Ez a bejegyzés egy hosszabbra tervezett, kriptográfiai témájú sorozat első darabja. A bejegyzésekben nem bocsátkozom komoly elméleti fejtegetésekbe – csak a privátszféra védelme iránt érdeklődő laikus vagy szakmabeli számára potenciálisan érdekes dolgokat szeretném kifejteni.
Mi is egyáltalán a kriptográfia? Röviden és velősen megfogalmazva az információ elrejtésének, titkosításának, rejtjelezésének tudománya. (Egyes „iskolák” ide sorolják a kriptanalízist is, mely diszciplína a titkosított formában létező információ olvashatóvá tételével, visszafejtésével foglalkozik.) A kriptográfia alkalmazásának lényege, hogy a titkosított információ, kerüljön bár illetéktelen kezekbe, használhatatlan legyen mindenki számára, aki nem ismeri a visszafejtéshez szükséges paramétereket – ez utóbbiakról egy későbbi bejegyzésben lesz szó. Nem nehéz felismerni, hogy a titkosítás a privátszféra védelmének egyes területein alappillérnek számít – hiszen mi lenne az átlagember számára a kriptográfia alkalmazásának motivációja, ha nem az, hogy mások elől elrejtsen bizonyos érzékeny természetű információkat? Ebben a blogbejegyzésben a titkosítás egyes PET-es alkalmazásairól lesz szó. A későbbi részekben pedig igyekszem a lehető legkevesebb matematikai „töltelékkel” bemutatni az ezekben a megvalósításokban használt algoritmusokat, módszereket.
A kriptográfia eredményeit nap mint nap használjuk – amikor bejelentkezünk a számítógépünkre, amikor bankkártyával vásárolunk, amikor kábelmodemmel internetezünk, de még akkor is, amikor kedvenc gyári DVD-nket lejátsszuk. PET szempontból azonban sokkal érdekesebb a fájlrendszerek illetve a hálózati forgalom titkosítása (habár a felsoroltak közül többnek vannak, illetve lehetnek inherens PET-es vonatkozásai).
A fájlrendszer rejtjelezésének lényege, hogy a számítógép valamely háttértárán levő adatokat ne olvashassa el illetéktelen. A titkosítás szokásosan háromféle egységen történhet: az egész merevlemezen, a partíción illetve egy-egy fájlon. Az utóbbi megvalósításra példa a Windows XP-be épített titkosítás, melyet NTFS állományrendszeren használhatunk, illetve Linuxon az EncFS nevű „álfájlrendszer”. Egész merevlemezre alkalmazott titkosításra hardveres megvalósításokat is találunk – ilyen például a CoolDrives által gyártott Encrypted Hard Drive Enclosure. A hardveres rejtjelezés talán leheletnyivel elegánsabb megoldás, mivel a központi processzornak nem kell a titkosítással is törődnie, ellenben viszonylag mélyen a zsebünkbe kell nyúlnunk, ha egy ilyen eszközt akarunk beszerezni...
A hálózati forgalom rejtjelezésekor az adatátviteli közegen illetve csomópontokon átvitt bitsorozatot titkosítjuk. A titkosítás az ún. OSI-rétegek egyikében (vagy akár többen) történhet. Egészen elemi szintű adategységeken, az ún. adatkapcsolati rétegben (data link layer) rejtjelez a kábelmodem illetve a WLAN (Wireless Local Area Network, vezeték nélküli helyi hálózat), míg magasabb szinten, tipikusan a szállítási rétegben (transport layer) történik a rejtjelezés, amikor bankunknak adunk megbízásokat az Interneten. PET-szempontból a legérdekesebb talán a fizetős virutális magánhálózat (VPN, Virtual Private Network) megvalósítások egyike, mint például a StrongVPN, illetve az anonimizáló átjátszóállomások hálózata, mint amilyen a Tor (The Onion Routing, „a vöröshagyma-útválasztás” ).
Az ún. hozzáférési VPN úgy működik, hogy bejelentkezünk egy biztonsági átjáróra (security gateway), és titkosított csatornát építünk ki vele. Ezzel a megoldással elérhetjük, hogy a „drótunkon” hallgatózók ne tudják megmondani se azt, hogy milyen adatot forgalmazunk, se azt, hogy kinek (csak az látszik, hogy „bináris szemét” megy számítógépünk és a biztonsági átjáró közt). Ráadásul a szerver, akihez kapcsolódunk, szintén nem fogja tudni, hogy milyen IP-címről jött eredetileg az adat, hanem csak azt, hogy a biztonsági átjáró küldte neki tovább. (Két megjegyzés a szakmabeli érdeklődőknek. Egyrészt a biztonsági átjáró és a szerver közt nincs titkos kapcsolat, tehát azon a szakaszon lehallgatható a magasabb rétegben nem rejtjelezett forgalom – ennek azonban nagyságrendekkel kisebb a valószínűsége, mint hogy pl. egy vezeték nélküli hotspotnál „szivárogtassunk” titkos adatot. Másrészt forgalomelemzési technikákkal esetleg lehetségessé válhat anonimitásunk megsértése egy harmadik fél számára, aki a biztonsági átjáró mindkét „oldalán” figyeli a forgalmat – ez sem tartozik azonban a könnyen kivitelezhető támadások közé, bár védekezni is nehezebb ellene.)
A Tor célját (anonimitás, titkosítás) tekintve hasonló az anonimizáló VPN-hez, megvalósításban viszont gyökeresen különbözik tőle. Erről a rendszerről egy kiváló tanulmány olvasható a Portálon, úgyhogy nem bocsátkozom komolyabb értekezésbe vele kapcsolatban. Lényegében arról van szó, hogy a forgalmat több, az Internetre csatlakozó számítógépen is „átjátsszuk”, míg maga a forgalom hagymahéjszerűen titkosítva van. A rejtjelezés rétegződésének köszönhetően csak az utolsó „átjátszóállomás” képes teljes egészében dekódolni az adatot, és továbbadni a célpontnak. Összehasonlításként elmondhatjuk, hogy míg a VPN az alkalmazások számára transzparens (vagyis nem igényel külön konfigurációt a webböngészőben, a levelezőprogramban, stb.), addig Tor használatához az alkalmazásoknak képeseknek kell lenniük proxy szerverek használatára. A közbenső állomások száma miatt ráadásul a Tor viszonylag lassú is. Van viszont egy meglehetősen komoly előnye a VPN-hez képest: teljesen ingyen van.
Összesen 0 hozzászólás látható.
Nincsenek hozzászólások.
Bárki hozzászólhat, nem regisztrált beküldő esetén egyik adat megadása sem kötelező - a hozzászólás akár névtelen is lehet.