- पासवर्ड मैनेजमेंट सिस्टम की सुविधा के कारण आजकल बहुत से लोग OS या ब्राउज़र में बिल्ट-इन फीचर का उपयोग कर रहे हैं
- लेकिन क्या यह सच में सुरक्षित है? ऐसा सवाल उठ सकता है
- एन्क्रिप्शन की परिभाषा
- क्रिप्टोग्राफी का लक्ष्य प्रोटोकॉल को शत्रुतापूर्ण इकाइयों से सुरक्षित रखना है
- एल्गोरिद्म का उपयोग करके जानकारी (अर्थात plaintext) को इस तरह प्रेषित करने की प्रक्रिया कि विशेष ज्ञान रखने वालों को छोड़कर कोई भी उसे पढ़ न सके
- एल्गोरिद्म सब सार्वजनिक हैं, फिर भी क्या यह सुरक्षित है?
- इसके लिए Kerckhoffs's principle नाम का एक सिद्धांत है
- “क्रिप्टोसिस्टम को गुप्त रखने की आवश्यकता नहीं होनी चाहिए, और वह दुश्मन के हाथ लग जाने पर भी समस्या नहीं बनना चाहिए।”
- एल्गोरिद्म सार्वजनिक होने पर भी सुरक्षा का कारण secret key है
- एल्गोरिद्म नहीं, बल्कि प्रोटोकॉल को सुरक्षित बनाना महत्वपूर्ण है
- बल्कि एल्गोरिद्म को सार्वजनिक करना बेहतर है ताकि अधिक लोग उसका सत्यापन और सुधार कर सकें
- पारंपरिक cipher खतरनाक क्यों हैं?
- कंप्यूटर आने से पहले वे पर्याप्त जटिल और उपयोगी थे, लेकिन कंप्यूटर के आने के बाद कम समय में उन्हें decrypt करना संभव हो गया
- brute force, frequency analysis जैसी कई attack techniques मौजूद हैं
- क्या आधुनिक cipher सुरक्षित हैं?
- पारंपरिक cipher में key space कम होता है और उनमें भाषाई विशेषताएँ झलकती हैं, इसलिए वे जोखिमपूर्ण हैं
- दूसरी ओर आधुनिक cipher confusion और diffusion की अवधारणाओं का उपयोग करके बेहद विशाल संभावनाएँ बनाते हैं -> संयोग से सफल exhaustive key search के अलावा उन्हें decrypt करना असंभव है
- confusion (Substitution) का मतलब है कि यदि 'ABCA' जैसी string हो तो उसे '1231' जैसी किसी चीज़ से replace करना
- diffusion (Permutation) का मतलब है कि यदि 'ABCA' जैसी string हो तो उसे 'BCAA' की तरह क्रम बदल देना
- एन्क्रिप्शन के तीन तरीके
- symmetric, asymmetric और one-way encryption मौजूद हैं
- symmetric encryption ऐसा एल्गोरिद्म है जो एक secret key (या symmetric key) का उपयोग करके encrypt और decrypt करता है
- इसका प्रमुख उदाहरण AES है
- asymmetric encryption ऐसा एल्गोरिद्म है जो दो keys का उपयोग करके encrypt और decrypt करता है
- इसका प्रमुख उदाहरण RSA है
- symmetric encryption में प्रतिभागियों की संख्या अधिक होने पर समस्या पैदा होती है
- one-way encryption मनचाही लंबाई के डेटा को निश्चित लंबाई के डेटा में बदलने की प्रक्रिया है
- इसका प्रमुख उदाहरण SHA है
- इसका उपयोग integrity verification में होता है
- व्यक्तिगत secret vault का implementation
- master password वह secret key है जो यह प्रमाणित कर सकती है कि उपयोगकर्ता password management system का मालिक है
- master password का hash value कभी भी स्टोर नहीं करना चाहिए, क्योंकि उस पर Pass-the-Hash attack हो सकता है
- यदि उपयोगकर्ता के device से बंधी एक अतिरिक्त random key का उपयोग करके master unlock key बनाई जाए, तो पासवर्ड को और सुरक्षित रखा जा सकता है
- Mac में Keychain और Windows में Credential Manager का उपयोग किया जा सकता है
- वास्तविक implementation के लिए लिंक देखें
4 टिप्पणियां
क्या Android में keychain जैसी कोई चीज़ नहीं है..? क्या Galaxy Samsung Wallet भी जोखिमभरा है?
नमस्ते. :) मुझे पता है कि Secret Manager जैसी चीज़ मौजूद है। Samsung Wallet के बारे में मुझे ठीक से नहीं पता, लेकिन शायद इसे काफ़ी सुरक्षित तरीके से बनाया गया होगा, है न?
इसे confusion (substitution), diffusion (permutation) लिखा गया था, इसलिए मुझे लगा यह क्या है, तो मैंने मूल लेख देखा।
उसमें लिखा है कि confusion को substitution का उपयोग करके हासिल किया जाता है, और diffusion को permutation का उपयोग करके हासिल किया जाता है...
मैंने इसे बहुत ज़्यादा संक्षेप में कर दिया था, माफ़ कीजिए ^^;;