你的加密不是加密

Encoding, Encryption, Hash 這 3 個名詞之間的不同,是每個程式設計師要學習的知識,而且也是面試時經常會問的考題,因為這是資訊安全的基本概念,藉由這個問題可以知道你有沒有基本的資訊安全素養。

Encoding

又稱編碼,簡單來說就是將資料用不同的方式表現,例如可以將資料用 Base64, Base32, Hex 等編碼方式將資料編碼,特點是任何人只要知道編碼方式就能進行解碼知道資料的內容,以 ptt 分享的案例來說,就是誤用 encoding 造成的後果。

來源: [問卦] 有沒有檢舉代號base64的八卦?

Encryption

又稱加密,運作方式是 encoding 的基礎上加入金鑰(key)的設計,資料會用加密演算法搭配一組金鑰,產生所謂的密文(ciphertext)。

任何人拿到密文,在沒有金鑰的情況下會很難破解,所以保護金鑰不要外洩成為 Encryption 的重中之中。

常見的加密方式分為對稱式與非對稱式,對稱式就是只有 1 把金鑰,加密跟解密都用同 1 把金鑰,非對稱是會有 2 把金鑰, 1 把加密, 1 把解密,好處是可以把加密那把公開出去,大家都能用公開的金鑰加密,但只有擁有解密金鑰的你能解開密文,非對稱式金鑰解決共享對稱式金鑰的問題,因為對稱式只有 1 把,加密跟解密的人不是同一個人/單位的話,就會有如何安全傳送金鑰給對方的問題。

Hash

又稱雜湊,一個破壞性的編碼,說它具破壞性是因為資料經過雜湊函數之後,會成為一組無法被還原的雜湊資料,我們無法藉由雜湊資料還原回去原本的資料,唯一的作法是嘗試猜原本的資料是什麼,然後丟進去雜湊函數查看會不會產生相同的雜湊資料,作為判斷是否猜中的依據。

雜湊很常應用在密碼的儲存,如此一來,就算儲存使用者密碼的資料庫被入侵, Cracker 「基本上」也無法知道使用者密碼是什麼,之所以用「基本上」是因為 Cracker 可以用常見使用者密碼(例如123456)搭配各種雜湊函數產生多組雜湊密碼,然後找看看資料庫有沒有相同的雜湊密碼,藉此猜中雜湊演算法以及使用弱密碼的使用者。

後來為了避免相同密碼雜湊會產生相同值的問題,所以對密碼做雜湊之前會先加一些隨機資料再一起做雜湊,這個隨機資料就被稱為 salt, (也就是業界常講的加鹽)如此一來就算多位使用者都使用同一組弱密碼,雜湊後的值也不會一樣, Cracker 就更難猜到密碼囉。

恩,分享這篇不會被查水表吧⋯⋯

FOLLOW US

對抗久坐職業傷害

研究指出每天增加 2 小時坐著的時間,會增加大腸癌、心臟疾病、肺癌的風險,也造成肩頸、腰背疼痛等常見問題。

然而對抗這些問題,卻只需要工作時定期休息跟伸展身體即可!

你想輕鬆改變現狀嗎?試試看我們的 PomodoRoll 番茄鐘吧! PomodoRoll 番茄鐘會根據你所設定的專注時間,定期建議你 1 項辦公族適用的伸展運動,幫助你打敗久坐所帶來的傷害!

贊助我們的創作

看完這篇文章了嗎? 休息一下,喝杯咖啡吧!

如果你覺得 MyApollo 有讓你獲得實用的資訊,希望能看到更多的技術分享,邀請你贊助我們一杯咖啡,讓我們有更多的動力與精力繼續提供高品質的文章,感謝你的支持!