Lekce 21 - Šifrování a jeho role v kybernetické bezpečnosti Nové

V předchozí lekci, Bezpečnost kyberprostoru - Možnosti ochrany, jsme si ukázali, jak se v kyberprostoru chránit pomocí operačního systému Tails nebo využitím SandBoxu a VirtualBoxu.

V tomto tutoriálu kyberbezpečnosti se budeme věnovat šifrování. Naučíme se, jak pomocí kryptografie chránit citlivá data před neoprávněným přístupem. Podíváme se, jak funguje převod čitelných informací do nečitelné podoby, a popíšeme si rozdíl mezi symetrickým a asymetrickým šifrováním. Zároveň si vysvětlíme, jak tyto metody spolupracují v hybridním šifrování, které se používá například při zabezpečení webů pomocí HTTPS.

Šifrování a ochrana dat v praxi

Šifrování (angl. encryption) je proces, při kterém převádíme čitelná data do nečitelné podoby pomocí matematických algoritmů a klíčů. Cílem šifrování je zajistit, aby se k obsahu dat mohl dostat pouze ten, kdo zná správný klíč. Šifrování se používá téměř všude: při přenosu dat přes internet, při ukládání citlivých údajů na disk, v bankovnictví, v e-mailech, v mobilních aplikacích a mnoha dalších oblastech.

Typy šifrování

Existují dva hlavní typy šifrování, se kterými se v praxi setkáme:

• symetrické šifrování
• a asymetrické šifrování.

Symetrické šifrování

Symetrické šifrování používá jeden společný klíč pro šifrování i dešifrování dat. Tento přístup je velmi rychlý a efektivní, a proto se často využívá při zpracování velkých objemů dat, například u šifrování pevných disků nebo datových přenosů v interních sítích.

Typickým příkladem je algoritmus AES (Advanced Encryption Standard), který je dnes považován za průmyslový standard. Nevýhodou symetrického šifrování je však problém s bezpečným předáním klíče. Pokud se klíč dostane do rukou útočníka, může snadno dešifrovat veškerá data, která byla tímto klíčem zašifrována:

Praktické využití najdeme například u šifrování pevných disků, kde je uložený klíč použit automaticky při startu systému pro dešifrování obsahu.

Asymetrické šifrování

Asymetrické šifrování využívá dva odlišné klíče, veřejný a soukromý klíč. Tyto klíče spolu úzce souvisejí, ale nelze z jednoho jednoduše odvodit druhý. To znamená, že co jeden klíč zašifruje, může rozšifrovat pouze ten druhý, a naopak. Tento princip zajišťuje vysokou úroveň bezpečnosti a umožňuje nejen šifrování dat, ale i ověřování identity a vytváření digitálních podpisů.

Mezi nejznámější asymetrické algoritmy patří RSA a Elliptic Curve Cryptography (ECC). Díky nim je možné například ověřit původ dokumentu pomocí digitálního podpisu – autor zašifruje hash dokumentu svým soukromým klíčem a příjemce jej ověří klíčem veřejným:

Hybridní šifrování

V praxi se často kombinuje symetrické a asymetrické šifrování. Tento přístup se nazývá hybridní šifrování a využívá výhody obou metod.

Asymetrická část slouží k bezpečnému předání klíče, který se pak používá pro samotné šifrování dat. Jakmile je klíč vyměněn, další komunikace probíhá symetricky, je to totiž rychlejší a efektivnější.

Typickým příkladem hybridního přístupu je HTTPS. Prohlížeč nejprve ověří certifikát serveru pomocí asymetrického klíče, poté si s ním bezpečně vymění symetrický klíč a následná komunikace už probíhá symetricky:

Zabezpečená komunikace na webu

Na internetu denně odesíláme a přijímáme spoustu citlivých informací například přihlašovací údaje, e-maily, platební údaje nebo osobní data. Aby se tyto informace cestou neztratily, nikdo je neodposlouchával nebo dokonce nezměnil, používáme šifrované protokoly. Nejčastěji se setkáme s technologií TLS a s protokolem HTTPS, které společně zajišťují bezpečnou komunikaci mezi naším prohlížečem a webovým serverem.

TLS protokol

TLS, tedy Transport Layer Security, si můžeme představit jako tajný jazyk, který si mezi sebou domluví dva počítače, aby spolu mohly bezpečně komunikovat. Když otevřeme webovou stránku, náš prohlížeč se spojí se serverem a nejprve s ním provede tzv. handshake. Během něj si vymění klíče a dohodnou se na pravidlech šifrování. Od tohoto okamžiku už probíhá komunikace šifrovaně, takže nikdo, kdo by ji po cestě zachytil, nedokáže zjistit její obsah ani jejímu obsahu podstrčit něco jiného.

Na TLS je postaveno HTTPS. To je vlastně běžný protokol HTTP, který dobře známe z adres webových stránek, jen je doplněný o vrstvu zabezpečení. Díky tomu se přenášená data převádějí do šifrované podoby. V prohlížeči jej poznáme podle toho, že adresa začíná na https:// a vedle ní se objeví ikona zámku. To znamená, že web používá certifikát, a my tak máme jistotu, že se opravdu jedná o správný server, nikoli o podvrženou kopii.

Význam HTTPS je dnes zásadní. Chrání naše hesla, čísla platebních karet a další citlivé údaje před odposlechem, zároveň nám pomáhá ověřit pravost webu a brání útokům, při nichž by útočník mohl měnit data během přenosu. Dá se říci, že HTTPS je základní kámen bezpečného internetu – pokud jej vidíme, můžeme si být jistí, že naše spojení je důvěryhodné a chráněné.

Šifrování celé komunikace

VPN neboli Virtual Private Network je technologie, která vytváří šifrovaný tunel mezi naším zařízením a VPN serverem. Veškerý internetový provoz pak prochází tímto tunelem a je chráněný před odposlechem.

Představme si situaci ve veřejné Wi-Fi síti v kavárně. Bez VPN by mohl útočník zachytit naši komunikaci. Jakmile však VPN zapneme, veškerá data se skryjí. Nikdo nevidí, jaké stránky navštěvujeme, ani co přenášíme. Zároveň se mění i naše IP adresa a poloha, takže navenek to vypadá, že se připojujeme přímo z místa, kde stojí VPN server. To umožňuje nejen zvýšit bezpečnost, ale i obejít cenzuru nebo geografické blokace obsahu.

Na rozdíl od HTTPS, které chrání pouze komunikaci s konkrétním webem, VPN šifruje veškerý provoz odcházející ze zařízení.

Praktický příklad

Abychom si VPN dokázali lépe představit, ukážeme si to na konkrétním příkladu s aplikací NordVPN.

Nejprve si na počítač nebo mobilní telefon stáhneme aplikaci přímo ze stránek nordvpn.com . Instalace probíhá stejně jako u jiných programů, stáhneme instalační soubor, spustíme ho a projdeme průvodce instalací. Na mobilu stačí aplikaci vyhledat v App Store nebo Google Play a nainstalovat jedním kliknutím:

Po spuštění aplikace se přihlásíme a na hlavní obrazovce uvidíme velké tlačítko Quick Connect. Kliknutím na něj nás NordVPN automaticky připojí k nejbližšímu a nejrychlejšímu serveru. Pokud ale chceme, můžeme si server vybrat i sami. Stačí na mapě nebo v seznamu kliknout například na Německo a během pár sekund jsme připojeni. Od té chvíle všechny weby vidí, že se připojujeme z Německa. Naše původní IP adresa i poloha jsou skryté a komunikace proudí bezpečně přes šifrovaný tunel.

Šifrování dat na disku

Když mluvíme o šifrování, nemusí jít jen o komunikaci po síti. Stejně důležité je chránit i samotná data uložená v počítači nebo telefonu. Šifrování disku znamená, že všechna data uložená na disku jsou uložena v zašifrované podobě. Pokud by někdo disk ukradl nebo z něj chtěl číst mimo původní zařízení, uvidí jen nesmyslný šifrovaný obsah.

Při startu zařízení je potřeba zadat heslo, PIN nebo použít biometrickou ochranu, například otisk prstu. Teprve po správném ověření se disk dešifruje a systém zpřístupní data uživateli. Bez tohoto klíče se k nim nikdo nedostane. Šifrování disku tak chrání například notebooky před zneužitím při krádeži nebo ztrátě.

U mobilních zařízení je dnes šifrování dat často zapnuté automaticky a uživatel si toho ani nemusí všimnout.

Existují dva hlavní přístupy, jak lze data na discích chránit:

• Šifrování celého disku (Full Disk Encryption, FDE) – vše na disku je chráněné, včetně systémových souborů.
• Šifrování souborů (File-level encryption), chráněné jsou jen vybrané složky nebo soubory.

V praxi se šifrování zapíná pomocí jednoduchých nástrojů, které jsou nainstalované v našem operačním systému. Na Windows je to BitLocker, na macOS FileVault a na Linuxu LUKS. Při zapnutí zařízení se pak musíme ověřit heslem, PINem nebo otiskem prstu, aby se disk odemkl.

Význam šifrování pro bezpečnost

Šifrování je často poslední obranná linie. Když selžou ostatní bezpečnostní opatření a útočník se dostane k datům. Právě šifrování rozhodne, jestli budou informace pro něj nepoužitelné a v bezpečí, nebo naopak plně zneužitelné a snadno zveřejnitelné.

Podívejme se na několik situací, kde šifrování hraje klíčovou roli:

• Ztráta notebooku s důležitými zákaznickými daty.
• Přenášení záloh na externím disku nebo USB.
• Posílání citlivých dokumentů (například smluv) e-mailem.
• Vzdálené připojení do firemní sítě.

Nejčastější chyby při šifrování

Při šifrování dat se lidé často dopouštějí chyb, které mohou celou ochranu úplně znehodnotit. Jednou z největších chyb je použití slabého hesla. Pokud útočník heslo snadno uhodne nebo prolomí, šifrování ztrácí smysl. Dalším častým problémem je ukládání šifrovacího klíče přímo na stejný disk, který je šifrovaný – v takovém případě se k němu útočník dostane zároveň s daty.

Mnoho uživatelů má také pocit falešného bezpečí. Myslí si, že když mají data zašifrovaná, nemusí řešit další bezpečnostní opatření, jako jsou aktualizace systému, firewall nebo pravidelné zálohy. To je ale omyl, šifrování je jen jedna část celkové ochrany. Často se také zapomíná na šifrování záloh. Pokud zálohy zůstanou nešifrované, útočník se k nim může dostat stejně snadno jako k původním datům.

Pamatujme si tedy, že šifrování je velmi silný nástroj, ale funguje jen tehdy, když se používá správně a v kombinaci s dalšími bezpečnostními opatřeními.

Shrnutí

Šifrování je klíčový nástroj pro ochranu dat v každém moderním IT systému. Ať už jde o přenos dat přes internet, ukládání informací na disk, nebo zabezpečení přístupu ke vzdálené síti šifrování je základní prvek každé kybernetické obrany. Znalost rozdílů mezi symetrickým a asymetrickým šifrováním, principy TLS/HTTPS, význam VPN i zabezpečení disků pak patří mezi naprosté minimum, které by měl znát každý IT specialista, správce nebo bezpečnostní analytik.

V následujícím kvízu, Kvíz - Kybernetická bezpečnost, si vyzkoušíme nabyté zkušenosti z kurzu.