évezredből is lehet példákat felhozni a rejtjelezésre (egyiptomi hieroglif írás). A történelem során a kriptográfia és a hadviselés útjai többször is keresztezték egymást, a leghíresebb eszköz e tekintetben a németek által az első világháború végén kifejlesztett Enigma volt (amely valójában egyébként nem is egyetlen gép, hanem egy egész termékcsalád volt), amelyet a második világháború során több ország is használt. A vele kódolt üzenteket feltörhetetlennek tartották, de később kiderült, hogy több tudóscsoportnak is sikerült visszafejtenie a gépek által használt titkosítást.
A 19. század elejéig a kriptográfiát a nyelvtudományok közé sorolták, ezt követően viszont, a módszerek fejlődésének hatására átsorolták a matematika területére. Egyesek szerint ma is ide tartozik, de a szakértők többsége egyetért abban, hogy érdemes inkább önálló tudományágként tekinteni rá. Már csak azért is, mert a kriptográfia eredeti célja mellé a digitális világban több új feladatot is kapott.
Fontos még tisztázni, hogy a kriptográfia és a titkosítás fogalmak nem azonosak, előbbi a tudományágat, a módszertant jelöli, utóbbi pedig magát a folyamatot.
Kriptográfia a digitális világban
A kriptográfia szerepe a digitális világban nemcsak a kommunikáció során továbbított adatok védelmére korlátozódik, hanem kiterjed a tárolt információk védelmére, valamint hitelesítési feladatokra is. A vele nyújtott szolgáltatások észrevétlenül szavatolják a biztonságot: a színfalak mögött a különféle titkosítási megoldások szinte minden olyan eszközben megtalálhatók, amelyek bármilyen módon adatot cserélnek egymással. És a mindent tényleg szó szerint kell érteni:
- böngészők
- chat programok
- e-mail kliensek
- SIM-kártyák
- elektronikus autókulcsok
- jelszavak, passkey
- digitális aláírás
- digitális tanúsítványok
- adattárolás
- felhő alapú adattárolás
- TPM chip
- DVD- és Blu-ray lejátszók
- BitCoin és más kriptopénzek
- bankkártya tranzakciók
- banki tranzakciók
- digitális pénztárácák
- fizetés mobillal
- online vásárlás
és a sort még nagyon hosszan sorolhatnánk.
A kriptográfiai módszerek – nagyon leegyszerűsítve – úgy működnek, hogy egy algoritmus a titkosítatlan információt a kulcs és matematikai művelet(ek) segítségével „olvashatatlanná” alakítja. A kódolt adathalmazt – a jelszó birtokában – csak az arra jogosultak tudják visszafejteni. A kriptográfiai megoldások alapvetően két csoportba oszthatók attól függően, hogy titkos vagy nyilvános kulcsot használnak, de van egy harmadik, kulcsnélküli kategória is.
A titkos kulcsot használó kategóriát szokás szimmetrikus kriptográfiának is nevezni; olyan metódusok tartoznak ide, amelyeknél a titkosításhoz és a visszafejtéshez is ugyanazt a kulcsot kell használni. A kulcs titkos, a felek közös érdeke, hogy azt ne is adják ki senkinek; az elsődleges cél pedig az illetéktelen hozzáférés megakadályozása. A titkos kulccsal működő algoritmusok közül a legismertebb az AES, amelynek 256 bites verziója (AES-256) a gyakorlatban feltörhetetlen (elméletben ugyan feltörhető, de a folyamat a számítógépek jelenlegi teljesítményével is millió évig tartana). Használják fájlok titkosításához, WiFi hálózat védelméhez (WPA2/3), az internetes forgalom titkosításához részben (SSL/TLS) stb.
Ezzel szemben a nyilvános kulcsú kriptográfia (aszimmetrikus kriptográfia) egy kulcspárral dolgozik, amelynek tagjai matematikai kapcsolatban állnak egymással. A két kulcs közül az egyik titkos, a másik nyilvános – a kódoláshoz az egyik, a dekódoláshoz pedig a másik kulcsot kell használni. Ezeknek a módszereknek a célja alapvetően nem a hozzáférés korlátozása, hanem az, hogy lehetővé tegyék az információk valódiságának ellenőrzését. A digitális aláírásnál és tanúsítványoknál például nyilvános kulcsú titkosítást használnak (jellemzően az RSA-t és az ECC-t), de az internetes forgalomnál használatos SSL/TLS is részben ilyen titkosítást használ.
A szimmetrikus titkosítási algoritmusok jellemzően kevés erőforrást igényelnek, ezért ideálisak nagy mennyiségű adat esetén. Az aszimmetrikus algoritmusok ezzel szemben több erőforrást használnak, így főleg kis mennyiségű információ esetén használják őket. A gyakorlatban rengetegszer előfordul, hogy egy-egy titkosítási megoldás során a kétféle kategóriába tartozó algoritmusokat egymás mellett használják. Az internetes forgalom titkosításához használatos SSL/TLS például aszimmetrikus titkosítást használ a kapcsolat felépítésének első szakaszában, a tényleges adatforgalom viszont már szimmetrikus algoritmussal védett.
A kriptográfia harmadik területe a hash, amely az adatok valódiságát szavatolja. A hash maga egy fix hosszúságú rövid (legfeljebb 512 karakteres), az eredeti információtartalomból előállított kódsor. Használják például az internetről letölthető fájlok esetén arra, hogy azok valódiságát a letöltők egyszerűen ellenőrizhessék (sérülés vagy szándékos, rosszindulatú változtatások szűrhetők ki vele például).
A kriptográfia céljai
- Hozzáférés korlátozása. Ezt aligha kell túlmagyarázni; az egyik cél az, hogy az információkhoz csak azok férhessenek hozzá, akik arra jogosultak – legyen szó chatprogramban elküldött üzenetről, notebookon tárolt adatokról, WiFi-hálózat használatáról stb.
- Hitelesítés. A küldő (adott esetben a fogadó) fél egyértelmű azonosítása, adott esetben a küldési időpont (időbélyegző) tárolása.
- Integritás. A kriptográfia feladata a információ valódiságának garantálása, vagyis egyértelműen bizonyítani azt, hogy az adat a küldés és fogadás időpontja között nem sérült és nem is módosították.
- Letagadhatatlanság. A negyedik cél a digitális aláírásoknál és tanúsítványoknál fontos, azt jelenti, hogy a digitális aláírással ellátott dokumentumoknál a küldő fél annak akarata ellenére is azonosítható – azaz a küldő fél nem tagadhatja le azt, hogy az adott dokumentum tőle származik.
Feladatok és alkalmazási területek
A kriptográfiára támaszkodó megoldások a fenti négy cél közül nem kell, hogy mindet egyszerre biztosítsák. Az alapvető feladatok közé sorolhatjuk – például – az alábbiakat:
– titkosítás és visszafejtés (hozzáférés korlátozása)
– jogosultság ellenőrzése (hitelesítés)
– hozzáférés szabályozása (hozzáférés korlátozása + hitelesítés)
– digitális aláírás (hitelesítés + integritás + letagadhatatlanság)
– időpecsét (hitelesítés + letagadhatatlanság)
– hitelesítés (hitelesítés)
– tanúsítvány (hitelesítés)
A felhasználási területek közül pedig a cikk elején jó néhányat felsoroltunk, köztük rengeteg olyat is, amivel egy átlagos hétköznap során találkozunk, sokszor úgy, hogy tudomást sem veszünk róluk.
Digitális aláírás vagy tanúsítvány?
A digitális aláírás egy olyan elektronikus azonosító, amely egyértelműen és letagadhatatlanul összekapcsolja a dokumentumot és az aláíró személyt, azonosítja az aláíró személyt, valamint garantálja, hogy az információ az aláírást követően nem sérült (vagy nem módosították).
A digitális tanúsítvány egy olyan adat, amely egy adott webhely, szolgáltatás vagy személy valódiságát igazolja, vagyis azt, hogy az adott webhely, szolgáltatást vagy személy tényleg az, akinek mondja magát. A digitális tanúsítványokat tanúsítványkezelők adják ki, és ezek a központok végzik a kiállítást követően a hitelesítést is. A digitális tanúsítvány aszimmetrikus titkosítást használ, maga a tanúsítványt pedig a nyilvános kulcsot (is) tartalmazza.
A két technológia úgy kapcsolódik egymáshoz, hogy a digitális aláírás során az aláíró személyét digitális tanúsítvány igazolja.
Mit kell tudni a kriptográfiáról és a titkosításról átlagos felhasználóként?
Ennyi információt követően jogosan merülhet fel a kérdés, hogy egy átlagos felhasználó számára mennyire fontos a kriptográfia rejtelmeinek ismerete. Arra nyilván semmi szükség, hogy valaki részletekbe menően fújja, hogy milyen titkosítási szabványok léteznek, azok hány bitesek, és így tovább. Azzal viszont nemcsak illik, hanem kötelező tisztában lenni, hogy a titkosítás a legjobb módszer a bizalmas információk védelmére, legyen szó akár azok továbbításáról, akár tárolásáról.
- Legyen benne a fejünkben, hogy bármilyen személyes információ cseréje csak akkor biztonságos (csak akkor garantált, hogy illetéktelenen nem férnek hozzá az adatokhoz), ha az titkosított, és ugyanez vonatkozik a különféle adathordozón tárolt adatokra is.
- Tisztában kell lennünk azzal, hogyan lehet megnézni az eszközök, illetve szolgáltatások esetében azt, hogy az adatok titkosított kapcsolaton keresztül vándorolnak-e; a böngészőben például a címsorban lakat (vagy valamilyen más ikon) jelzi, hogy a kapcsolat https, azaz biztonságos, a chatprogramoknál is hasonló a helyzet, a Windowsban pedig a Gépház mutatja meg, hogy az adattároló titkosított-e vagy sem.
- Ismernünk kell azt is, hogy az adott terméknél vagy szolgáltatásnál hogyan kell bekapcsolni a titkosítást, ha az nem aktív. Új eszköz beüzemelése vagy új szolgáltatás használatakor az elsők között tegyük ezt meg!
- Online szolgáltatásnál érdemes a Google segítségével megnézni, hogy az érintett cégnek voltak-e korábban adatszivárgási botrányai. Noha az Európai Unióban elvileg előírás, hogy a szolgáltatás üzemeltetőjének a személyes adatokat a tőle elvárható gondossággal kell védenie a hackerek ellen, sajnos így is rengeteg olyan estre derül fény, amikor egyik vagy másik cég a jelszavakat, személyes adatokat mindenféle titkosítás nélkül, egyszerű szövegként tárolja: a LastPass jelszókezelőtől például már többször sikerült adatot lopnia hackereknek.
- A titkosítást nem elég bekapcsolni, azzal is tisztában kell lennünk, hogy mire terjed ki a hatásköre. Az iOS és az Android például alapból titkosítja a telefon belső tárhelyét, így a rajta tárolt dokumentumokat és fotókat a mobil feloldása nélkül nem lehet megnézni – viszont, ha egy androidos telefonba memóriakártyát teszünk, annak tartalma alapesetben már nem titkosított, kivéve azt a telefonból, minden rajta lévő adat olvasható. Ugyanez a helyzet a Windowszal is: ha a PC támogatja, akkor a Windows 10 és 11 titkosítja a rendszermeghajtót, de ettől még más meghajtók, főleg külső adattárolók esetében, a titkosítást külön kell bekapcsolni, ha szeretnénk.
- A hordozható eszközök esetében különösen fontos a titkosítás bekapcsolása, hiszen egy telefont, notebookot vagy külső adattárolót el lehet veszíteni, vagy el is lophatják azokat – ilyenkor a titkosítás garantálja, hogy legalább a rajta lévő adatokhoz, ami lehet családi fotó, céges dokumentum stb., nem fér hozzá senki illetéktelenül.
- Fontos tudni még, hogy a jelszó és a titkosítás nem azonosak. Attól még, hogy a notebookot csak jelszóval lehet bekapcsolni, nem biztos, hogy a rajta lévő adatok titkosítottak. A különbséget megérthetjük az alábbi példával: ha egy notebookot jelszó véd, de az adattárolón lévő információk nem titkosítottak, akkor az információk könnyen hozzáférhetők maradnak, elég csak kiszerelni az adattárolót a számítógépből, és beépíteni egy másiba. Ha viszont az adatok is titkosítottak, a fájlok még akkor sem láthatók, ha az adathordozó másik PC-be kerül.
Kriptográfia a mindennapokban
Átlagos felhasználóként rengeteg olyan terméket és szolgáltatást használunk, amely a kriptográfiára is épít. Reggel, amikor felkelünk, szinte biztosan a telefonhoz nyúlunk először. A mobil adattárolója eleve titkosított, de ha megnyitunk egy weboldalt, azt titkosított kapcsolaton tesszük, az elektronikus levelek is titkosítva jutnak el a telefonra, ha pedig váltunk néhány üzenetet a barátainkkal vagy a munkatársakkal, akkor jó eséllyel ezt is titkosított csatornán keresztül tesszük.
De hogyan jut el az adat a telefonra? Ha a WiFi-t használjuk, akkor vezeték nélkül – természetesen titkosítva. Nem WiFi-t, hanem mobilnetet használunk? Nos, ebben az esetben a telefonszámunkat azonosító SIM-kártyán lévő adatokat éppen úgy kriptográfia védi, mint a mobilhálózaton zajló teljes adatcserét. Titkosítás titkosítás hátán – és még ki sem keltünk az ágyból! Amikor ezt végre megtesszük, a nappaliban kellemes hőmérséklet fogad, és nap is besüt az ablakon – persze, mert az okosotthon központ feljebb vette a termosztát hőmérsékletét, a redőnyt pedig felhúzta. Az okosotthon hub és a feladatot végző apró kütyük sem csakúgy, a vakvilágba kommunikálnak; egyedi kulcs/token és az arra épülő titkosítás jelenti a garanciát arra, hogy a vicces kedvű szomszédok nem tudnak belepiszkálni a rendszerbe! Amikor elindulunk a munkahelyre, az autóban a kulcsnélküli nyitás és kulcsnélküli indítás szintén használ kriptográfiai megoldást, ha pedig a tömegközlekedést választjuk, akkor az automatában megvásárolt jegy fizetésekor a bankkártya tranzakcióra (és a pénzünkre) is titkosítás vigyáz. Ja, hogy modernek vagyunk és mobiljegyet használunk? A titkosítás ebben az érvényesítésekor is szerepet kap, hiszen az érvényesítés időpontját is védi, hitelesíti (időbélyegző). A munkahelyi teendők esetén a kriptográfia szintén lépten-nyomon jelen van, ha elektronikus eszköz is van egy folyamatban, akkor ez a fajta védelem elkerülhetetlen. Átlagos felhasználóként főleg a weboldalak meglátogatása és az elektronikus levelezés az, amit rendszeresen használunk. Ugorjunk kicsit előre, egészen addig, hogy már haza is érkeztünk a munkából, és a pihenésé a főszerep. Leülünk a tévé elé és megnézzük a híreket? Még a tévéadás is titkosított kapcsolaton keresztül jut el a beltéri egységhez! Ha pedig beteszünk egy Blu-ray lemezt, azon az egy szem HDMI kábelen, amely összeköti a lejátszót és a tévét, azon is titkosítással védve vándorolnak az adatok. Ha tévézés helyett inkább a nyaralást tervezzük meg, és eljutunk oda, hogy jegyeket, szállást foglaljunk, akkor természetesen az online vásárlás során is valamilyen kriptográfiai trükk őrködik afelett, hogy a bizalmas információkat rajtunk, a foglalást végző weboldalon és a bankon kívül más ne tudja meglesni, netán ellopni. Azt említettük már, hogy a legtöbb foglalási oldalon be is kell jelentkezni? Ha az üzemeltető gondosan jár el, akkor a belépési adatokat és a személyes információkat is titkosított formában tárolja!
