Public Key Cryptography käyttää matematiikkaa kahden avaimen luomiseen: julkinen avain viestien salaamiseen ja Private Key niiden salauksen purkamiseen.
Näin varmistetaan, että vain tarkoitettu vastaanottaja voi lukea viestin. Tärkeimmät käytetyt algoritmit ovat RSA, DSA ja ECC, joilla kullakin on omat etunsa suorituskyvyn, nopeuden ja turvallisuuden suhteen.
RSA on vanhin ja tunnettu vahvuudestaan. ECC tarjoaa paremman tietoturvan pienemmillä avaimilla, joten se soveltuu laitteisiin, joissa on rajallinen laskentateho. DSA, jota Yhdysvaltain liittovaltion hallitus tukee, on tehokas viestien allekirjoittamiseen ja todentamiseen. Nämä salausmenetelmät tukevat digitaalisia Certificate-varmenteita turvallista verkkoselaamista ja muita digitaalisen identiteetin käyttötarkoituksia varten. Kvanttilaskennan kehittyessä kehitetään uusia post-kvanttialgoritmeja turvallisuuden ylläpitämiseksi tulevaisuudessa.
RSA, DSA ja ECC ovat tärkeimmät salausalgoritmit, joilla luodaan avaimia Public Key Infrastructure -järjestelmässä (PKI). PKI auttaa hallitsemaan identiteettiä ja tietoturvaa verkkoviestinnässä ja -verkoissa. PKI:n perustana oleva keskeinen tekniikka on julkisen avaimen salaus, jossa käytetään kahta toisiinsa liittyvää avainta: julkista avainta ja Private Key -avainta.
Nämä avaimet toimivat yhdessä viestien salaamisessa ja purkamisessa. Tätä menetelmää kutsutaan epäsymmetriseksi salaukseksi. Se eroaa symmetrisestä salauksesta, jossa käytetään yhtä avainta molempiin prosesseihin.
Epäsymmetrisen salauksen etuna on, että Public Key voidaan jakaa avoimesti, kun taas Private Key pysyy turvassa käyttäjän laitteessa. Tämä asetus tarjoaa paremman turvallisuuden symmetriseen salaukseen verrattuna.
Miten Public Key Cryptography perustuu salaukseen?
Public Key Cryptography käyttää matemaattisia algoritmeja avainten luomiseen. Public Key on sarja satunnaislukuja, joita käytetään viestien salaamiseen. Vain se henkilö, jolle viesti on tarkoitettu, voi avata ja lukea sen käyttämällä Private Key -avainta, joka pysyy salassa ja on vain hänen tiedossaan.
Public Keys tehdään monimutkaisilla algoritmeilla, jotka yhdistävät ne Private Keysiin, jotta estetään raa'an voiman hyökkäykset. Public Key -koko, joka mitataan bitteinä, vaikuttaa sen turvallisuuteen. Esimerkiksi 2048-bittisiä RSA-avaimia käytetään yleisesti SSL Certificates, digitaalisissa allekirjoituksissa ja erilaisissa digitaalisissa varmenteissa. Tämä avainkoko tarjoaa riittävän suojan hakkerien estämiseksi. Organisaatiot, kuten CA/Browser Forum, asettavat vähimmäisstandardit avainkoolle.
Public Key Infrastructure (PKI) mahdollistaa digitaaliset Certificate of Authority -varmenteet, joihin törmäämme usein verkkosivustojen, mobiilisovellusten, verkkodokumenttien ja verkkoon liitettyjen laitteiden käytön yhteydessä. Yksi PKI:n tunnettu sovellus on X.509-pohjainen Transport Layer Security (TLS) ja Secure Sockets Layer (SSL), jotka muodostavat turvallisen verkkoselailun HTTPS-protokollan perustan.
Digitaalisia varmenteita käytetään myös sovelluskoodin allekirjoittamiseen, digitaalisiin allekirjoituksiin ja muihin digitaalisen identiteetin ja turvallisuuden osa-alueisiin.
RSA - DSA - ECC-algoritmit
Public Key Infrastructure (PKI) -järjestelmässä käytetään kolmea pääalgoritmia avainten tuottamiseen: Rivest-Shamir-Adleman (RSA), digitaalinen allekirjoitusalgoritmi (DSA) ja Elliptic Curve Cryptography (ECC).
Ron Rivestin, Adi Shamirin ja Leonard Adlemanin vuonna 1977 luoma RSA-algoritmi perustuu suurten alkulukujen jakamisen vaikeuteen. Se oli ensimmäinen, joka toteutti Public Key / Private Key -järjestelmän. RSA:n yleinen avaimen pituus on nykyään 2048 bittiä.
ECC perustuu elliptisten käyrien matematiikkaan, ja se tarjoaa samanlaisen turvallisuuden kuin RSA ja DSA, mutta lyhyemmillä avaimilla. Se on kolmesta algoritmista uusin. Elliptisten käyrien digitaalinen allekirjoitusalgoritmi (ECDSA) tunnustettiin vuonna 1999, ja vuonna 2001 sitä seurasi Key Agreement and Key Transport Using Elliptic Curve Cryptography. ECC on FIPS:n sertifioima ja kansallisen turvallisuusviraston (NSA) tukema.
DSA käyttää Public Key - ja Private Key -avainten tuottamiseen erilaista menetelmää kuin RSA, ja se perustuu modulaariseen eksponenttiarvoon ja diskreettiin logaritmiongelmaan. Se tarjoaa RSA:n kaltaisen turvallisuustason samankokoisilla avaimilla. National Institute of Standards and Technology (NIST) esitteli DSA:n vuonna 1991, ja siitä tuli virallinen standardi vuonna 1993.
Useita salausalgoritmeja voidaan käyttää yhdessä. Esimerkiksi Apache-palvelimet voivat hallita sekä RSA- että DSA-avaimia. Tämä lähestymistapa parantaa turvallisuutta.
ECC-salauksen vahvuuden vertailu
ECC:n ja RSA:n / DSA:n tärkein ero on se, että ECC tarjoaa vahvemman turvallisuuden samalla avaimen pituudella. ECC-avain on turvallisempi kuin samankokoinen RSA- tai DSA-avain.
| Symmetrisen avaimen koko (bittiä) | RSA-avaimen koko (bittiä) | ECC-avaimen koko (bittiä) |
| 80 | 1024 | 160 |
| 112 | 2048 | 224 |
| 128 | 3072 | 256 |
| 192 | 7680 | 384 |
| 256 | 15360 | 521 |
ECC:n avulla voidaan saavuttaa samanlainen kryptografinen vahvuus paljon pienemmillä avainkokoluokilla (noin kymmenen kertaa pienemmillä). Esimerkiksi 112-bittisen symmetrisen avaimen kryptografisen tehon saavuttamiseksi tarvitaan 2048-bittinen RSA-avain, kun taas ECC-avaimeksi riittää 224-bittinen avain.
Nämä lyhyemmät avaimet vaativat vähemmän prosessointitehoa tietojen salaamiseen ja purkamiseen. Tämän vuoksi ECC on ihanteellinen mobiililaitteisiin, esineiden internetiin ja muihin sovelluksiin, joissa on rajalliset laskentakapasiteetit.
Miksi ECC:tä ei ole käytetty laajalti?
RSA on suosituin salausmenetelmä, mutta ECC on tulossa yhä tunnetummaksi. RSA:lla on etulyöntiasema, koska se on ollut käytössä pidempään. On kuitenkin olemassa syitä, joiden vuoksi jotkut saattavat välttää ECC:tä :
- Oppimiskäyrä : ECC:tä on vaikeampi ymmärtää ja omaksua kuin RSA:ta. Tämä monimutkaisuus voi johtaa virheisiin, jotka voivat vahingoittaa kyberturvallisuutta.
- Turvallisuusriskit : ECC:hen kohdistuu sivukanavahyökkäyksiä, jotka voivat avata oven raa'an voiman yrityksille. Se on myös altis twist-turvahyökkäyksille, vaikka niitä vastaan on olemassa keinoja suojautua.
Kvanttilaskenta
Kvanttilaskenta tulee muuttamaan salausmenetelmiä merkittävästi. RSA:n ja ECC:n kaltaiset perinteiset algoritmit tulevat olemaan haavoittuvia kvanttitietokonehyökkäyksille, minkä vuoksi organisaatioiden on välttämätöntä siirtyä uusiin salaustekniikoihin. Onneksi useita uusia algoritmeja on jo kehitteillä.
NIST on arvioinut nykyisiä kvanttien jälkeisiä salausalgoritmeja ja valinnut neljä tehokasta vaihtoehtoa: ML-KEM, CRYSTALS-Dilithium, SPHINCS+ ja FALCON. Organisaatioiden on tärkeää pysyä ajan tasalla näistä edistysaskelista ja uusista standardeista.
