การเข้ารหัสคืออะไร

การเข้ารหัสมีรากฐานมาจากการส่งข้อมูลที่ละเอียดอ่อนระหว่างบุคคลด้านการทหารและการเมือง ข้อความสามารถเข้ารหัสได้เพื่อให้ดูเหมือนเป็นข้อความแบบสุ่มสำหรับทุกคน ยกเว้นผู้รับเฉพาะตน

ทุกวันนี้ เทคนิคดั้งเดิมสำหรับการเข้ารหัสถูกทำลายอย่างทั่วถึง ถูกทำลายจนพบเฉพาะในส่วนปริศนาของหนังสือพิมพ์บางฉบับเท่านั้น โชคดีที่สาขาวิชามีความก้าวหน้าครั้งสำคัญในด้านความปลอดภัย และอัลกอริทึมที่ใช้ในปัจจุบันต้องอาศัยการวิเคราะห์และคณิตศาสตร์อย่างเข้มงวดเพื่อความปลอดภัย

เมื่อการรักษาความปลอดภัยก้าวหน้าขึ้น ขอบเขตของการเข้ารหัสได้ขยายออกไปเพื่อรวมเป้าหมายด้านความปลอดภัยที่กว้างขึ้น ซึ่งรวมถึงการตรวจสอบความถูกต้องของข้อความ ความสมบูรณ์ของข้อมูล การประมวลผลที่ปลอดภัย และอื่นๆ

วิทยาการเข้ารหัสลับเป็นรากฐานของสังคมสมัยใหม่ เป็นพื้นฐานของแอปพลิเคชันอินเทอร์เน็ตจำนวนนับไม่ถ้วนผ่าน Secure Hypertext Transfer Protocol (HTTPS) การสื่อสารด้วยข้อความและเสียงที่ปลอดภัย และแม้แต่สกุลเงินดิจิทัล

อัลกอริธึมการเข้ารหัสคีย์สมมาตรใช้คีย์เข้ารหัสเดียวกันสำหรับทั้งการเข้ารหัสข้อความธรรมดาและการถอดรหัสของ Ciphertext การเข้ารหัสแบบสมมาตรกำหนดให้ผู้รับข้อความที่ต้องการเข้าถึงคีย์ที่ใช้ร่วมกันได้

ภาพประกอบต่อไปนี้แสดงให้เห็นว่าการเข้ารหัสและถอดรหัสทำงานอย่างไรกับคีย์และอัลกอริธึมที่สมมาตร โดยถือว่าทุกฝ่ายใช้คีย์เดียวกัน

ในภาพประกอบแรก คีย์สมมาตรและอัลกอริธึมใช้เพื่อแปลงข้อความธรรมดาเป็น Ciphertext ภาพประกอบที่สองแสดงคีย์ลับเดียวกันและอัลกอริทึมแบบสมมาตรที่ใช้เพื่อเปลี่ยน Ciphertext กลับเป็นข้อความธรรมดา                

รหัสบล็อกที่ได้รับความนิยมมากที่สุดตัวหนึ่งคือ Advanced Encryption Standard (AES) รหัสบล็อกนี้รองรับคีย์ 128- 192- หรือ 256 บิต AES มักจะรวมกับ Galois/Counter Mode (GCM) และรู้จักกันในชื่อ AES-GCM เพื่อสร้างอัลกอริธึมการเข้ารหัสที่มีการตรวจสอบสิทธิ์

AES เป็นมาตรฐานอุตสาหกรรมสำหรับการเข้ารหัสที่ดำเนินการทั่วโลก ความปลอดภัยเป็นที่เข้าใจกันเป็นอย่างดี และมีการใช้ซอฟต์แวร์และฮาร์ดแวร์อย่างมีประสิทธิภาพอย่างกว้างขวาง

เนื่องจากอัลกอริธึมคีย์สาธารณะเช่น RSA-OAEP มีประสิทธิภาพน้อยกว่าคู่ที่สมมาตร จึงมักไม่ค่อยใช้ในการเข้ารหัสข้อมูลโดยตรง อย่างไรก็ตาม พวกเขามีบทบาทสำคัญในระบบนิเวศการเข้ารหัสโดยให้วิธีการในการแลกเปลี่ยนคีย์

เพื่อใช้การเข้ารหัสแบบสมมาตร ทุกฝ่ายต้องแบ่งปันคีย์ แม้ว่าคีย์นี้สามารถส่งผ่านแชนเนลที่เข้ารหัสที่มีอยู่ได้ แต่เราไม่ต้องการคีย์ใหม่หากมีแชนเนลที่ปลอดภัยอยู่แล้ว แต่เราแก้ปัญหาการแลกเปลี่ยนคีย์โดยใช้การเข้ารหัสคีย์สาธารณะแทน

ต่อไปนี้เป็นสองวิธีวิธีทั่วไปที่ใช้ในการแลกเปลี่ยนคีย์สมมาตร

• การเข้ารหัสแบบอสมมาตร. ฝ่ายหนึ่งสร้างคีย์สมมาตร จากนั้นเข้ารหัสคีย์โดยใช้อัลกอริทึม เช่น RSA-OAEP ไปยังคีย์สาธารณะของอีกฝ่าย ผู้รับสามารถถอดรหัส ciphertext โดยใช้คีย์ส่วนตัวเพื่อกู้คืนคีย์สมมาตร
• Diffie-Hellman Key Exchange – (DH) Diffie-Hellman เป็นอัลกอริธึมการเข้ารหัสคีย์สาธารณะประเภทต่างๆ ที่ได้รับการออกแบบมาโดยเฉพาะเพื่อช่วยให้ฝ่ายต่างๆ เห็นด้วยกับคีย์สมมาตรในกรณีที่ไม่มีช่องทางที่ปลอดภัย Diffie-Hellman อิงจากปัญหาทางคณิตศาสตร์ที่แตกต่างจากฟังก์ชัน RSA และมีความยืดหยุ่นน้อยกว่า RSA อย่างไรก็ตาม มันมีโครงสร้างที่มีประสิทธิภาพมากกว่า ซึ่งทำให้ดีกว่าในบางกรณี

การรวมกันของการเข้ารหัสคีย์สาธารณะสำหรับการแลกเปลี่ยนคีย์และการเข้ารหัสแบบสมมาตรสำหรับการเข้ารหัสข้อมูลจำนวนมากนี้เรียกว่าการเข้ารหัสแบบไฮบริด

การเข้ารหัสแบบไฮบริดใช้คุณสมบัติเฉพาะของการเข้ารหัสคีย์สาธารณะเพื่อแลกเปลี่ยนข้อมูลลับผ่านช่องทางที่ไม่น่าเชื่อถือด้วยประสิทธิภาพของการเข้ารหัสแบบสมมาตร วิธีนี้ทำให้ได้โซลูชันแบบ end-to-end ที่ใช้งานได้จริงสำหรับความเป็นส่วนตัวของข้อมูล

การเข้ารหัสแบบไฮบริดถูกใช้อย่างกว้างขวางในโปรโตคอลการถ่ายโอนข้อมูลสำหรับเว็บ เช่นใน Transport Layer Security (TLS) เมื่อคุณเชื่อมต่อกับเว็บไซต์ที่ใช้ HTTPS (HTTP ปลอดภัยด้วย TLS) เบราว์เซอร์ของคุณจะเจรจาอัลกอริทึมการเข้ารหัสที่รักษาความปลอดภัยการเชื่อมต่อของคุณ ซึ่งรวมถึงอัลกอริธึมสำหรับการแลกเปลี่ยนคีย์ การเข้ารหัสแบบสมมาตร และลายเซ็นดิจิทัล

รหัสรับรองความถูกต้องของข้อความ (MAC) คือเวอร์ชันสมมาตรของลายเซ็นดิจิทัล ด้วย MAC บุคคลสองฝ่ายขึ้นไปแบ่งปันคีย์ ฝ่ายหนึ่งสร้างแท็ก MAC ซึ่งเป็นเวอร์ชันสมมาตรของลายเซ็นดิจิทัลและแนบไปกับเอกสาร อีกฝ่ายหนึ่งสามารถตรวจสอบความถูกต้องของข้อความได้โดยใช้คีย์เดียวกับที่ใช้สร้างแท็ก

โปรดทราบว่าหลายฝ่ายแชร์คีย์ที่ใช้ในการสร้างแท็ก MAC ดังนั้นจึงไม่สามารถใช้ MAC สำหรับการตรวจสอบสิทธิ์หรือการปฏิเสธเนื่องจากไม่ชัดเจนว่าฝ่ายใดสร้างแท็ก

MAC อาจเป็นอัลกอริธึมแบบสแตนด์อโลน เช่น Hash-based Message Authentication Code (HMAC) อย่างไรก็ตาม เนื่องจากความสมบูรณ์ของข้อความเป็นการรับประกันที่มีค่าเกือบทุกครั้ง จึงมักถูกรวมเข้ากับอัลกอริธึมการเข้ารหัสแบบสมมาตร เช่น AES-GCM

Elliptic-curve cryptography (ECC) เป็นเทคนิคการเข้ารหัสคีย์สาธารณะตามทฤษฎีทางคณิตศาสตร์ของเส้นโค้งวงรี

ข้อได้เปรียบที่ใหญ่ที่สุดของ ECC คือสามารถให้การป้องกันในระดับที่ใกล้เคียงกับเทคนิคแบบเดิมๆ แต่มีคีย์ที่เล็กกว่าและการทำงานที่เร็วขึ้น ประสิทธิภาพของ ECC ทำให้เหมาะสำหรับใช้ในอุปกรณ์ที่มีกำลังประมวลผลค่อนข้างต่ำ เช่น โทรศัพท์มือถือ

ECC สามารถใช้สำหรับการแลกเปลี่ยนคีย์อย่างมีประสิทธิภาพโดยใช้ตัวแปรเส้นโค้งวงรีของ Diffie-Hellman (ECDH) หรือสำหรับลายเซ็นดิจิทัลโดยใช้อัลกอริทึมลายเซ็นดิจิทัล Elliptic Curve (ECDSA) เนื่องจากความเร็วและความยืดหยุ่น ECC จึงมีการใช้งานอย่างกว้างขวางในแอพพลิเคชั่นมากมายบนอินเทอร์เน็ต

ในช่วงสองสามทศวรรษที่ผ่านมา มีการลงทุนที่สำคัญในการคำนวณควอนตัม คอมพิวเตอร์ควอนตัมใช้ฟิสิกส์ควอนตัมและสามารถแก้ปัญหาทางคณิตศาสตร์ได้ เช่น ปัญหาแฟคตอริ่ง ซึ่งคำนวณไม่ได้ในคอมพิวเตอร์ทั่วไป

คอมพิวเตอร์ควอนตัมขนาดใหญ่จะทำลายระบบเข้ารหัสคีย์สาธารณะที่เราใช้อยู่ในปัจจุบัน รวมถึงระบบเข้ารหัสตามฟังก์ชัน Rivest-Shamir-Adleman (RSA) การหยุดชะงักของอัลกอริธึมเหล่านี้จะหมายถึงการสูญเสียการรักษาความลับและการรับรองความถูกต้องของแอปพลิเคชันและโปรโตคอลจำนวนมากที่เราใช้ในปัจจุบัน

แม้ว่าคอมพิวเตอร์ควอนตัมขนาดเล็กจะมีอยู่ในปัจจุบัน แต่ก็มีขนาดเล็กเกินไปที่จะทำลายอัลกอริธึมการเข้ารหัส ไม่ทราบว่าคอมพิวเตอร์ควอนตัมที่เกี่ยวข้องกับการเข้ารหัส (CRQC) จะพร้อมใช้งานหรือไม่หรือเมื่อใด มีความก้าวหน้าทางวิทยาศาสตร์ที่สำคัญในการพัฒนา CRQC

Post-quantum cryptography (PQC) หมายถึงอัลกอริธึมการเข้ารหัสที่ทำงานบนคอมพิวเตอร์ที่เราใช้อยู่ในปัจจุบัน และไม่เป็นที่ทราบกันดีว่ามีความเสี่ยงต่อคอมพิวเตอร์ควอนตัมขนาดใหญ่

เรียนรู้เพิ่มเติมเกี่ยวกับการวิจัย AWS และการมีส่วนร่วมทางวิศวกรรมในโครงการเข้ารหัสที่ทนต่อปริมาณและกลุ่มการทำงานกับชุมชนการเข้ารหัสทั่วโลกที่ การเข้ารหัสแบบทนทานต่อคอมพิวเตอร์ควอนตัมของ AWS

บริการเข้ารหัสของ AWS ใช้เทคโนโลยีการเข้ารหัสและการจัดเก็บข้อมูลที่หลากหลาย ซึ่งสามารถรับประกันความสมบูรณ์ของข้อมูลที่อยู่ในพื้นที่จัดเก็บหรืออยู่ระหว่างการส่งผ่าน AWS มีเครื่องมือหลายอย่างสำหรับการดำเนินการเข้ารหัส

• AWS CloudHSM มี Hardware Security Modules (HSMs) ที่สามารถจัดเก็บคีย์การเข้ารหัสที่หลากหลายได้อย่างปลอดภัย รวมถึง Root Keys และ Data Keys
• AWS Key Management Service (KMS) มีเครื่องมือสำหรับสร้าง Root Keys และ Data Keys อื่นๆ AWS KMS ยังโต้ตอบกับบริการอื่นๆ ของ AWS เพื่อเข้ารหัสข้อมูลเฉพาะบริการของตนได้อีกด้วย
• AWS Encryption SDK ให้ไลบรารีการเข้ารหัสฝั่งไคลเอ็นต์สำหรับการดำเนินการเข้ารหัสและถอดรหัสในข้อมูลทุกประเภท
• Amazon DynamoDB Encryption Client ให้ไลบรารีการเข้ารหัสฝั่งไคลเอ็นต์สำหรับเข้ารหัสตารางข้อมูลก่อนที่จะส่งไปยังบริการฐานข้อมูล เช่น Amazon DynamoDB
• AWS Secrets Manager ให้การเข้ารหัสและการหมุนเวียนความลับที่เข้ารหัสที่ใช้กับ AWS-Supported Databases

บริการของ AWS จำนวนมากอาศัยบริการเข้ารหัสเหล่านี้ระหว่างการถ่ายโอนข้อมูลหรือการจัดเก็บ สำหรับรายการบริการดังกล่าวและภาพรวมเกี่ยวกับวิธีการใช้หลักปฏิบัติในการเข้ารหัส โปรดดูที่ Other AWS Services

AWS ยังมีไลบรารีการเข้ารหัสแบบโอเพนซอร์ส

• AWS libcrypto (AWS-LC) มีไลบรารีการเข้ารหัสสำหรับใช้งานทั่วไปที่ดูแลโดยทีมการเข้ารหัสของ AWS สำหรับ AWS และลูกค้า มันขึ้นอยู่กับรหัสจากโครงการ Google BoringSSL และโครงการ OpenSSL AWS-LC มีการนำอัลกอริทึม C ไปใช้งานแบบพกพาที่จำเป็นสำหรับ TLS และแอปพลิเคชันทั่วไป สำหรับอัลกอริธึมที่สำคัญด้านประสิทธิภาพ จะมีเวอร์ชันแอสเซมบลีที่ปรับให้เหมาะสมสำหรับ x86 และ ARM
• s2n-tls จัดเตรียมการใช้งานโปรโตคอล TLS/SSL ที่ออกแบบมาให้ใช้งานง่าย ขนาดเล็ก รวดเร็ว และมีความปลอดภัยเป็นสำคัญ

คุณยังสามารถดูบล็อก Amazon Science และAWS Security Blog เราให้รายละเอียดว่าเราทำอะไรเพื่อพัฒนา เปรียบเทียบ และสร้างต้นแบบการวิจัยการเข้ารหัส เราเขียนเกี่ยวกับcryptographic computing การเข้ารหัสหลังควอนตัม รหัสการเข้ารหัสที่ตรวจสอบแล้ว และอื่นๆ