C, PHP, VB, .NET

След като обяснихме ползата от криптиране на базата данни остана въпроса как е най-подходящо да го направим. Стандартно и най-често използвани са hash алгоритмите. Това са функции, които трансформират подаден текст само в едната посока (тоест веднъж криптиран не съществува възможност за съставяне на обратен алгоритъм). Най-важната черта за един hash алгоритъм е резултатът от него да изглежда колкото се може повече произволен (тоест да не можем да правим заключение за евентуалният вид на оригиналният текст по вида на криптирания вариант). С други думи двата символни низа „общината отново вдигна данък смет“ и „общината отново вдигна данъка смет“ би трябвало да дадат визуално напълно различни резултати след криптиране.

В интернет приложенията широко се използват два много популярни hash алгоритъма – sha1 и md5. Следният пример демонстрира тяхното действие:

<html>
<head>
</head>
<body>
<?php
	$originalText = "Obshtinata otnovo vdigna danak smet";
	echo "Original text: ".$originalText;
	echo "<br>SHA1 (160bit) hash: ";
	echo sha1($originalText);
	echo "<br>MD5 (128bit) hash: ";
	echo md5($originalText);

	$originalText = "Obshtinata otnovo vdigna danaka smet";
	echo "<br><br>Original text: ".$originalText;
	echo "<br>SHA1 (160bit) hash: ";
	echo sha1($originalText);
	echo "<br>MD5 (128bit) hash: ";
	echo md5($originalText);
?>
</body>
</html>

Резултатът след изпълнението на този скрипт ще бъде следния:

	Original text: Obshtinata otnovo vdigna danak smet
	SHA1 (160bit) hash: 56b5f0e231d56ab1b659e37418b56042283e12be
	MD5 (128bit) hash: 16e2021a032e1937935e3118a9efbdf0

	Original text: Obshtinata otnovo vdigna danaka smet
	SHA1 (160bit) hash: a96ddc612e80db0274b40a9b6da8a30396133364
	MD5 (128bit) hash: 077d6a15d24fa1647b5d6b4f9bff1844

Виждате, че тези два алгоритъма се справят достатъчно добре със задачата. Единственият начин да „разкодирате“ криптирана парола е използването на т.нар. rainbow таблици или използването на brute force атака.

Rainbow таблиците са бази от данни с изключително голямо количество двойки от тип „оригинален символен низ“ – „криптиран символен низ“. Когато пуснете заявка в тази база данни с криптирания низ ако се намери съвпадение ще получите оригиналния текст. Трябва да знаете, че съществуват изключително големи rainbow таблици. Например в gdataonline.com има над 1,133,759,239 записа на MD5 хешове на всякакви комбинации от думи и цифри на различни езици. Затова спазването на строги правила относно сложността на паролите е от голямо значение.

Brute Force атаките влизат в употреба тогава, когато rainbow таблиците не дават резултат. На практика принципа е почти същия – обикновено се избират някакви ключови думи и започват да се пробват всякакъв вид комбинации между тях с числа и други символи. Търсенето по този начин е много пъти по-бавно от използването на таблици, защото всяка дума трябва да се криптира преди да бъде сверена. Въпреки това става дума за хиляди хешове в секунда.

Вървейки по този принцип става ясно едно – рано или късно в момента съществуващите алгоритми за криптиране ще станат безполезни. С напредването на времето ще бъдат въвеждане все повече и повече комбинации в rainbow таблици, тоест нашите пароли трябва да стават все по-дълги и по-сложни. В същото време ще е изключително трудно за нашето приложение да смени алгоритъма за криптиране на съществуващи потребители. Поради тази причина е нужно да помислим за някакви допълнителни методи, които да спестят бъдещи главоболия:

1. Многократно криптиране: това е често използвана практика – например двоен MD5. По този начин се криптираме повторно създадения hash и по този начин обезсмисляме повечето rainbow таблици. Слабата страна на този метод, е че времето отделено за обработка на данните нараства с толкова пъти, колкото криптираме символните низове.

2. Комбинирано криптиране: това е например когато криптираме текст с MD5 и след това криптираме създадения hash повторно с SHA1. Комбинацията от алгоритми е всевъзможна. Ефектът е почти същият както при предишната точка.

3. Използване на „salt“: много силна техника, която помага изключително много срещу rainbow таблици. Вместо да записваме директно криптираният код на паролата, ние долепяме произволен (и задължително сложен) символен низ към нея, след което я криптираме и записваме. Така складираната парола в базата данни ще бъде достатъчно сложна, за да устои на каквато и да е rainbow таблица.

Първите два метода не решават напълно проблема с brute force атаките. Ако атакуващият просто регистрира собствен акаунт в системата, то той лесно ще може да разбере каква комбинация от алгоритми сте използвали. Може обаче да се приеме, че комбинация между третия метод с някой от първите два ще даде значително добър резултат и може да се каже, че данните са защитени.

Използването на по-нов или нестандартен алгоритъм за криптиране допълнително подобрява нещата. Вече съществуват подобрени варианти на SHA – SHA-224, SHA-256, SHA-384, and SHA-512 (познати също под общо име като SHA2). Стандартът SHA3 е в процес на разработка. Съществуват и редица не толкова популярни алгоритми като Ripemd, Whirlpool, Haval, Tiger, и т.н.

В никакъв случай не използвайте стари hash алгоритми, като например DES (56 битов).