Sedert 2003 het Microsoft 'n reeks bedienerbedryfstelsels onder die Windows Server-handelsnaam vrygestel. Windows Server 2003 was die eerste Windows-bedieneruitgawe wat onder daardie handelsmerk aangebied is. Windows NT 3.1 Advanced Server was die aanvanklike bedieneruitgawe, gevolg deur Windows NT 3.5 Server, Windows NT 3.51 Server, Windows NT 4.0 Server en Windows 2000 Server. Active Directory, DNS Server, DHCP Server, Group Policy, en baie ander gewilde kenmerke is vir die eerste keer by Windows 2000 Server ingesluit.

Microsoft bied tipies tien jaar se ondersteuning vir Windows Server, met vyf jaar se hoofstroomondersteuning en 'n ekstra vyf jaar se uitgebreide ondersteuning. Hierdie uitgawes sluit ook 'n omvattende grafiese gebruikerskoppelvlak (GUI) lessenaarervaring in. Server Core en Nano Server-variante is met Windows Server 2008 R2 bekendgestel om die bedryfstelsel-voetspoor te verklein. Om hierdie opdaterings van halfjaarlikse vrystellings te onderskei, het Microsoft daarna verwys as "langtermyndiens"-vrystellings tussen 2015 en 2021. (sien hieronder.)

Microsoft het die afgelope sestien jaar elke vier jaar 'n groot weergawe van Windows Server gepubliseer, met een minderjarige weergawe wat twee jaar na 'n groot vrystelling vrygestel is. Die “R2”-agtervoegsel is by die titels van die minderjarige weergawes gevoeg. Microsoft het hierdie patroon in Oktober 2018 oortree toe dit Windows Server 2019 vrygestel het, wat veronderstel was om "Windows Server 2016 R2" te wees. Boonop is Windows Server 2022 'n klein verbetering teenoor die vorige weergawe.

Die volgende is by die volledige vrystellings ingesluit:

• Windows Server 2003 is 'n bedienerbedryfstelsel (April 2003)
• Windows Server 2003 R2 is 'n weergawe van Windows Server 2003. (Desember 2005)
• Windows Server 2008 is 'n bedienerbedryfstelsel wat deur Microsoft ontwikkel is (Februarie 2008)
• Windows Server 2008 R2 is die nuutste weergawe van Windows Server (Oktober 2009)
• Windows Server 2012 is 'n bedienerbedryfstelsel (September 2012)
• Windows Server 2012 R2 is die nuutste weergawe van Windows Server (Oktober 2013)
  2016 is die nuutste weergawe van Windows Server (September 2016)
• Windows Server 2019 is die nuutste weergawe van Windows Server (Oktober 2018)
• Microsoft Windows Server 2022 (Augustus 2021)

Belangrikste kenmerke van die Windows Server sluit in:

• Sekuriteit met veelvuldige lae van beskerming: die verbetering van organisasie se sekuriteitsposisie deur met die bedryfstelsel te begin.
• Azure se hibriede vermoëns: verhoog IT-doeltreffendheid deur datasentrums na Azure uit te brei.
• Platform vir 'n verskeidenheid toepassings: gee ontwikkelaars en IT-professionele persone die gereedskap wat hulle nodig het om 'n verskeidenheid toepassings te skep en te ontplooi deur 'n toepassingsplatform te gebruik.
• Integrasie met Azure: opsies soos Azure Hybrid Benefit en Extended Security Updates is beskikbaar.

Microsoft se Active Directory (AD) is 'n gidsdiens vir Windows-domeinnetwerke. 'n Active Directory-domeinbeheerder staaf en magtig alle gebruikers en rekenaars in 'n Windows-domeinnetwerk, sowel as die toeken en afdwing van sekuriteitsbeleide en die installering of opgradering van sagteware. 'n Skema beskryf die soorte voorwerpe wat in 'n Active Directory-databasis gestoor kan word, sowel as die eienskappe en inligting wat die voorwerpe verteenwoordig. 'n Bos is 'n groep bome wat 'n globale katalogus, gidsskema, logiese struktuur en gidskonfigurasie deel. 'n Boom is 'n versameling van een of meer domeine wat in 'n deurlopende trusthiërargie in 'n deurlopende naamruimte gekoppel is. 'n Domein is 'n logiese versameling voorwerpe (rekenaars, gebruikers en toestelle) wat 'n Active Directory-databasis deel. Die DNS-naamstruktuur, wat die Active Directory-naamruimte is, word gebruik om domeine te identifiseer. Gebruikers in een domein kan toegang tot hulpbronne in 'n ander domein kry danksy trusts. Wanneer 'n kinderdomein geskep word, word trusts tussen die ouer- en kinddomeine outomaties geskep. Domeinbeheerders is bedieners wat gekonfigureer is met die Active Directory Domain Services-rol en huisves 'n Active Directory-databasis vir 'n spesifieke domein. Werwe is groepe onderling gekoppelde subnette in 'n spesifieke geografiese plek. Veranderinge wat op een domeinbeheerder gemaak word, word gerepliseer na alle ander domeinbeheerders wat dieselfde Active Directory-databasis deel (wat beteken binne in dieselfde domein). Die Knowledge Consistency Checker (KCC)-diens bestuur verkeer deur 'n replikasietopologie van werfskakels te skep gebaseer op die gedefinieerde werwe. Veranderkennisgewing aktiveer domeinbeheerders om 'n trekreplikasie-siklus te begin, wat lei tot gereelde en outomatiese intrasite-replikasie. Intersite replikasie intervalle is gewoonlik korter en hang af van die hoeveelheid tyd wat verby is eerder as op verandering kennisgewing. Alhoewel die meeste domeinopdaterings op enige domeinbeheerder uitgevoer kan word, kan sommige aktiwiteite slegs op 'n spesifieke bediener uitgevoer word. Daar word na hierdie bedieners verwys as die "operation masters" (oorspronklik Flexible Single Master Operations of FSMO's). Skema Master, Domain Naming Master, PDC Emulator, RID Master, en Infrastructure Master is die operasie meester posisies. 'n Domein of woud se funksionele vlak bepaal watter gevorderde kenmerke in die bos of domein beskikbaar is. Vir Windows Server 2016 en 2019 word verskillende funksionele vlakke aangebied. Alle domeinbeheerders moet gekonfigureer word om die hoogste funksionele vlak vir woude en domeine te verskaf. Vir administratiewe doeleindes word houers gebruik om Active Directory-objekte te groepeer. Die domein, ingeboude, gebruikers, rekenaars en domeinbeheerders is die verstekhouers. Organisatoriese eenhede (OE's) is objekhouers wat gebruik word om 'n administratiewe hiërargie aan 'n domein te verskaf. Hulle ondersteun beide administratiewe delegering en die ontplooiing van Groepbeleid-objekte. Die Active Directory-databasis word in 'n domein gebruik om gebruikers en rekenaars vir al die domein se rekenaars en gebruikers te staaf. 'n Werkgroep is 'n alternatiewe opstelling waarin elke masjien in beheer is van die verifikasie van sy eie gebruikers. Alle masjiene in die domein het toegang tot domeinrekeninge, wat in die Active Directory-databasis onderhou word. Elke plaaslike rekenaar se Sekuriteitsrekeningbestuurder (SAM) databasis stoor plaaslike rekeninge wat slegs deur daardie rekenaar toeganklik is. Verspreidingsgroepe en sekuriteitsgroepe is die twee tipes gebruikersgroepe wat deur Active Directory ondersteun word. E-postoepassings, soos Microsoft Exchange, gebruik verspreidingsgroepe. Gebruikersrekeninge word saam in sekuriteitsgroepe gegroepeer vir die doeleindes van die toepassing van voorregte en toestemmings. Die omvang van Active Directory-groepe kan gestel word op Universeel, Globaal of Domain Local. Enige rekening in die woud kan 'n lid van 'n universele groep wees, wat aan enige hulpbron in die woud toegewys kan word. Enige rekening in die domein kan 'n lid van 'n globale groep wees, en hulle kan aan enige hulpbron in die woud toegewys word. Enige rekening in die woud kan 'n lid van 'n plaaslike domeingroep wees, wat aan enige domeinhulpbron toegewys kan word. Ander universele groepe en globale groepe uit die woud kan in universele groepe gevind word. Globale groepe van dieselfde domein kan bykomende globale groepe bevat. Plaaslike domeingroepe kan beide universele en globale groepe in die bos sowel as plaaslike domeingroepe van dieselfde domein bevat. Microsoft beveel aan om globale groepe te gebruik om gebruikers en domein plaaslike groepe te organiseer om hulpbronne te reël vir die bestuur van rekeninge en hulpbronne.

Debian, Fedora en Ubuntu is almal gewilde Linux-verspreidings. Red Hat Enterprise Linux en SUSE Linux Enterprise Server is twee kommersiële verspreidings. 'n Vensterstelsel soos X11 of Wayland, sowel as 'n lessenaaromgewing soos GNOME of KDE Plasma, is ingesluit in Linux-verspreidings vir rekenaars. Bedienerverspreidings mag of mag nie grafika insluit nie, of kan 'n oplossingstapel soos LAMP insluit. Enigeen kan 'n verspreiding vir enige doel produseer, want Linux is 'n vrye herverdeelbare oopbronsagteware.

Linux is geskep vir Intel se x86-argitektuurgebaseerde persoonlike rekenaars, maar dit is later na meer platforms as enige ander bedryfstelsel oorgedra. Linux het die grootste geïnstalleerde basis van alle algemene bedryfstelsels as gevolg van die oorheersing van die Linux-gebaseerde Android op slimfone. Ten spyte van die feit dat Linux net deur slegs 2.3 persent van tafelrekenaars gebruik word, oorheers die Chromebook, wat die Linux-kerngebaseerde Chrome OS bestuur, die Amerikaanse K-12-onderwysmark en is verantwoordelik vir ongeveer 20% van alle skootrekenaarverkope van minder as $300 . Linux is die gewildste bedryfstelsel vir bedieners (ongeveer 96.4 persent van die top 1 miljoen webbedieners loop Linux), sowel as ander groot ysterstelsels soos hoofraamrekenaars en TOP500 superrekenaars (sedert November 2017, wat geleidelik alle mededingers uitgeskakel het).

Linux is ook beskikbaar vir ingebedde stelsels, wat toestelle is waarvan die bedryfstelsel dikwels in die firmware opgeneem is en hoogs aangepas is vir die stelsel. Roeteerders, outomatiseringskontroles, slimhuistegnologie, televisies (Samsung en LG Smart TV's gebruik onderskeidelik Tizen en WebOS), motors (Tesla, Audi, Mercedes-Benz, Hyundai en Toyota gebruik almal Linux), digitale video-opnemers, videospeletjiekonsoles , en slimhorlosies is almal voorbeelde van Linux-gebaseerde toestelle. Die avionika van die Falcon 9 en Dragon 2 is gebaseer op 'n pasgemaakte weergawe van Linux.

Linux is een van die mees bekende voorbeelde van gratis en oopbron sagteware samewerking. Ingevolge die reëls van sy individuele lisensies, soos die GNU General Public License, mag die bronkode kommersieel of nie-kommersieel deur enigiemand gebruik, opgedateer en versprei word.

Die Linux-kern is nie ontwerp nie, maar eerder ontwikkel deur natuurlike seleksie, volgens verskeie oopbronontwikkelaars. Alhoewel die Unix-argitektuur as 'n steierwerk opgetree het, glo Torvalds dat "Linux met baie mutasies ontwikkel het - en omdat die mutasies minder as lukraak was, was hulle vinniger en meer gerig as alfa-deeltjies in DNA." Die revolusionêre kenmerke van Linux, volgens Eric S. Raymond, is eerder sosiaal as tegnies: voor Linux is gesofistikeerde sagteware met moeite deur klein groepies gebou, maar “Linux het op 'n heel ander manier grootgeword. Dit is van die begin af byna onopsetlik ingebreek deur groot groepe vrywilligers wat uitsluitlik deur die internet gekommunikeer het. Die dom eenvoudige tegniek om elke week te publiseer en binne dae insette van honderde gebruikers te ontvang, wat 'n vorm van vinnige Darwinistiese seleksie op die mutasies wat deur ontwikkelaars gebring word, genereer, eerder as streng standaarde of diktatuur, is gebruik om kwaliteit te bewaar.” "Linux is nie ontwerp nie, dit het ontwikkel," sê Bryan Cantrill, 'n ingenieur vir 'n mededingende bedryfstelsel, maar hy sien dit as 'n beperking, en beweer dat sommige kenmerke, veral dié wat met sekuriteit verband hou, nie in ontwikkel kan word nie, want "dit is nie Op die ou end nie 'n biologiese stelsel nie, dit is 'n sagtewarestelsel. 'n Linux-gebaseerde stelsel is 'n modulêre Unix-agtige bedryfstelsel wat baie van sy argitektoniese inspirasie put uit Unix-beginsels wat in die 1970's en 1980's ontwikkel is. 'n Monolitiese kern, die Linux-kern, word in so 'n stelsel gebruik om prosesbeheer, netwerkvorming, perifere toegang en lêerstelsels te hanteer. Toestelbestuurders word óf direk in die kern ingebou óf bygevoeg as modules wat gelaai word terwyl die stelsel loop.

Die GNU-gebruikersland is 'n belangrike kenmerk van die meeste Linux-gebaseerde stelsels, met Android as 'n uitsondering. Die gereedskapsketting is 'n wye versameling programmeringsinstrumente wat noodsaaklik is vir Linux-ontwikkeling (insluitend die samestellers wat gebruik word om die Linux-kern self te bou), en die coreutils implementeer baie basiese Unix-nutsgoed. Die Projek se implementering van die C-biblioteek werk as 'n omhulsel vir die Linux-kern se stelseloproepe wat nodig is vir die kern-gebruikerruimte-koppelvlak, die gereedskapsketting is 'n breë versameling programmeringsinstrumente wat noodsaaklik is vir Linux-ontwikkeling (insluitend die samestellers wat gebruik word om die Linux-kern self te bou) , en die coreutils implementeer baie basiese Unix-instrumente. Bash, 'n gewilde CLI-dop, word ook as deel van die projek ontwikkel. Die meeste Linux-stelsels se grafiese gebruikerskoppelvlak (of GUI) is gebaseer op 'n implementering van die X Window System. Meer onlangs het die Linux-gemeenskap gewerk om X11 te vervang met Wayland as die vervangende vertoonbedienerprotokol. Linux-stelsels trek voordeel uit verskeie ander oopbronsagteware-inisiatiewe.

'n Linux-stelsel se geïnstalleerde komponente sluit die volgende in:

• GNU GRUB, LILO, SYSLINUX of Gummiboot is voorbeelde van selflaailaaiers. Dit is 'n sagteware wat uitgevoer word wanneer die rekenaar aangeskakel word en na die firmware-inisialisering om die Linux-kern in die rekenaar se hoofgeheue te laai.
• 'n Init-program, soos sysvinit of die meer onlangse systemd, OpenRC of Upstart. Dit is die aanvanklike proses wat deur die Linux-kern begin is, en dit sit bo-aan die prosesboom; met ander woorde, init is waar alle ander prosesse begin. Dit begin take soos stelseldienste en aanmeldaanwysings (hetsy grafies of in terminale modus).
• Sagtewarebiblioteke is versamelings kode wat deur ander programme gebruik kan word. Die dinamiese skakelaar wat die gebruik van dinamiese biblioteke op Linux-stelsels hanteer wat ELF-formaat uitvoerbare lêers gebruik, staan ​​bekend as ld-linux.so. As die stelsel so opgestel is dat die gebruiker self toepassings kan genereer, sal koplêers ingesluit word om die geïnstalleerde biblioteke se koppelvlak te beskryf. Afgesien van die GNU C-biblioteek (glibc), wat die mees gebruikte sagteware-biblioteek op Linux-stelsels is, is daar nog ander biblioteke, soos SDL en Mesa.
• Die GNU C-biblioteek is die standaard C-standaardbiblioteek, wat nodig is om C-programme op 'n rekenaarstelsel te laat loop. Alternatiewe vir ingebedde stelsels is ontwikkel, insluitend musl, EGLIBC ('n glibc-kloon wat oorspronklik deur Debian gebruik is), en uClibc (gebou vir uClinux), maar die laaste twee word nie meer onderhou nie. Bionic, Android se eie C-biblioteek, word gebruik.
• GNU coreutils is die standaard implementering van basiese Unix-opdragte. Vir ingebedde toestelle is daar alternatiewe soos die copyleft BusyBox en die BSD-gelisensieerde Toybox.
• Widget-nutsgoedstelle is biblioteke vir die skep van sagtewaretoepassings se grafiese gebruikerskoppelvlakke (GUI's). GTK en Clutter, geskep deur die GNOME-projek, Qt, ontwikkel deur die Qt-projek en gelei deur The Qt Company, en Enlightenment Foundation Libraries (EFL), wat meestal deur die Enlightenment-span onderhou word, is van die widget-nutsgoedstelle wat beskikbaar is.
• 'n Pakketbestuurstelsel, soos dpkg of RPM, word gebruik om pakkette te bestuur. Pakkette kan ook uit bron-tarballs of binêre tarballs gebou word.
• Opdragdoppe en vensteromgewings is voorbeelde van gebruikerskoppelvlakprogramme.

Die gebruikerskoppelvlak, dikwels bekend as die dop, is tipies 'n opdraglyn-koppelvlak (CLI), 'n grafiese gebruikerskoppelvlak (GUI), of kontroles gekoppel aan die gepaardgaande hardeware. Die tipiese gebruikerskoppelvlak op rekenaarrekenaars is gewoonlik grafies, terwyl die CLI gereeld toeganklik is via terminale emulatorvensters of 'n aparte virtuele konsole.

Teksgebaseerde gebruikerskoppelvlakke, of CLI-skulpe, gebruik teks vir beide invoer en uitvoer. Die Bourne-Again Shell (bash), wat vir die GNU-projek geskep is, is die dop wat die meeste onder Linux gebruik word. Die CLI word geheel en al deur die meeste laevlak Linux-komponente gebruik, insluitend verskeie dele van die gebruikersland. Die CLI is veral geskik vir die outomatisering van herhaalde of vertraagde bewerkings, en dit maak voorsiening vir relatief maklike inter-proses kommunikasie.

Die GUI-skulpe, propvol volledige lessenaaromgewings soos KDE Plasma, GNOME, MATE, Cinnamon, LXDE, Pantheon en Xfce, is die gewildste gebruikerskoppelvlakke op rekenaarstelsels, terwyl 'n aantal ander gebruikerskoppelvlakke bestaan. Die X Window System, ook bekend as "X," ondersteun die meeste gewilde gebruikerskoppelvlakke. Dit maak netwerkdeursigtigheid moontlik deur toe te laat dat 'n grafiese toepassing wat op een masjien werk, op 'n ander vertoon word, waar 'n gebruiker daarmee kan kommunikeer; sommige X Window System-uitbreidings is egter nie in staat om oor die netwerk te werk nie. Daar is verskeie X-vertoonbedieners, waarvan die gewildste X.Org Server is, wat die verwysingsimplementering is.

Bedienerverspreidings kan 'n opdraglyn-koppelvlak vir ontwikkelaars en administrateurs verskaf, maar kan ook 'n pasgemaakte koppelvlak vir eindgebruikers insluit wat aangepas is vir die stelsel se gebruiksgeval. Hierdie pasgemaakte koppelvlak word verkry via 'n kliënt wat op 'n ander stelsel loop wat nie noodwendig Linux-gebaseerd is nie.

Vir X11 is daar verskeie tipes vensterbestuurders, insluitend teëlwerk, dinamiese, stapeling en samestelling. Vensterbestuurders het interaksie met die X Window-stelsel en laat jou toe om die ligging en voorkoms van individuele toepassingsvensters te beheer. Eenvoudiger X-vensterbestuurders soos dwm, ratpoison, i3wm of herbstluftwm het 'n minimalistiese koppelvlak, terwyl meer komplekse vensterbestuurders soos FVWM, Enlightenment of Window Maker bykomende kenmerke soos 'n ingeboude taakbalk en temas insluit, maar steeds liggewig is in vergelyking met lessenaar omgewings. Vensterbestuurders soos Mutter (GNOME), KWin (KDE) en Xfwm (xfce) is by die meeste lessenaaromgewings se basiese installasies ingesluit, maar gebruikers kan kies om 'n ander vensterbestuurder te gebruik as hulle dit verkies.

Wayland is 'n vertoonbedienerprotokol wat ontwerp is om die X11-protokol te vervang, maar dit het nog nie wydverspreide gebruik gekry vanaf 2014 nie. Wayland, anders as X11, benodig nie 'n eksterne vensterbestuurder of samestellingbestuurder nie. As gevolg hiervan dien 'n Wayland-samesteller as 'n vertoonbediener, vensterbestuurder en samestellingsbestuurder alles in een. Wayland se verwysingsimplementering is Weston, alhoewel Mutter en KWin van GNOME en KDE na Wayland omgeskakel word as selfstandige vertoonbedieners. Sedert weergawe 19 is Enlightenment suksesvol oorgedra.

'n Rekenaarnetwerk is 'n versameling rekenaars wat hulpbronne tussen netwerknodusse deel. Om met mekaar te kommunikeer, gebruik die rekenaars standaard kommunikasieprotokolle oor digitale skakels heen. Telekommunikasienetwerktegnologieë gebaseer op fisies bedrade, optiese en draadlose radiofrekwensiestelsels wat in 'n aantal netwerktopologieë saamgestel kan word, maak hierdie interkonneksies uit. Persoonlike rekenaars, bedieners, netwerkhardeware en ander gespesialiseerde of algemene-doel-gashere kan almal nodusse in 'n rekenaarnetwerk wees. Netwerkadresse en gasheername kan gebruik word om hulle te identifiseer. Gasheername dien as etikette wat maklik is om te onthou vir nodusse, en hulle word selde gewysig nadat hulle toegewys is. Kommunikasieprotokolle soos die Internetprotokol gebruik netwerkadresse om nodusse op te spoor en te identifiseer. Sekuriteit is een van die mees kritieke aspekte van netwerk.

Die transmissiemedium wat gebruik word om seine oor te dra, bandwydte, kommunikasieprotokolle om netwerkverkeer te organiseer, netwerkgrootte, topologie, verkeersbeheermeganisme en organisatoriese doelwit is alles faktore wat gebruik kan word om rekenaarnetwerke te klassifiseer.

Toegang tot die Wêreldwye Web, digitale video, digitale musiek, gedeelde gebruik van toepassings- en bergingsbedieners, drukkers en faksmasjiene, en die gebruik van e-pos- en kitsboodskapprogramme word alles deur rekenaarnetwerke ondersteun.

'n Rekenaarnetwerk gebruik veelvuldige tegnologieë soos e-pos, kitsboodskappe, aanlynklets, oudio- en videotelefoongesprekke en videokonferensies om interpersoonlike verbindings via elektroniese middele uit te brei. 'n Netwerk laat toe dat netwerk- en rekenaarhulpbronne gedeel word. Gebruikers kan toegang verkry tot netwerkhulpbronne en dit gebruik, soos die druk van 'n dokument op 'n gedeelde netwerkdrukker of toegang tot en gebruik van 'n gedeelde bergingstasie. 'n Netwerk laat gemagtigde gebruikers toe om toegang te verkry tot inligting wat op ander rekenaars op die netwerk gestoor is deur lêers, data en ander soorte inligting oor te dra. Om take te voltooi, maak verspreide rekenaars voordeel uit rekenaarhulpbronne wat oor 'n netwerk versprei is.

Pakkiemodus-oordrag word deur die meeste huidige rekenaarnetwerke gebruik. 'n Pakkie-geskakelde netwerk vervoer 'n netwerkpakkie, wat 'n geformateerde eenheid van data is.

Beheerinligting en gebruikersdata is die twee tipes data in pakkies (loonvrag). Die beheerinligting sluit inligting in soos bron- en bestemmingsnetwerkadresse, foutopsporingskodes en volgordeinligting wat die netwerk nodig het om gebruikersdata oor te dra. Beheerdata word tipies in pakkieopskrifte en sleepwaens ingesluit, met loonvragdata in die middel.

Die bandwydte van die transmissiemedium kan beter onder gebruikers gedeel word wat pakkies gebruik as met kringgeskakelde netwerke. Wanneer een gebruiker nie pakkies uitsaai nie, kan die verbinding gevul word met pakkies van ander gebruikers, sodat die koste met minimale steurnis gedeel kan word, solank die skakel nie misbruik word nie. Dikwels is die pad wat 'n pakkie deur 'n netwerk moet neem, tans nie beskikbaar nie. In daardie geval is die pakkie in 'n tou en sal dit nie gestuur word totdat 'n skakel beskikbaar word nie.

Pakkienetwerk fisieke skakeltegnologieë beperk dikwels pakkiegrootte tot 'n spesifieke maksimum transmissie-eenheid (MTU). 'n Groter boodskap kan gebreek word voordat dit oorgedra word, en die pakkies word weer saamgestel om die oorspronklike boodskap te vorm sodra hulle aankom.

Topologieë van gemeenskaplike netwerke

Die fisiese of geografiese liggings van netwerknodusse en skakels het min impak op 'n netwerk, maar die argitektuur van 'n netwerk se onderlinge verbindings kan 'n aansienlike impak op die deurset en betroubaarheid daarvan hê. ’n Enkele mislukking in verskeie tegnologieë, soos bus- of sternetwerke, kan veroorsaak dat die hele netwerk misluk. Oor die algemeen, hoe meer onderlinge verbindings 'n netwerk het, hoe meer stabiel is dit; tog, hoe duurder is dit om op te stel. Gevolglik word die meeste netwerkdiagramme volgens hul netwerktopologie georganiseer, wat 'n kaart is van netwerkgashere se logiese verhoudings.

Die volgende is voorbeelde van algemene uitlegte:

Alle nodusse in 'n busnetwerk is via hierdie medium aan 'n gemeenskaplike media gekoppel. Dit was die oorspronklike Ethernet-konfigurasie, bekend as 10BASE5 en 10BASE2. Op die dataskakellaag is dit steeds 'n algemene argitektuur, al gebruik huidige fisiese laag-variante punt-tot-punt-skakels om eerder 'n ster of 'n boom te bou.
Alle nodusse is gekoppel aan 'n sentrale nodus in 'n sternetwerk. Dit is die algemene konfigurasie in 'n klein geskakelde Ethernet-LAN, waar elke kliënt aan 'n sentrale netwerkskakelaar koppel, en logies in 'n draadlose LAN, waar elke draadlose kliënt aan die sentrale draadlose toegangspunt koppel.
Elke nodus is aan sy linker- en regterbuurknooppunte gekoppel, wat 'n ringnetwerk vorm waarin alle nodusse verbind is en elke nodus die ander nodus kan bereik deur nodusse na links of regs te beweeg. Hierdie topologie is gebruik in token ring netwerke en die Fibre Distributed Data Interface (FDDI).
Maasnetwerk: elke nodus is aan 'n arbitrêre aantal bure gekoppel op so 'n manier dat elke nodus ten minste een deurkruising het.
Elke nodus in die netwerk is aan elke ander nodus in die netwerk gekoppel.
Die nodusse in 'n boomnetwerk is in 'n hiërargiese volgorde gerangskik. Met verskeie skakelaars en geen oortollige meshing nie, is dit die natuurlike topologie vir 'n groter Ethernet-netwerk.
Die fisiese argitektuur van 'n netwerk se nodusse verteenwoordig nie altyd die netwerk se struktuur nie. Die netwerkargitektuur van FDDI is byvoorbeeld 'n ring, maar die fisiese topologie is dikwels 'n ster, want alle nabygeleë verbindings kan deur 'n enkele fisiese terrein gelei word. Omdat algemene kanale en toerustingplasings egter enkele punte van mislukking kan verteenwoordig as gevolg van kommer soos brande, kragonderbrekings en oorstromings, is die fisiese argitektuur nie heeltemal betekenisloos nie.

Overlay netwerke

'n Virtuele netwerk wat bo-op 'n ander netwerk gevestig word, staan ​​bekend as 'n oorlegnetwerk. Virtuele of logiese skakels verbind die oorlegnetwerk se nodusse. Elke skakel in die onderliggende netwerk stem ooreen met 'n pad wat deur verskeie fisiese skakels kan gaan. Die oorlegnetwerk se topologie kan (en doen dit dikwels) verskil van die onderliggende netwerk s'n. Baie eweknie-netwerke is byvoorbeeld oorlegnetwerke. Hulle is opgestel as nodusse in 'n virtuele netwerk van skakels wat oor die internet loop.

Oorlegnetwerke bestaan ​​sedert die begin van netwerke, toe rekenaarstelsels oor telefoonlyne via modems gekoppel is voordat daar 'n datanetwerk was.

Die internet is die mees sigbare voorbeeld van 'n oorlegnetwerk. Die internet is oorspronklik ontwerp as 'n uitbreiding van die telefoonnetwerk. Selfs vandag laat 'n onderliggende netwerk van subnetwerke met wyd uiteenlopende topologieë en tegnologie elke internetnodus toe om met byna enige ander te kommunikeer. Die metodes om 'n volledig gekoppelde IP-oorlegnetwerk aan sy onderliggende netwerk te karteer, sluit adresresolusie en roetering in.

'n Verspreide hash-tabel, wat sleutels na netwerknodes karteer, is nog 'n voorbeeld van 'n oorlegnetwerk. Die onderliggende netwerk in hierdie geval is 'n IP-netwerk, en die oorlegnetwerk is 'n sleutel-geïndekseerde tabel (regtig 'n kaart).

Oorlegnetwerke is ook voorgestel as 'n tegniek om internetroetering te verbeter, soos deur stromingmedia van hoër gehalte te verseker deur kwaliteit van diensversekering. Vorige voorstelle soos IntServ, DiffServ en IP Multicast het nie veel aangryping gekry nie, as gevolg van die feit dat dit vereis dat alle routers in die netwerk gewysig moet word. Aan die ander kant, sonder die hulp van internetdiensverskaffers, kan 'n oorlegnetwerk inkrementeel geïnstalleer word op eindgashere wat die oorlegprotokolsagteware gebruik. Die oorlegnetwerk het geen invloed oor hoe pakkies tussen oorlegnodusse in die onderliggende netwerk gelei word nie, maar dit kan die volgorde van oorlegnodusse reguleer waardeur 'n boodskap gaan voordat dit sy bestemming bereik.

Verbindings met die internet

Elektriese kabel, optiese vesel en vrye spasie is voorbeelde van transmissiemedia (ook bekend as die fisiese medium) wat gebruik word om toestelle te koppel om 'n rekenaarnetwerk te vestig. Die sagteware om media te hanteer word gedefinieer by lae 1 en 2 van die OSI-model - die fisiese laag en die dataskakellaag.

Ethernet verwys na 'n groep tegnologieë wat koper- en veselmedia in plaaslike area netwerk (LAN) tegnologie gebruik. IEEE 802.3 definieer die media- en protokolstandaarde wat netwerktoestelle toelaat om oor Ethernet te kommunikeer. Radiogolwe word in sommige draadlose LAN-standaarde gebruik, terwyl infrarooi seine in ander gebruik word. Die kragkabels in 'n gebou word gebruik om data in kraglynkommunikasie te vervoer.

In rekenaarnetwerke word die volgende bedrade tegnologieë gebruik.

Koaksiale kabel word gereeld vir plaaslike areanetwerke in kabeltelevisiestelsels, kantoorgeboue en ander werkterreine gebruik. Die transmissiespoed wissel tussen 200 miljoen bisse per sekonde en 500 miljoen bisse per sekonde.
Die ITU-T G.hn-tegnologie skep 'n hoëspoed plaaslike area netwerk deur bestaande huisbedrading (koaksiale kabel, telefoonlyne en kraglyne) te gebruik.
Bedrade Ethernet en ander standaarde gebruik gedraaide paar kabels. Dit bestaan ​​gewoonlik uit vier pare koperbedrading wat gebruik kan word om beide stem en data oor te dra. Oorspraak en elektromagnetiese induksie word verminder wanneer twee drade saam gedraai word. Die transmissiespoed wissel van 2 tot 10 gigabit per sekonde. Daar is twee tipes gedraaide paar bekabeling: ongeskermde gedraaide paar (UTP) en afgeskermde gedraaide paar (STP) (STP). Elke vorm is beskikbaar in 'n verskeidenheid kategorie-graderings, wat dit moontlik maak om in 'n verskeidenheid situasies gebruik te word.
Rooi en blou lyne op 'n wêreldkaart
Ondersese optiese vesel telekommunikasielyne word op 'n kaart van 2007 uitgebeeld.
'n Glasvesel is 'n optiese vesel. Dit gebruik lasers en optiese versterkers om ligpulse uit te stuur wat data verteenwoordig. Optiese vesels bied verskeie voordele bo metaallyne, insluitend minimale transmissieverlies en veerkragtigheid teen elektriese interferensie. Optiese vesels kan terselfdertyd talle strome data oor verskillende golflengtes van lig dra deur digte golfdeling-multipleksing te gebruik, wat die tempo van data-oordrag verhoog tot miljarde bisse per sekonde. Optiese vesels word gebruik in ondersese kabels wat vastelande verbind en kan gebruik word vir lang lopies kabels wat baie hoë datasnelhede dra. Enkelmodus optiese vesel (SMF) en multi-modus optiese vesel (MMF) is die twee primêre vorme van optiese vesel (MMF). Enkelmodusvesel bied die voordeel om 'n koherente sein oor dosyne, indien nie honderde, kilometers te onderhou nie. Multimodusvesel is goedkoper om te beëindig, maar het 'n maksimum lengte van slegs 'n paar honderd of selfs 'n paar dosyne meter, afhangend van die datatempo en kabelgraad.

Draadlose netwerke

Draadlose netwerkverbindings kan gevorm word deur radio of ander elektromagnetiese kommunikasiemetodes te gebruik.

Terrestriële mikrogolfkommunikasie maak gebruik van Aarde-gebaseerde senders en ontvangers wat soos satellietskottels lyk. Mikrogolwe op die grond werk in die lae gigahertz-reeks, wat alle kommunikasie tot siglyn beperk. Die aflosstasies is ongeveer 40 myl (64 kilometer) uitmekaar.
Satelliete wat deur mikrogolf kommunikeer word ook deur kommunikasiesatelliete gebruik. Die satelliete is gewoonlik in geosinchroniese wentelbaan, wat 35,400 22,000 kilometer (XNUMX XNUMX myl) bokant die ewenaar is. Stem-, data- en televisieseine kan deur hierdie toestelle wat om die aarde wentel, ontvang en herlei word.
Verskeie radiokommunikasietegnologieë word in sellulêre netwerke gebruik. Die stelsels verdeel die bedekte gebied in verskeie geografiese groepe. ’n Laekrag-senderontvanger bedien elke area.
Draadlose LAN's gebruik 'n hoëfrekwensie-radiotegnologie wat vergelykbaar is met digitale sellulêre om te kommunikeer. Verspreide spektrum tegnologie word in draadlose LAN's gebruik om kommunikasie tussen verskeie toestelle in 'n klein spasie moontlik te maak. Wi-Fi is 'n tipe oopstandaard draadlose radiogolftegnologie wat deur IEEE 802.11 gedefinieer word.
Vrye-ruimte optiese kommunikasie kommunikeer via sigbare of onsigbare lig. Siglynvoortplanting word in die meeste omstandighede gebruik, wat die fisiese posisionering van verbindingstoestelle beperk.
Die Interplanetêre Internet is 'n radio- en optiese netwerk wat die Internet uitbrei na interplanetêre dimensies.
RFC 1149 was 'n prettige April Fool's Request for Comments on IP via Avian Carriers. In 2001 is dit in die werklike lewe toegepas.
Die laaste twee situasies het 'n lang terugreisvertraging, wat lei tot vertraagde tweerigtingkommunikasie, maar nie die oordrag van massiewe volumes data verhoed nie (hulle kan 'n hoë deurset hê).

Nodusse in 'n netwerk

Netwerke word saamgestel met behulp van ekstra basiese stelselbou-elemente soos netwerkkoppelvlakbeheerders (NIC's), herhalers, spilpunte, brûe, skakelaars, roeteerders, modems en brandmure bykomend tot enige fisiese transmissiemedia. Enige gegewe stuk toerusting sal byna altyd verskeie boublokke bevat en dus in staat wees om verskeie take te doen.

Koppelvlakke met die internet

'n Netwerkkoppelvlakkring wat 'n OTM-poort insluit.
'n Hulpkaart wat dien as 'n OTM-netwerkkoppelvlak. 'n Groot aantal netwerkkoppelvlakke is vooraf geïnstalleer.
'n Netwerkkoppelvlakbeheerder (NIC) is 'n stuk rekenaarhardeware wat 'n rekenaar aan 'n netwerk koppel en laevlaknetwerkdata kan verwerk. 'n Verbinding om 'n kabel te neem, of 'n lugdraad vir draadlose transmissie en ontvangs, sowel as die verwante stroombane, kan op die NIC gevind word.

Elke netwerkkoppelvlakbeheerder in 'n Ethernet-netwerk het 'n unieke Media Access Control (MAC) adres, wat normaalweg in die beheerder se permanente geheue gestoor word. Die Instituut vir Elektriese en Elektroniese Ingenieurs (IEEE) handhaaf en hou toesig oor MAC-adres uniekheid om adreskonflikte tussen netwerktoestelle te voorkom. 'n Ethernet MAC-adres is ses oktette lank. Die drie belangrikste oktette word vir NIC-vervaardiger-identifikasie toegeken. Hierdie vervaardigers ken die drie minste-beduidende oktette toe van elke Ethernet-koppelvlak wat hulle bou met slegs hul toegewese voorvoegsels.

Hubs en herhalers

'n Herhaler is 'n elektroniese toestel wat 'n netwerksein aanvaar en dit van ongewenste geraas skoonmaak voordat dit herstel word. Die sein word weer versend teen 'n groter kragvlak of na die ander kant van die obstruksie, sodat dit verder kan gaan sonder om agteruit te gaan. Herhalers is nodig in die meeste gedraai-paar Ethernet-stelsels vir kabellopies groter as 100 meter. Herhalers kan tiene of selfs honderde kilometers uitmekaar wees wanneer veseloptika gebruik word.

Herhalers werk op die OSI-model se fisiese laag, maar dit neem nog 'n bietjie tyd om die sein te herstel. Dit kan lei tot 'n voortplantingsvertraging, wat netwerkwerkverrigting en -funksie kan benadeel. Gevolglik beperk verskeie netwerktopologieë, soos die Ethernet 5-4-3-reël, die aantal herhalers wat in 'n netwerk gebruik kan word.

'n Ethernet-hub is 'n Ethernet-herhaler met baie poorte. 'n Herhaler-hub help met netwerkbotsingsopsporing en foutisolasie bykomend tot die herkondisionering en verspreiding van netwerkseine. Moderne netwerkskakelaars het meestal hubs en herhalers in LAN's vervang.

Skakelaars en brûe

In teenstelling met 'n spilpunt, oorbrug en skakel netwerk slegs rame vorentoe na die poorte wat by die kommunikasie betrokke is, maar 'n spilpunt stuur rame aan na alle hawens. 'n Skakelaar kan as 'n multipoortbrug beskou word omdat brûe net twee poorte het. Skakelaars het tipies 'n groot aantal poorte, wat voorsiening maak vir 'n stertopologie vir toestelle en die kaskade van verdere skakelaars.

Die dataskakellaag (laag 2) van die OSI-model is waar brûe en skakelaars werk, wat verkeer tussen twee of meer netwerksegmente oorbrug om 'n enkele plaaslike netwerk te vorm. Albei is toestelle wat datarame oor poorte aanstuur gebaseer op die MAC-adres van die bestemming in elke raam. Deur die bronadresse van ontvangde rame te ondersoek, leer hulle hoe om fisiese poorte met MAC-adresse te assosieer, en hulle stuur rame net aan wanneer nodig. As die toestel 'n onbekende bestemming MAC teiken, saai dit die versoek uit na alle poorte behalwe die bron en lei die ligging af uit die antwoord.

Die botsingsdomein van die netwerk word deur brûe en skakelaars verdeel, terwyl die uitsaaidomein dieselfde bly. Oorbruggings- en skakelhulp breek 'n groot, oorbelaste netwerk af in 'n versameling kleiner, meer doeltreffende netwerke, wat bekend staan ​​as netwerksegmentering.

Routers

Die ADSL-telefoonlyn en Ethernet-netwerkkabelverbindings word op 'n tipiese huis- of klein besigheidsroeteerder gesien.
'n Roeter is 'n internetwerkende toestel wat die adresseer- of roeteerinligting in pakkies verwerk om dit tussen netwerke aan te stuur. Die roetetabel word gereeld saam met die roete-inligting gebruik. 'n Roeter bepaal waarheen om pakkies deur te gee deur sy roetedatabasis te gebruik, eerder as om pakkies uit te saai, wat verkwistend is vir baie groot netwerke.

modems
Modems (modulator-demodulator) verbind netwerknodusse deur drade wat nie vir digitale netwerkverkeer of vir draadloos ontwerp is nie. Om dit te doen, moduleer die digitale sein een of meer draerseine, wat lei tot 'n analoog sein wat aangepas kan word om die toepaslike transmissie-eienskappe te verskaf. Oudioseine wat oor 'n konvensionele stemtelefoonverbinding gelewer is, is deur vroeë modems gemoduleer. Modems word steeds wyd gebruik vir digitale intekenaarlyn (DSL) telefoonlyne en kabeltelevisiestelsels wat DOCSIS-tegnologie gebruik.

Firewalls is netwerktoestelle of sagteware wat gebruik word om netwerksekuriteit en toegangsregulasies te beheer. Firewalls word gebruik om veilige interne netwerke te skei van potensieel onveilige eksterne netwerke soos die internet. Tipies word brandmure opgestel om toegangsversoeke van onbekende bronne te weier, terwyl aktiwiteite van bekendes toegelaat word. Die belangrikheid van firewalls in netwerksekuriteit neem toe met die toename in kuberbedreigings.

Protokolle vir kommunikasie

Protokolle soos dit verband hou met die internet se laagstruktuur
Die TCP/IP-model en sy verhoudings met gewilde protokolle wat op verskillende vlakke gebruik word.
Wanneer 'n roeteerder teenwoordig is, daal die boodskap deur protokollae, oor na die roeteerder, op die roeteerder se stapel, terug af, en verder na die eindbestemming, waar dit terug op die roeteerder se stapel klim.
In die teenwoordigheid van 'n roeteerder vloei boodskap tussen twee toestelle (AB) op die vier vlakke van die TCP/IP-paradigma (R). Die rooi vloei verteenwoordig effektiewe kommunikasiepaaie, terwyl die swart paaie werklike netwerkverbindings verteenwoordig.
'n Kommunikasieprotokol is 'n stel instruksies vir die stuur en ontvang van data via 'n netwerk. Protokolle vir kommunikasie het 'n verskeidenheid eienskappe. Hulle kan óf verbinding-georiënteerd of verbindingloos wees, gebruik kringmodus of pakkieskakeling, en gebruik hiërargiese of plat adressering.

Kommunikasiebedrywighede word opgedeel in protokollae in 'n protokolstapel, wat gereeld volgens die OSI-model gebou word, met elke laag wat die dienste van die een daaronder benut totdat die onderste laag die hardeware beheer wat inligting oor die media vervoer. Protokollaag word wyd gebruik in die wêreld van rekenaarnetwerke. HTTP (World Wide Web-protokol) wat oor TCP oor IP (internetprotokolle) oor IEEE 802.11 loop, is 'n goeie voorbeeld van 'n protokolstapel (die Wi-Fi-protokol). Wanneer 'n tuisgebruiker op die web blaai, word hierdie stapel tussen die draadlose roeteerder en die gebruiker se persoonlike rekenaar gebruik.

'n Paar van die mees algemene kommunikasieprotokolle word hier gelys.

Protokolle wat wyd gebruik word

Suite van internetprotokolle
Alle huidige netwerke is gebou op die Internet Protocol Suite, dikwels bekend as TCP/IP. Dit bied beide verbindinglose en verbinding-georiënteerde dienste oor 'n intrinsiek onstabiele netwerk wat deur internetprotokol datagramoordrag (IP) deurkruis word. Die protokol suite definieer die adressering, identifikasie en roetering standaarde vir Internet Protocol Weergawe 4 (IPv4) en IPv6, die volgende iterasie van die protokol met baie uitgebreide adressering vermoëns. Die Internet Protocol Suite is 'n stel protokolle wat definieer hoe die internet werk.

IEEE 802 is 'n akroniem vir "International Electrotechnical
IEEE 802 verwys na 'n groep IEEE-standaarde wat handel oor plaaslike en metropolitaanse gebiedsnetwerke. Die IEEE 802-protokolsuite as geheel bied 'n wye reeks netwerkvermoëns. 'n Plat adresseermetode word in die protokolle gebruik. Hulle werk meestal by die OSI-model se lae 1 en 2.

MAC-oorbrugging (IEEE 802.1D), byvoorbeeld, gebruik die Spanning Tree-protokol om Ethernet-verkeer te stuur. VLAN's word gedefinieer deur IEEE 802.1Q, terwyl IEEE 802.1X 'n poortgebaseerde netwerktoegangsbeheerprotokol definieer, wat die grondslag is vir die verifikasieprosesse wat in VLAN's (maar ook in WLAN's) gebruik word — dit is wat die tuisgebruiker sien wanneer 'n "draadlose toegangsleutel."

Ethernet is 'n groep tegnologieë wat in bedrade LAN's gebruik word. IEEE 802.3 is 'n versameling standaarde wat deur die Instituut vir Elektriese en Elektroniese Ingenieurs vervaardig word wat dit beskryf.

LAN (draadloos)
Draadlose LAN, dikwels bekend as WLAN of WiFi, is vandag die bekendste lid van die IEEE 802-protokolfamilie vir tuisgebruikers. Dit is gebaseer op die IEEE 802.11-spesifikasies. IEEE 802.11 het baie in gemeen met bedrade Ethernet.

SONET/SDH
Sinchronous Optical Networking (SONET) en Synchronous Digital Hierarchy (SDH) is multiplekseringstegnieke wat lasers gebruik om veelvuldige digitale bisstrome oor optiese vesel te stuur. Hulle is geskep om kringmoduskommunikasie vanaf baie bronne oor te dra, hoofsaaklik om kringgeskakelde digitale telefonie te ondersteun. SONET/SDH, aan die ander kant, was 'n ideale kandidaat vir die oordrag van Asynchronous Transfer Mode (ATM) rame as gevolg van sy protokol neutraliteit en vervoer-georiënteerde kenmerke.

Modus van asynchrone oordrag
Asynchrone oordragmodus (ATM) is 'n telekommunikasienetwerkskakeltegnologie. Dit enkodeer data in klein, vaste-grootte selle met behulp van asynchrone tyd-verdeling multipleksing. Dit is in teenstelling met ander protokolle wat pakkies of rame van veranderlike grootte gebruik, soos die Internet Protocol Suite of Ethernet. Beide kring- en pakkiegeskakelde netwerke is soortgelyk aan OTM. Dit maak dit geskik vir 'n netwerk wat beide hoë-deursetdata en intydse inhoud met lae latensie soos stem en video moet bestuur. OTM het 'n verbinding-georiënteerde benadering, waarin 'n virtuele stroombaan tussen twee eindpunte gevestig moet word voordat die werklike data-oordrag kan begin.

Terwyl OTM'e guns verloor ten gunste van volgende generasie netwerke, speel hulle steeds 'n rol in die laaste myl, of die verbinding tussen 'n internetdiensverskaffer en 'n residensiële gebruiker.

Sellulêre maatstawwe
Die Global System for Mobile Communications (GSM), General Packet Radio Service (GPRS), cdmaOne, CDMA2000, Evolution-Data Optimized (EV-DO), Verbeterde Data Tariewe vir GSM Evolution (EDGE), Universal Mobile Telecommunications System (UMTS), Digital Enhanced Cordless Telecommunications (DECT), Digital AMPS (IS-136/TDMA), en Integrated Digital Enhanced Network (IDEN) is van die verskillende digitale sellulêre standaarde (iDEN).

Routing

Roetering bepaal die beste paaie vir inligting om via 'n netwerk te reis. Byvoorbeeld, die beste roetes van nodus 1 na nodus 6 is waarskynlik 1-8-7-6 of 1-8-10-6, aangesien dit die dikste paaie het.
Roetering is die proses om netwerkpaaie vir die oordrag van data te identifiseer. Baie soorte netwerke, insluitend kringskakelingnetwerke en pakketgeskakelde netwerke, vereis roetering.

Roeteringsprotokolle rig pakkie-aanstuur (die vervoer van logies geadresseerde netwerkpakkies vanaf hul bron na hul eindbestemming) oor intermediêre nodusse in pakkie-geskakelde netwerke. Roeteerders, brûe, poorte, firewalls en skakelaars is algemene netwerkhardewarekomponente wat as tussennodusse optree. Rekenaars vir algemene doeleindes kan ook pakkies aanstuur en roetering uitvoer, al kan hul werkverrigting belemmer word as gevolg van hul gebrek aan spesialis hardeware. Roeteringstabelle, wat tred hou met die paaie na verskeie netwerkbestemmings, word gereeld gebruik om aanstuur in die roeteproses te rig. Gevolglik is die bou van roeteertabelle in die roeteerder se geheue krities vir doeltreffende roetering.

Daar is oor die algemeen verskeie roetes om van te kies, en verskillende faktore kan in ag geneem word wanneer besluit word watter roetes by die roetetabel gevoeg moet word, soos (volgens prioriteit):

Langer subnetmaskers is in hierdie geval wenslik (onafhanklik as dit binne 'n roeteringprotokol of oor 'n ander roeteringprotokol is)
Wanneer 'n goedkoper maatstaf/koste bevoordeel word, word daarna verwys as 'n metriek (slegs geldig binne een en dieselfde roeteprotokol)
Wanneer dit by administratiewe afstand kom, word 'n korter afstand verlang (slegs geldig tussen verskillende roeteringsprotokolle)
Die oorgrote meerderheid roeteringsalgoritmes gebruik slegs een netwerkpad op 'n slag. Veelvuldige alternatiewe paaie kan gebruik word met meerpad-roeteringsalgoritmes.

In sy idee dat netwerkadresse gestruktureer is en dat vergelykbare adresse nabyheid regdeur die netwerk aandui, word roetering, in 'n meer beperkende sin, soms gekontrasteer met oorbrugging. 'n Enkele roeteringtabelitem kan die roete na 'n versameling toestelle aandui deur gestruktureerde adresse te gebruik. Gestruktureerde adressering (roetering in die beperkte sin) presteer beter as ongestruktureerde adressering in groot netwerke (oorbrugging). Op die internet het roetering die mees gebruikte metode van adressering geword. Binne geïsoleerde situasies word oorbrugging steeds algemeen gebruik.

Die organisasies wat die netwerke besit, is gewoonlik in beheer van die bestuur daarvan. Intranette en ekstranette kan in private maatskappynetwerke gebruik word. Hulle kan ook netwerktoegang tot die internet verskaf, wat 'n globale netwerk is met geen enkele eienaar en in wese onbeperkte konneksie.

intranet
'n Intranet is 'n versameling netwerke wat deur 'n enkele administratiewe agentskap bestuur word. Die IP-protokol en IP-gebaseerde gereedskap soos webblaaiers en lêeroordragtoepassings word op die intranet gebruik. Die intranet kan slegs deur gemagtigde individue verkry word, volgens die administratiewe entiteit. 'n Intranet is gewoonlik 'n organisasie se interne LAN. Ten minste een webbediener is gewoonlik op 'n groot intranet teenwoordig om gebruikers van organisatoriese inligting te voorsien. 'n Intranet is enigiets op 'n plaaslike area-netwerk wat agter die router is.

Extranet
'n Ekstranet is 'n netwerk wat eweneens deur 'n enkele organisasie geadministreer word, maar slegs 'n beperkte toegang tot 'n sekere eksterne netwerk toelaat. Byvoorbeeld, 'n firma kan toegang tot bepaalde gedeeltes van sy intranet aan sy sakevennote of kliënte verleen om data te deel. Uit 'n sekuriteitsin is hierdie ander entiteite nie noodwendig te vertrou nie. WAN-tegnologie word gereeld gebruik om aan 'n ekstranet te koppel, maar dit word nie altyd gebruik nie.

Internet
'n Internetwerk is die koppeling van verskeie verskillende tipes rekenaarnetwerke om 'n enkele netwerk te vorm deur netwerksagteware bo-op mekaar te plaas en hulle via routers te verbind. Die internet is die bekendste voorbeeld van 'n netwerk. Dit is 'n onderling gekoppelde globale stelsel van regerings-, akademiese-, besigheids-, publieke en private rekenaarnetwerke. Dit is gebaseer op die Internet Protocol Suite se netwerktegnologieë. Dit is die opvolger van DARPA se Advanced Research Projects Agency Network (ARPANET), wat deur die Amerikaanse departement van verdediging se DARPA gebou is. Die Wêreldwye Web (WWW), die Internet van Dinge (IoT), videovervoer en 'n wye verskeidenheid inligtingsdienste word alles moontlik gemaak deur die internet se koperkommunikasie- en optiese netwerkruggraat.

Deelnemers op die internet gebruik 'n wye reeks protokolle wat versoenbaar is met die Internet Protocol Suite en 'n adresseringstelsel (IP-adresse) wat deur die Internet Assigned Numbers Authority en adresregisters in stand gehou word. Deur die Border Gateway Protocol (BGP) deel diensverskaffers en groot maatskappye inligting oor die bereikbaarheid van hul adresruimtes, en bou 'n oortollige globale netwerk van transmissiepaaie.

Darknet
'n Darknet is 'n internet-gebaseerde oorlegnetwerk wat slegs verkry kan word deur spesialissagteware te gebruik. 'n Darknet is 'n anonieme netwerk wat nie-standaard protokolle en poorte gebruik om slegs betroubare eweknieë te verbind - wat algemeen na verwys word as "vriende" (F2F).

Donkernette verskil van ander verspreide eweknie-netwerke deurdat gebruikers interaksie kan hê sonder vrees vir regerings- of korporatiewe inmenging omdat deling anoniem is (dws IP-adresse word nie publiek gepubliseer nie).

Dienste vir die netwerk

Netwerkdienste is toepassings wat deur bedieners op 'n rekenaarnetwerk gehuisves word ten einde funksionaliteit aan netwerklede of -gebruikers te gee, of om die netwerk in sy werking te help.

Bekende netwerkdienste sluit die Wêreldwye Web, e-pos, drukwerk en netwerklêerdeling in. DNS (Domain Name System) gee name aan IP- en MAC-adresse (name soos "nm.lan" is makliker om te onthou as nommers soos "210.121.67.18"), en DHCP verseker dat alle netwerktoerusting 'n geldige IP-adres het.

Die formaat en volgorde van boodskappe tussen kliënte en bedieners van 'n netwerkdiens word tipies gedefinieer deur 'n diensprotokol.

Die werkverrigting van die netwerk

Verbruikte bandwydte, wat verband hou met behaalde deurset of goeie uitset, dit wil sê die gemiddelde tempo van suksesvolle data-oordrag via 'n kommunikasieskakel, word in bisse per sekonde gemeet. Tegnologie soos bandwydte-vorming, bandwydtebestuur, bandwydte-versperring, bandwydte-beperking, bandwydtetoewysing (byvoorbeeld bandwydtetoekenningsprotokol en dinamiese bandwydtetoewysing), en ander beïnvloed deurset. Die gemiddelde verbruikte seinbandwydte in hertz (die gemiddelde spektrale bandwydte van die analoog sein wat die bisstroom verteenwoordig) gedurende die ondersoekte tydraamwerk bepaal die bandwydte van 'n bisstroom.

'n Telekommunikasienetwerk se ontwerp- en werkverrigtingeienskap is netwerkvertraging. Dit definieer die tyd wat dit neem vir 'n stuk data om deur 'n netwerk van een kommunikasie-eindpunt na die volgende te vervoer. Dit word gewoonlik in tiendes van 'n sekonde of breukdele van 'n sekonde gemeet. Afhangende van die ligging van die presiese paar kommunikasie-eindpunte, kan die vertraging effens verskil. Ingenieurs rapporteer tipies beide die maksimum en gemiddelde vertraging, sowel as die vertraging se verskillende komponente:

Die tyd wat dit neem vir 'n router om die pakkieopskrif te verwerk.
Toustaantyd – die hoeveelheid tyd wat 'n pakkie in die roete-toue spandeer.
Die tyd wat dit neem om die pakkie se stukkies op die skakel te druk, word transmissievertraging genoem.
Voortplantingsvertraging is die hoeveelheid tyd wat dit neem vir 'n sein om deur die media te beweeg.
Seine ondervind 'n minimale hoeveelheid vertraging as gevolg van die tyd wat dit neem om 'n pakkie serieel via 'n skakel te stuur. As gevolg van netwerkopeenhoping word hierdie vertraging verleng met meer onvoorspelbare vlakke van vertraging. Die tyd wat dit neem vir 'n IP-netwerk om te reageer kan wissel van 'n paar millisekondes tot 'n paar honderd millisekondes.

Diensgehalte

Netwerkprestasie word gewoonlik gemeet aan die kwaliteit van diens van 'n telekommunikasieproduk, afhangende van die installasievereistes. Deurset, jitter, bisfouttempo en vertraging is almal faktore wat dit kan beïnvloed.

Voorbeelde van netwerkprestasiemetings vir 'n kringgeskakelde netwerk en een soort pakkiegeskakelde netwerk, naamlik OTM, word hieronder getoon.

Kringgeskakelde netwerke: Die diensgraad is identies aan netwerkwerkverrigting in kringgeskakelde netwerke. Die aantal oproepe wat geweier word, is 'n maatstaf wat aandui hoe goed die netwerk presteer onder hoë verkeerslading. Geraas- en eggovlakke is voorbeelde van ander vorme van prestasie-aanwysers.
Lyntempo, kwaliteit van diens (QoS), data-deurset, verbindingstyd, stabiliteit, tegnologie, modulasietegniek en modemopgraderings kan alles gebruik word om die werkverrigting van 'n Asynchronous Transfer Mode (ATM)-netwerk te evalueer.

Omdat elke netwerk uniek is in sy aard en argitektuur, is daar talle benaderings om sy prestasie te assesseer. In plaas daarvan om gemeet te word, kan prestasie eerder gemodelleer word. Toestandsoorgangsdiagramme word byvoorbeeld gereeld gebruik om tou-werkverrigting in kringgeskakelde netwerke te modelleer. Hierdie diagramme word deur die netwerkbeplanner gebruik om te ondersoek hoe die netwerk in elke staat funksioneer, om te verseker dat die netwerk gepas beplan word.

Opeenhoping op die netwerk

Wanneer 'n skakel of nodus aan 'n hoër datalading onderwerp word as waarvoor dit gegradeer is, vind netwerkopeenhoping plaas en die kwaliteit van diens ly daaronder. Pakkies moet uitgevee word wanneer netwerke oorvol raak en toue te vol raak, dus maak netwerke staat op hertransmissie. Vertragings in tou, pakkieverlies en die blokkering van nuwe verbindings is almal algemene gevolge van opeenhoping. As gevolg van hierdie twee, lei inkrementele toenames in aangebied vrag tot óf 'n effense verbetering in netwerk deurset óf 'n afname in netwerk deurset.

Selfs wanneer die aanvanklike las verlaag word tot 'n vlak wat nie tipies netwerkopeenhoping sal veroorsaak nie, is netwerkprotokolle wat aggressiewe heruitsendings gebruik om vir pakkieverlies reg te stel, geneig om stelsels in 'n toestand van netwerkopeenhoping te hou. As gevolg hiervan, met dieselfde hoeveelheid aanvraag, kan netwerke wat hierdie protokolle gebruik, twee stabiele toestande vertoon. Kongestiewe ineenstorting verwys na 'n stabiele situasie met lae deurset.

Om die ineenstorting van opeenhopings tot die minimum te beperk, gebruik moderne netwerke opeenhopingsbestuur, opeenhopingsvermyding en verkeersbeheerstrategieë (dws eindpunte vertraag gewoonlik of stop transmissie soms heeltemal wanneer die netwerk oorlaai is). Eksponensiële terugslag in protokolle soos 802.11 se CSMA/CA en die oorspronklike Ethernet, venstervermindering in TCP en billike toustaan ​​in routers is voorbeelde van hierdie strategieë. Die implementering van prioriteitskemas, waarin sommige pakkies met hoër prioriteit as ander versend word, is nog 'n manier om die nadelige impak van netwerkopeenhoping te vermy. Prioriteitskemas genees nie netwerkopeenhoping op hul eie nie, maar hulle help wel om die gevolge van opeenhoping vir sommige dienste te versag. 802.1p is een voorbeeld hiervan. Die doelbewuste toewysing van netwerkhulpbronne aan gespesifiseerde vloei is 'n derde strategie om netwerkopeenhoping te vermy. Die ITU-T G.hn-standaard gebruik byvoorbeeld Contention-Free Transmission Opportunities (CFTXOP's) om hoëspoed (tot 1 Gbit/s) plaaslike areanetwerk oor bestaande huisdrade (kraglyne, telefoonlyne en koaksiale kabels) te lewer ).

RFC 2914 vir die internet gaan baie in oor opeenhopingsbeheer.

Veerkragtigheid van die netwerk

"Die vermoë om 'n voldoende vlak van diens aan te bied en te handhaaf in die lig van gebreke en belemmerings tot normale werking," volgens die definisie van netwerkveerkragtigheid.

Netwerk sekuriteit

Kuberkrakers gebruik rekenaarnetwerke om rekenaarvirusse en -wurms na netwerktoestelle te versprei, of om hierdie toestelle te verbied om toegang tot die netwerk te verkry deur middel van 'n ontkenning-van-diens-aanranding.

Die netwerkadministrateur se bepalings en reëls vir die voorkoming en monitering van onwettige toegang, misbruik, wysiging of ontkenning van die rekenaarnetwerk en sy netwerktoeganklike hulpbronne staan ​​bekend as netwerksekuriteit. Die netwerkadministrateur beheer netwerksekuriteit, wat die magtiging van toegang tot data in 'n netwerk is. Gebruikers kry 'n gebruikersnaam en wagwoord wat hulle toegang gee tot inligting en programme onder hul beheer. Netwerksekuriteit word gebruik om daaglikse transaksies en kommunikasie tussen organisasies, regeringsagentskappe en individue op 'n reeks publieke en private rekenaarnetwerke te beveilig.

Die monitering van data wat via rekenaarnetwerke soos die internet uitgeruil word, staan ​​bekend as netwerktoesig. Toesig word gereeld in die geheim uitgevoer, en dit kan uitgevoer word deur of namens regerings, korporasies, kriminele groepe of mense. Dit mag of mag nie wettig wees nie, en dit mag of mag nie geregtelike of ander onafhanklike agentskap-goedkeuring noodsaak nie.

Toesigprogrammatuur vir rekenaars en netwerke word vandag wyd gebruik, en byna alle internetverkeer word of kan gemonitor word vir tekens van onwettige aktiwiteite.

Regerings en wetstoepassingsagentskappe gebruik toesig om sosiale beheer te handhaaf, risiko's te identifiseer en te monitor, en kriminele aktiwiteite te voorkom/ondersoek. Regerings het nou ongekende mag om burgers se aktiwiteite te monitor danksy programme soos die Total Information Awareness-program, tegnologieë soos hoëspoed-toesigrekenaars en biometriese sagteware, en wette soos die Wet op Kommunikasiebystand vir Wetstoepassing.

Baie burgerregte- en privaatheidsorganisasies, insluitend Reporters Without Borders, die Electronic Frontier Foundation en die American Civil Liberties Union, het kommer uitgespreek dat verhoogde burgertoesig kan lei tot 'n massa-toesigsamelewing met minder politieke en persoonlike vryhede. Vrese soos hierdie het 'n rits litigasie veroorsaak, insluitend Hepting v. AT&T. In protes teen wat dit “drakoniese toesig” noem, het die hacktiviste-groep Anonymous by amptelike webwerwe ingebreek.

End-tot-end-enkripsie (E2EE) is 'n digitale kommunikasie-paradigma wat verseker dat data wat tussen twee kommunikerende partye gaan, te alle tye beskerm word. Dit behels dat die oorspronklike party data enkripteer sodat dit slegs deur die beoogde ontvanger gedekripteer kan word, met geen afhanklikheid van derde partye nie. End-tot-end-enkripsie beskerm kommunikasie teen ontdek of gepeuter deur tussengangers soos internetdiensverskaffers of toepassingsdiensverskaffers. Oor die algemeen verseker end-tot-end-enkripsie beide geheimhouding en integriteit.

HTTPS vir aanlyn verkeer, PGP vir e-pos, OTR vir kitsboodskappe, ZRTP vir telefonie en TETRA vir radio is almal voorbeelde van end-tot-end-enkripsie.

End-tot-end-enkripsie is nie by die meeste bedienergebaseerde kommunikasie-oplossings ingesluit nie. Hierdie oplossings kan slegs die sekuriteit van kommunikasie tussen kliënte en bedieners verseker, nie tussen kommunikerende partye nie. Google Talk, Yahoo Messenger, Facebook en Dropbox is voorbeelde van nie-E2EE-stelsels. Sommige van hierdie stelsels, soos LavaBit en SecretInk, het selfs beweer dat hulle “end-tot-end”-enkripsie verskaf wanneer hulle dit nie doen nie. Sommige stelsels wat veronderstel is om end-tot-end-enkripsie te verskaf, soos Skype of Hushmail, het 'n agterdeur wat verhoed dat die kommunikasiepartye die enkripsiesleutel onderhandel.

Die end-tot-end-enkripsie-paradigma spreek nie direk bekommernisse by die kommunikasie se eindpunte aan nie, soos kliënt tegnologiese uitbuiting, lae-gehalte ewekansige getal-opwekkers of sleutel-escrow. E2EE ignoreer ook verkeersontleding, wat behels die bepaling van die identiteite van eindpunte sowel as die tydsberekeninge en volumes van boodskappe wat versend word.

Toe e-handel die eerste keer in die middel-1990's op die Wêreldwye Web verskyn het, was dit duidelik dat een of ander tipe identifikasie en enkripsie nodig was. Netscape was die eerste wat probeer het om 'n nuwe standaard te skep. Netscape Navigator was destyds die gewildste webblaaier. Die Secure Socket Layer (SSL) is geskep deur Netscape (SSL). SSL noodsaak die gebruik van 'n gesertifiseerde bediener. Die bediener stuur 'n afskrif van die sertifikaat aan die kliënt wanneer 'n kliënt toegang tot 'n SSL-beveiligde bediener versoek. Die SSL-kliënt verifieer hierdie sertifikaat (alle webblaaiers word vooraf gelaai met 'n omvattende lys van CA-wortelsertifikate), en as dit slaag, word die bediener geverifieer, en die kliënt onderhandel 'n simmetriese-sleutelkode vir die sessie. Tussen die SSL-bediener en die SSL-kliënt is die sessie nou in 'n hoogs veilige geënkripteerde tonnel.

Die bevindinge van die aanlyn penetrasietoets kan gebruik word om WAF-sekuriteitsbeleide op te stel en ontdekte kwesbaarhede aan te spreek.

Penetrasietoetsing het vyf stappe.

Die pentoetsprosedure word in vyf stappe verdeel.

1. Beplanning en verkenning
   Die definisie van die omvang en doelwitte van 'n toets, insluitend die stelsels wat aangespreek moet word en die toetsmetodologieë wat gebruik moet word, is die eerste fase.
   Om 'n beter begrip te kry van hoe 'n teiken werk en sy potensiële swakhede, versamel intelligensie (bv. netwerk- en domeinname, posbediener).
2. Skandering
   Die volgende fase is om uit te vind hoe die teikentoepassing op verskillende tipes indringingspogings sal reageer. Dit word gewoonlik bereik deur die volgende metodes te gebruik:
   Statiese analise – Ondersoek 'n toepassing se kode om te voorspel hoe dit sal optree wanneer dit uitgevoer word. In 'n enkele pas kan hierdie instrumente die hele kode skandeer.
   Dinamiese analise is die proses om 'n toepassing se kode te inspekteer terwyl dit werk. Hierdie metode van skandering is meer prakties omdat dit 'n intydse oorsig van 'n toepassing se werkverrigting bied.
3. Toegang verkry
   Om 'n teiken se swakpunte te vind, gebruik hierdie stap webtoepassingsaanvalle soos kruiswerf-skriptering, SQL-inspuiting en agterdeure. Om die skade te verstaan ​​wat hierdie kwesbaarhede kan aanrig, probeer toetsers om hulle uit te buit deur voorregte te eskaleer, data te steel, verkeer te onderskep, ensovoorts.
4. Behou toegang
   Die doel van hierdie stadium is om te bepaal of die kwesbaarheid uitgebuit kan word om 'n langtermyn-teenwoordigheid in die gekompromitteerde stelsel te vestig, wat 'n slegte akteur in staat stel om in-diepte toegang te kry. Die doel is om gevorderde aanhoudende bedreigings na te boots, wat maande lank in 'n stelsel kan bly om 'n maatskappy se mees sensitiewe inligting te steel.
5. Analise
   Die penetrasietoetsresultate word dan in 'n verslag geplaas wat inligting insluit soos:
   Kwesbaarhede wat in detail uitgebuit is
   Data wat verkry is wat sensitief was
   Die hoeveelheid tyd wat die pentoetser ongemerk in die stelsel kon bly.
   Sekuriteitskundiges gebruik hierdie data om 'n onderneming se WAF-instellings en ander toepassingsekuriteitsoplossings op te stel om kwesbaarhede te herstel en verdere aanvalle te voorkom.

Metodes van penetrasietoetsing

• Eksterne penetrasietoetsing fokus op 'n firma se bates wat op die internet sigbaar is, soos die webtoepassing self, die maatskappywebwerf, sowel as e-pos- en domeinnaambedieners (DNS). Die doel is om toegang tot nuttige inligting te verkry en dit te onttrek.
• Interne toetsing behels dat 'n toetser toegang het tot 'n toepassing agter 'n maatskappy se firewall wat 'n vyandige insider-aanval simuleer. Dit is nie 'n skelm werknemersimulasie nodig nie. 'n Werknemer wie se geloofsbriewe verkry is as gevolg van 'n uitvissingpoging is 'n algemene beginpunt.
• Blinde toetsing is wanneer 'n toetser bloot die naam van die maatskappy wat getoets word, verskaf word. Dit stel sekuriteitskenners in staat om te sien hoe 'n werklike toepassingsaanranding intyds kan afspeel.
• Dubbelblinde toetsing: In 'n dubbelblinde toets is sekuriteitspersoneel vooraf onbewus van die gesimuleerde aanval. Hulle sal nie tyd hê om hul vestings te versterk voor 'n poging tot breuk nie, net soos in die regte wêreld.
• Geteikende toetsing – in hierdie scenario werk die toetser en sekuriteitspersoneel saam en hou tred met mekaar se bewegings. Dit is 'n uitstekende opleidingsoefening wat 'n sekuriteitspan intydse terugvoer gee vanuit die perspektief van 'n hacker.

Webtoepassingsbrandmure en penetrasietoetsing

Penetrasietoetsing en WAF's is twee afsonderlike maar komplementêre sekuriteitstegnieke. Die toetser sal waarskynlik WAF-data, soos logs, gebruik om 'n toepassing se swak areas in baie tipes pentoetse te vind en te ontgin (met die uitsondering van blinde en dubbelblinde toetse).

Op sy beurt kan pentoetsdata WAF-administrateurs help. Na die voltooiing van 'n toets, kan WAF-konfigurasies gewysig word om te beskerm teen die foute wat tydens die toets opgespoor is.

Ten slotte, pentoetsing voldoen aan sekere van die sekuriteitsouditmetodes se voldoeningsvereistes, soos PCI DSS en SOC 2. Sekere vereistes, soos PCI-DSS 6.6, kan slegs nagekom word as 'n gesertifiseerde WAF gebruik word. As gevolg van die bogenoemde voordele en potensiaal om WAF-instellings te verander, maak dit egter nie pentoetsing minder nuttig nie.

Wat is die betekenis van websekuriteitstoetsing?

Die doel van websekuriteitstoetsing is om sekuriteitsfoute in webtoepassings en hul opstelling te identifiseer. Die toepassingslaag is die primêre teiken (dws wat op die HTTP-protokol loop). Om verskillende vorme van insette na 'n webtoepassing te stuur om probleme te veroorsaak en die stelsel op onverwagte maniere te laat reageer, is 'n algemene benadering om sy sekuriteit te toets. Hierdie "negatiewe toetse" kyk om te sien of die stelsel iets doen wat dit nie bedoel was om te bereik nie.

Dit is ook noodsaaklik om te besef dat websekuriteitstoetsing meer behels as net die verifikasie van die toepassing se sekuriteitskenmerke (soos verifikasie en magtiging). Dit is ook van kardinale belang om te verseker dat ander kenmerke veilig ontplooi word (bv. besigheidslogika en die gebruik van behoorlike insetvalidering en uitsetkodering). Die doel is om seker te maak dat die webtoepassing se funksies veilig is.

Wat is die baie soorte sekuriteitsbeoordelings?

• Toets vir dinamiese toepassingsekuriteit (DAST). Hierdie geoutomatiseerde toepassingsekuriteitstoets is die beste geskik vir laerisiko, intern-gerigte toepassings wat aan regulatoriese sekuriteitsvereistes moet voldoen. Die kombinasie van DAST met 'n paar handmatige aanlyn sekuriteitstoetse vir algemene kwesbaarhede is die beste strategie vir mediumrisiko-toepassings en belangrike toepassings wat klein veranderinge ondergaan.
• Sekuriteitskontrole vir statiese toepassings (SAST). Hierdie toepassingsekuriteitstrategie sluit beide outomatiese en handmatige toetsmetodes in. Dit is ideaal om foute op te spoor sonder om programme in 'n lewendige omgewing te laat loop. Dit stel ingenieurs ook in staat om bronkode te skandeer om sagteware-sekuriteitsfoute op 'n sistematiese wyse op te spoor en op te los.
• Penetrasie-ondersoek. Hierdie handmatige toepassingsekuriteitstoets is ideaal vir noodsaaklike toepassings, veral dié wat beduidende veranderinge ondergaan. Om gevorderde aanvalscenario's te vind, gebruik die evaluering besigheidslogika en teëstander-gebaseerde toetse.
• Toepassing selfbeskerming in die looptyd (RASP). Hierdie groeiende toepassingsekuriteitsmetode sluit 'n verskeidenheid tegnologietegnieke in om 'n toepassing te instrumenteer sodat bedreigings dopgehou kan word en hopelik in reële tyd voorkom kan word soos dit voorkom.

Watter rol speel toepassingsekuriteitstoetsing om maatskappy se risiko te verlaag?

Die oorgrote meerderheid aanvalle op webtoepassings sluit in:

• SQL-inspuiting
• XSS (Cross Site Scripting)
• Uitvoering van afstandbevele
• Pad deurkruisaanval
• Beperkte inhoudtoegang
• Gekompromitteerde gebruikerrekeninge
• Installasie van kwaadwillige kode
• Verlore verkoopsinkomste
• Kliënte se vertroue erodeer
• Handelsmerkreputasie benadeel
• En baie ander aanvalle

In vandag se internetomgewing kan 'n webtoepassing deur 'n verskeidenheid uitdagings benadeel word. Die grafiek hierbo toon 'n paar van die mees algemene aanvalle wat deur aanvallers gepleeg word, wat elkeen aansienlike skade aan 'n individuele toepassing of 'n hele besigheid kan veroorsaak. Deur die vele aanrandings te ken wat 'n toepassing kwesbaar maak, sowel as die moontlike resultate van 'n aanval, stel maatskappy in staat om kwesbaarhede voor die tyd op te los en effektief daarvoor te toets.

Versagtende beheermaatreëls kan in die vroeë fases van die SDLC ingestel word om enige probleme te voorkom deur die hoofoorsaak van die kwesbaarheid te identifiseer. Tydens 'n webtoepassingsekuriteitstoets kan kennis van hoe hierdie bedreigings werk ook gebruik word om bekende plekke van belang te teiken.

Die erkenning van die impak van 'n aanval is ook belangrik vir die bestuur van maatskappy se risiko, aangesien die impak van 'n suksesvolle aanval gebruik kan word om die erns van die kwesbaarheid in die algemeen te bepaal. As kwesbaarhede tydens 'n sekuriteitstoets ontdek word, stel die bepaling van die erns daarvan die maatskappy in staat om regstellende pogings meer effektief te prioritiseer. Om risiko vir maatskappy te verminder, begin met kritieke ernskwessies en werk jou pad af na laer impak.

Voordat u 'n probleem identifiseer, sal die beoordeling van die moontlike impak van elke program in die maatskappy se toepassingsbiblioteek u help om toepassingsekuriteitstoetsing te prioritiseer. Wenb-sekuriteitstoetse kan geskeduleer word om eerstens die onderneming se kritieke toepassings te teiken, met meer geteikende toetse om die risiko teen die onderneming te verlaag. Met 'n gevestigde lys van hoëprofieltoepassings, kan wenb-sekuriteitstoetse geskeduleer word om eerstens die onderneming se kritieke toepassings te teiken, met meer geteikende toetse om die risiko teen die onderneming te verlaag.

Watter kenmerke moet tydens 'n webtoepassingsekuriteitstoets ondersoek word?

Oorweeg die volgende nie-uitputtende lys kenmerke tydens webtoepassingsekuriteitstoetsing. 'n Ondoeltreffende implementering van elkeen kan swakhede tot gevolg hê, wat maatskappy in gevaar stel.

• Konfigurasie van die toepassing en bediener. Enkripsie/kriptografiese opstellings, webbedienerkonfigurasies, ensovoorts is almal voorbeelde van potensiële foute.
• Validasie van invoer- en fouthantering Swak invoer- en uitsetverwerking lei tot SQL-inspuiting, kruis-werf scripting (XSS) en ander tipiese inspuitprobleme.
• Stawing en instandhouding van sessies. Kwesbaarhede wat kan lei tot gebruiker-nabootsing. Geloofskrag en beskerming moet ook in ag geneem word.
• Magtiging. Die toepassing se vermoë om teen vertikale en horisontale voorregte-eskalasies te beskerm, word getoets.
• Logika in besigheid. Die meeste programme wat besigheidsfunksionaliteit verskaf, maak daarop staat.
• Logika aan die kant van die kliënt. Hierdie tipe kenmerk word al hoe meer algemeen met moderne, JavaScript-swaar webblaaie, sowel as webbladsye wat ander tipes kliënt-kant tegnologie gebruik (bv. Silverlight, Flash, Java applets).

Die Open Web Application Security Project (OWASP) bied hulpbronne wat beide gratis en oop is. ’n OWASP-stigting sonder winsbejag is in beheer daarvan. Die 2017 OWASP Top 10 is die uitkoms van huidige studie gebaseer op uitgebreide data wat van meer as 40 vennootorganisasies ingesamel is. Ongeveer 2.3 miljoen kwesbaarhede is opgespoor oor meer as 50,000 10 toepassings wat hierdie data gebruik. Volgens die OWASP Top 2017 – XNUMX is die top tien mees kritieke aanlyntoepassingsekuriteitskwessies:

• Inspuiting
• Stawingskwessies
• Blootgestelde sensitiewe data XML eksterne entiteite (XXE)
• Toegangsbeheer wat nie werk nie
• Verkeerde konfigurasie van sekuriteit
• Werf-tot-werf scripting (XSS)
• Deserialisering wat nie veilig is nie
• Gebruik komponente wat bekende gebreke het
• Aantekening en monitering is onvoldoende.

Daarom staan ​​die praktyk om webwerwe en aanlyndienste te verdedig teen verskeie sekuriteitsbedreigings wat swakhede in 'n toepassing se kode uitbuit bekend as webtoepassingsekuriteit. Inhoudbestuurstelsels (bv. WordPress), databasisadministrasienutsgoed (bv. phpMyAdmin) en SaaS-toepassings is almal algemene teikens vir aanlyntoepassingsaanrandings.

Webtoepassings word deur die oortreders as hoë-prioriteit teikens beskou omdat:

• As gevolg van die ingewikkeldheid van hul bronkode, is onbewaakte kwesbaarhede en kwaadwillige kodewysiging meer waarskynlik.
• Hoëwaarde-belonings, soos sensitiewe persoonlike inligting wat verkry is deur effektiewe bronkode-peutery.
• Gemak van uitvoering, want die meeste aanvalle kan maklik geoutomatiseer word en onoordeelkundig teen duisende, tiene of selfs honderdduisende teikens op een slag ontplooi word.
• Organisasies wat nie hul webtoepassings beskerm nie, is kwesbaar vir aanvalle. Dit kan onder meer lei tot datadiefstal, gespanne kliëntverhoudings, gekanselleerde lisensies en regstappe.

Kwesbaarhede in webwerwe

Invoer-/uitvoer-saniteringsfoute is algemeen in webtoepassings, en dit word gereeld uitgebuit om óf bronkode te verander óf om ongemagtigde toegang te kry.

Hierdie gebreke maak voorsiening vir die uitbuiting van 'n verskeidenheid aanvalsvektore, insluitend:

• SQL-inspuiting - Wanneer 'n oortreder 'n backend-databasis met kwaadwillige SQL-kode manipuleer, word inligting onthul. Onwettige lysblaai, tabelskrap en ongemagtigde administrateurtoegang is van die gevolge.
• XSS (Cross-site Scripting) is 'n inspuitingsaanval wat gebruikers teiken om toegang tot rekeninge te verkry, Trojans te aktiveer of bladsyinhoud te verander. Wanneer kwaadwillige kode direk in 'n toepassing ingespuit word, staan ​​dit bekend as gestoor XSS. Wanneer kwaadwillige skrif van 'n toepassing na 'n gebruiker se blaaier weerspieël word, staan ​​dit bekend as gereflekteerde XSS.
• Veraflêerinsluiting – Hierdie vorm van aanval laat 'n hacker toe om 'n lêer vanaf 'n afgeleë plek in 'n webtoepassingsbediener in te spuit. Dit kan daartoe lei dat gevaarlike skrifte of kode binne die toepassing uitgevoer word, sowel as datadiefstal of wysiging.
• Cross-site Request Forgery (CSRF) – 'n Tipe aanval wat kan lei tot 'n onbedoelde oordrag van kontant, wagwoordveranderings of datadiefstal. Dit kom voor wanneer 'n kwaadwillige webprogram 'n gebruiker se blaaier opdrag gee om 'n ongewenste aksie uit te voer op 'n webwerf waarop hulle aangemeld is.

In teorie kan effektiewe toevoer/uitset-sanering alle kwesbaarhede uitwis, wat 'n toepassing ondeurdringbaar maak vir ongemagtigde wysigings.

Omdat die meeste programme egter in 'n voortdurende toestand van ontwikkeling is, is omvattende ontsmetting selde 'n lewensvatbare opsie. Verder word toepassings gewoonlik met mekaar geïntegreer, wat lei tot 'n gekodeerde omgewing wat al hoe meer kompleks word.

Om sulke gevare te vermy, moet webtoepassingsekuriteitsoplossings en -prosesse, soos PCI Data Security Standard (PCI DSS)-sertifisering, geïmplementeer word.

Firewall vir webtoepassings (WAF)

WAF's (webtoepassings-firewalls) is hardeware- en sagteware-oplossings wat toepassings teen sekuriteitsbedreigings beskerm. Hierdie oplossings is ontwerp om inkomende verkeer te inspekteer om aanvalpogings op te spoor en te blokkeer, wat vergoed vir enige kode-sanitiseringsfoute.

WAF-ontplooiing spreek 'n deurslaggewende kriterium vir PCI DSS-sertifisering aan deur data teen diefstal en wysiging te beskerm. Alle krediet- en debietkaarthouerdata wat in 'n databasis bygehou word, moet beveilig word, volgens Vereiste 6.6.

Omdat dit voor sy DMZ aan die rand van die netwerk geplaas word, vereis die vestiging van 'n WAF gewoonlik geen veranderinge aan 'n toepassing nie. Dit dien dan as 'n poort vir alle inkomende verkeer, wat gevaarlike versoeke uitfiltreer voordat hulle met 'n toepassing kan kommunikeer.

Om te bepaal watter verkeer toegang tot 'n toepassing toegelaat word en watter uitgeroei moet word, gebruik WAF's 'n verskeidenheid heuristieke. Hulle kan kwaadwillige akteurs en bekende aanvalsvektore vinnig identifiseer danksy 'n gereeld opgedateerde handtekeningpoel.

Byna alle WAF's kan aangepas word vir individuele gebruiksgevalle en sekuriteitsregulasies, sowel as die bekamping van opkomende (ook bekend as zero-day) bedreigings. Ten slotte, om bykomende insigte oor inkomende besoekers te verkry, gebruik die meeste moderne oplossings reputasie- en gedragsdata.

Om 'n sekuriteitsomtrek te bou, word WAF's gewoonlik gekombineer met bykomende sekuriteitsoplossings. Dit kan verspreide ontkenning-van-diens (DDoS)-voorkomingsdienste insluit, wat die ekstra skaalbaarheid bied wat nodig is om hoëvolume-aanvalle te voorkom.

Kontrolelys vir webtoepassingsekuriteit
Daar is 'n verskeidenheid benaderings vir die beveiliging van webtoepassings bykomend tot WAF's. Enige webtoepassingsekuriteitkontrolelys moet die volgende prosedures insluit:

• Versamel data - Gaan die toepassing met die hand deur, op soek na toegangspunte en kodes aan die kliëntkant. Klassifiseer inhoud wat deur 'n derde party gehuisves word.
• Magtiging - Soek paddeurkruisings, vertikale en horisontale toegangsbeheerkwessies, ontbrekende magtiging en onveilige, direkte voorwerpverwysings wanneer die toepassing getoets word.
• Beveilig alle data-oordragte met kriptografie. Is enige sensitiewe inligting geënkripteer? Het jy enige algoritmes gebruik wat nie opgewasse is nie? Is daar enige willekeurigheidsfoute?
• Ontkenning van diens - Toets vir anti-outomatisering, rekeninguitsluiting, HTTP-protokol DoS en SQL wildcard DoS om 'n toepassing se veerkragtigheid teen diensweieraanvalle te verbeter. Dit sluit nie sekuriteit teen hoëvolume DoS- en DDoS-aanvalle in nie, wat 'n mengsel van filtertegnologieë en skaalbare hulpbronne vereis om te weerstaan.

Vir verdere besonderhede kan 'n mens die OWASP Web Application Security Testing Cheat Sheet nagaan (dit is ook 'n wonderlike hulpbron vir ander sekuriteitsverwante onderwerpe).

DDoS beskerming

DDoS-aanvalle, of verspreide ontkenning-van-diens-aanvalle, is 'n tipiese manier om 'n webtoepassing te onderbreek. Daar is 'n aantal benaderings om DDoS-aanvalle te versag, insluitend die weggooi van volumetriese aanvalverkeer by Content Delivery Networks (CDN's) en die gebruik van eksterne netwerke om opregte versoeke toepaslik te stuur sonder om 'n diensonderbreking te veroorsaak.

DNSSEC (Domain Name System Security Extensions) beskerming

Die domeinnaamstelsel, of DNS, is die internet se telefoonboek, en dit weerspieël hoe 'n internethulpmiddel, soos 'n webblaaier, die betrokke bediener vind. DNS-kasvergiftiging, aanvalle op die pad en ander maniere om in te meng met die DNS-opsoek-lewensiklus sal deur slegte akteurs gebruik word om hierdie DNS-versoekproses te kaap. As DNS die internet se telefoonboek is, is DNSSEC onspoofbare beller-ID. 'n DNS-opsoekversoek kan beskerm word deur die DNSSEC-tegnologie te gebruik.

Die beskerming van rekenaarstelsels en inligting teen skade, diefstal en onwettige gebruik staan ​​algemeen bekend as rekenaarstelselsekuriteit, soms ook na verwys as kuberveiligheid. Reeksnommers, fisiese sekuriteitsmaatreëls, monitering en alarms word algemeen gebruik om rekenaartoerusting te beskerm, net soos dit is vir ander belangrike of sensitiewe toerusting. Inligting en stelseltoegang in sagteware, aan die ander kant, word beskerm deur 'n verskeidenheid strategieë te gebruik, waarvan sommige redelik ingewikkeld is en voldoende professionele bevoegdhede vereis.

Vier sleutelgevare word aangespreek deur die sekuriteitsprosedures wat verband hou met rekenaarstelsels se verwerkte inligting en toegang:

• Datadiefstal vanaf regeringsrekenaars, soos intellektuele eiendom,
• Vandalisme, insluitend die gebruik van 'n rekenaarvirus om data te vernietig of te kaap,
• Bedrog, soos kuberkrakers (of bv. bankpersoneel) wat geld na hul eie rekeninge herlei,
• Inbreuk op privaatheid, soos die verkryging van beskermde persoonlike finansiële of mediese data van 'n groot databasis sonder toestemming.

Die mees basiese metode om 'n rekenaarstelsel teen diefstal, vandalisme, inbreuk op privaatheid en ander onverantwoordelike gedrag te beskerm, is om die verskillende gebruikers se toegang tot en aktiwiteit op die stelsel op te spoor en aan te teken. Dit word dikwels bewerkstellig deur elke persoon wat toegang tot 'n stelsel het, 'n unieke wagwoord te gee. Die rekenaarstelsel kan dan die gebruik van hierdie wagwoorde outomaties naspeur, en let op inligting soos watter lêers met watter wagwoorde verkry is, ensovoorts. Nog 'n sekuriteitstegniek is om 'n stelsel se data op 'n ander toestel of medium te hou wat gewoonlik ontoeganklik is via die rekenaarstelsel. Laastens word data gereeld geïnkripteer, wat slegs diegene met 'n enkele enkripsiesleutel toelaat om dit te dekodeer (wat onder die idee van kriptografie val).

Sedert die bekendstelling van modems (toestelle wat rekenaars toelaat om via telefoonlyne te kommunikeer) in die laat 1960's, was rekenaarsekuriteit al hoe meer deurslaggewend. In die 1980's het die ontwikkeling van persoonlike rekenaars die probleem vererger deur kuberkrakers (onverantwoordelik optree, tipies selfopgeleide rekenaarprofessionele persone, rekenaartoegangsbeperkings te omseil) toe te laat om onwettig toegang te verkry tot belangrike rekenaarstelsels vanuit die gemak van hul eie huise. Met die plofbare opkoms van die internet in die laat twintigste en vroeë een-en-twintigste eeue, het rekenaarsekuriteit 'n groot bekommernis geword. Die ontwikkeling van verbeterde sekuriteitstelsels probeer om sulke kwesbaarhede te verminder, maar rekenaarmisdaadmetodes is altyd besig om te ontwikkel, wat nuwe risiko's inhou.

Om te vra wat beveilig word, is een tegniek om die ooreenkomste en verskille in rekenaarstelselsekuriteit te bepaal. 

As 'n voorbeeld,

• Inligtingsekuriteit is die beskerming van data teen ongemagtigde toegang, verandering en uitvee.
• Toepassingsekuriteit is die beskerming van 'n toepassing teen kuberbedreigings soos SQL-inspuiting, DoS-aanvalle, data-oortredings, ensovoorts.
• Rekenaarsekuriteit word gedefinieer as die beskerming van rekenaarstelsels wat oor rekenaarnetwerke kommunikeer in terme van beheer deur hulle opgedateer en gelap te hou.
• Netwerksekuriteit word gedefinieer as die beveiliging van beide sagteware- en hardewaretegnologieë in 'n netwerkomgewing – kubersekuriteit word gedefinieer as die beskerming van rekenaarstelsels wat oor rekenaarnetwerke kommunikeer in terme van beheer deur hulle opgedateer en gelap te hou.

Dit is van kritieke belang om die verskille tussen hierdie terme te erken, selfs al is daar nie altyd 'n duidelike begrip van hul definisies of die mate waarin hulle oorvleuel of uitruilbaar is nie. Rekenaarstelselsekuriteit verwys na die voorsorgmaatreëls wat ingestel is om die vertroulikheid, integriteit en beskikbaarheid van alle rekenaarstelselkomponente te verseker.

Die volgende is die komponente van 'n rekenaarstelsel wat beskerm moet word:

• Hardeware, of die fisiese komponente van 'n rekenaarstelsel, soos die stelselgeheue en skyfstasie.
• Firmware is nie-vlugtige sagteware wat permanent op die nie-vlugtige geheue van 'n hardeware toestel gestoor word en is oor die algemeen deursigtig vir die gebruiker.
• Sagteware is rekenaarprogramme wat gebruikers voorsien van dienste soos 'n bedryfstelsel, woordverwerker en webblaaier, wat bepaal hoe die hardeware werk om inligting dienooreenkomstig te verwerk met die doelwitte wat deur die sagteware gedefinieer word.

Die CIA Triad is hoofsaaklik gemoeid met drie areas van rekenaarstelselsekuriteit:

• Vertroulikheid verseker dat slegs die beoogde gehoor toegang tot inligting het.
• Integriteit verwys na die voorkoming van ongemagtigde partye om data wat verwerk is, te verander.
• Beskikbaarheid verwys na die vermoë om te verhoed dat ongemagtigde partye data verander.

Inligting en rekenaarkomponente moet bruikbaar wees, terwyl dit ook beskerm word teen individue of sagteware wat nie toegang tot hulle behoort te verkry of dit te wysig nie.

Mees gereelde rekenaarstelselsekuriteitsbedreigings

Rekenaarstelselsekuriteitsrisiko's is potensiële gevare wat jou rekenaar se roetine-werking kan ontwrig. Namate die wêreld meer digitaal word, word kuberrisiko's meer algemeen. Die volgende is die gevaarlikste tipes rekenaarsekuriteitsbedreigings:

• Virusse – 'n rekenaarvirus is 'n kwaadwillige program wat sonder die gebruiker se medewete op hul rekenaar geïnstalleer word. Dit herhaal homself en besmet die gebruiker se data en programme. Die uiteindelike doel van 'n virus is om te verhoed dat die slagoffer se rekenaar ooit reg of hoegenaamd funksioneer.
• Rekenaarwurm – 'n rekenaarwurm is 'n tipe sagteware wat homself van een rekenaar na 'n ander kan kopieer sonder dat menslike ingryping nodig is. Omdat 'n wurm in groot volumes en teen hoë spoed kan repliseer, is daar 'n risiko dat dit jou rekenaar se hardeskyfspasie sal opvreet.
• Uitvissing – optrede van individu wat hom as 'n betroubare persoon of entiteit voordoen om kritieke finansiële of persoonlike inligting (insluitend rekenaarstelseltoegangsbewyse) te steel via sogenaamde uitvissing-e-posse of kitsboodskappe. Uitvissing is ongelukkig ongelooflik eenvoudig om uit te voer. 'n Slagoffer word mislei om te glo die kommunikasie van die phisher is 'n outentieke amptelike kommunikasie en die slagoffer verskaf vryelik sensitiewe persoonlike inligting.
• Botnet – 'n botnet is 'n groep rekenaars wat aan die internet gekoppel is wat deur 'n hacker met 'n rekenaarvirus besmet is. Die term zombie rekenaar of 'n bot verwys na 'n enkele rekenaar in die botnet. Die slagoffer se rekenaar, wat die bot in botnet is, sal uitgebuit word vir kwaadwillige aksies en groterskaalse aanvalle soos DDoS as gevolg van hierdie bedreiging.
• Rootkit – 'n rootkit is 'n rekenaarprogram wat bevoorregte toegang tot 'n rekenaar behou terwyl dit probeer om die teenwoordigheid daarvan te verberg. Die rootkit se kontroleerder sal lêers op afstand kan uitvoer en stelselkonfigurasies op die gasheermasjien kan verander sodra dit geïnstalleer is.
• Keylogger – keyloggers, dikwels bekend as toetsaanslagloggers, kan 'n gebruiker se rekenaaraktiwiteit intyds monitor. Dit teken alle toetsaanslagen aan wat deur die gebruiker se sleutelbord uitgevoer word. Die gebruik van 'n keylogger om mense se aanmeldbewyse, soos gebruikersnaam en wagwoord, te steel, is ook 'n ernstige bedreiging.

Dit is miskien die mees algemene veiligheidsrisiko's wat 'n mens onlangs kan teëkom. Daar is meer, soos wanware, wabbits, bangmaakware, bluesnarfing en vele ander. Daar is gelukkig tegnieke om rekenaarstelsels en hul gebruikers teen sulke aanvalle te verdedig.

Ons wil almal ons rekenaarstelsels en persoonlike of professionele inligting privaat hou in hierdie digitale era, dus rekenaarstelselsekuriteit is noodsaaklik om ons persoonlike inligting te beskerm. Dit is ook van kritieke belang om ons rekenaars veilig en gesond te hou deur te verhoed dat virusse en wanware stelselwerkverrigting verwoesting saai.

Praktyke in rekenaarstelselsekuriteit

Deesdae word rekenaarstelselsekuriteitsrisiko's meer en meer innoverend. Om teen hierdie ingewikkelde en toenemende rekenaarsekuriteitsrisiko's te beskerm en aanlyn veilig te bly, moet 'n mens hulself met inligting en hulpbronne bewapen. Mens kan die volgende voorsorgmaatreëls tref:

• Installeer betroubare antivirus- en sekuriteitsagteware
• Omdat 'n brandmuur as 'n sekuriteitswag tussen die internet en jou plaaslike area netwerk funksioneer, moet jy dit aktiveer.
• Bly op hoogte van die nuutste sagteware en nuus oor jou toestelle, en installeer opdaterings sodra dit beskikbaar word.
• As jy onseker is oor die oorsprong van 'n e-posaanhegsel, moenie dit oopmaak nie.
• Verander wagwoorde op 'n gereelde basis deur 'n unieke kombinasie van syfers, letters en hooflettertipes te gebruik.
• Terwyl jy toegang tot die internet kry, wees versigtig vir opspringers en deurry-aflaaie.
• Belê die tyd om te leer oor die grondbeginsels van rekenaarsekuriteit en om tred te hou met die nuutste kuberbedreigings
• Doen daaglikse volledige stelselskanderings en stel 'n gereelde stelselrugsteunskedule op om te verseker dat jou data herwinbaar is in die geval dat jou masjien misluk.

Afgesien hiervan, is daar 'n rits ander professionele benaderings om rekenaarstelsels te beskerm. Aspekte insluitend voldoende sekuriteit argitektoniese spesifikasie, enkripsie en spesialis sagteware kan help om rekenaarstelsels te beskerm.

Ongelukkig neem die aantal kubergevare vinnig toe, en meer komplekse aanvalle verskyn. Om hierdie aanvalle te bekamp en gevare te versag, word meer professionele en gespesialiseerde kuberveiligheidsvaardighede vereis.

Die beskerming van rekenaarstelsels en inligting teen skade, diefstal en onwettige gebruik staan ​​algemeen bekend as rekenaarstelselsekuriteit, soms ook na verwys as kuberveiligheid. Reeksnommers, fisiese sekuriteitsmaatreëls, monitering en alarms word algemeen gebruik om rekenaartoerusting te beskerm, net soos dit is vir ander belangrike of sensitiewe toerusting. Inligting en stelseltoegang in sagteware, aan die ander kant, word beskerm deur 'n verskeidenheid strategieë te gebruik, waarvan sommige redelik ingewikkeld is en voldoende professionele bevoegdhede vereis.

Vier sleutelgevare word aangespreek deur die sekuriteitsprosedures wat verband hou met rekenaarstelsels se verwerkte inligting en toegang:

• Datadiefstal vanaf regeringsrekenaars, soos intellektuele eiendom,
• Vandalisme, insluitend die gebruik van 'n rekenaarvirus om data te vernietig of te kaap,
• Bedrog, soos kuberkrakers (of bv. bankpersoneel) wat geld na hul eie rekeninge herlei,
• Inbreuk op privaatheid, soos die verkryging van beskermde persoonlike finansiële of mediese data van 'n groot databasis sonder toestemming.

Die mees basiese metode om 'n rekenaarstelsel teen diefstal, vandalisme, inbreuk op privaatheid en ander onverantwoordelike gedrag te beskerm, is om die verskillende gebruikers se toegang tot en aktiwiteit op die stelsel op te spoor en aan te teken. Dit word dikwels bewerkstellig deur elke persoon wat toegang tot 'n stelsel het, 'n unieke wagwoord te gee. Die rekenaarstelsel kan dan die gebruik van hierdie wagwoorde outomaties naspeur, en let op inligting soos watter lêers met watter wagwoorde verkry is, ensovoorts. Nog 'n sekuriteitstegniek is om 'n stelsel se data op 'n ander toestel of medium te hou wat gewoonlik ontoeganklik is via die rekenaarstelsel. Laastens word data gereeld geïnkripteer, wat slegs diegene met 'n enkele enkripsiesleutel toelaat om dit te dekodeer (wat onder die idee van kriptografie val).

Sedert die bekendstelling van modems (toestelle wat rekenaars toelaat om via telefoonlyne te kommunikeer) in die laat 1960's, was rekenaarsekuriteit al hoe meer deurslaggewend. In die 1980's het die ontwikkeling van persoonlike rekenaars die probleem vererger deur kuberkrakers (onverantwoordelik optree, tipies selfopgeleide rekenaarprofessionele persone, rekenaartoegangsbeperkings te omseil) toe te laat om onwettig toegang te verkry tot belangrike rekenaarstelsels vanuit die gemak van hul eie huise. Met die plofbare opkoms van die internet in die laat twintigste en vroeë een-en-twintigste eeue, het rekenaarsekuriteit 'n groot bekommernis geword. Die ontwikkeling van verbeterde sekuriteitstelsels probeer om sulke kwesbaarhede te verminder, maar rekenaarmisdaadmetodes is altyd besig om te ontwikkel, wat nuwe risiko's inhou.

Om te vra wat beveilig word, is een tegniek om die ooreenkomste en verskille in rekenaarstelselsekuriteit te bepaal. 

As 'n voorbeeld,

• Inligtingsekuriteit is die beskerming van data teen ongemagtigde toegang, verandering en uitvee.
• Toepassingsekuriteit is die beskerming van 'n toepassing teen kuberbedreigings soos SQL-inspuiting, DoS-aanvalle, data-oortredings, ensovoorts.
• Rekenaarsekuriteit word gedefinieer as die beskerming van rekenaarstelsels wat oor rekenaarnetwerke kommunikeer in terme van beheer deur hulle opgedateer en gelap te hou.
• Netwerksekuriteit word gedefinieer as die beveiliging van beide sagteware- en hardewaretegnologieë in 'n netwerkomgewing – kubersekuriteit word gedefinieer as die beskerming van rekenaarstelsels wat oor rekenaarnetwerke kommunikeer in terme van beheer deur hulle opgedateer en gelap te hou.

Dit is van kritieke belang om die verskille tussen hierdie terme te erken, selfs al is daar nie altyd 'n duidelike begrip van hul definisies of die mate waarin hulle oorvleuel of uitruilbaar is nie. Rekenaarstelselsekuriteit verwys na die voorsorgmaatreëls wat ingestel is om die vertroulikheid, integriteit en beskikbaarheid van alle rekenaarstelselkomponente te verseker.

Die volgende is die komponente van 'n rekenaarstelsel wat beskerm moet word:

• Hardeware, of die fisiese komponente van 'n rekenaarstelsel, soos die stelselgeheue en skyfstasie.
• Firmware is nie-vlugtige sagteware wat permanent op die nie-vlugtige geheue van 'n hardeware toestel gestoor word en is oor die algemeen deursigtig vir die gebruiker.
• Sagteware is rekenaarprogramme wat gebruikers voorsien van dienste soos 'n bedryfstelsel, woordverwerker en webblaaier, wat bepaal hoe die hardeware werk om inligting dienooreenkomstig te verwerk met die doelwitte wat deur die sagteware gedefinieer word.

Die CIA Triad is hoofsaaklik gemoeid met drie areas van rekenaarstelselsekuriteit:

• Vertroulikheid verseker dat slegs die beoogde gehoor toegang tot inligting het.
• Integriteit verwys na die voorkoming van ongemagtigde partye om data wat verwerk is, te verander.
• Beskikbaarheid verwys na die vermoë om te verhoed dat ongemagtigde partye data verander.

Inligting en rekenaarkomponente moet bruikbaar wees, terwyl dit ook beskerm word teen individue of sagteware wat nie toegang tot hulle behoort te verkry of dit te wysig nie.

Mees gereelde rekenaarstelselsekuriteitsbedreigings

Rekenaarstelselsekuriteitsrisiko's is potensiële gevare wat jou rekenaar se roetine-werking kan ontwrig. Namate die wêreld meer digitaal word, word kuberrisiko's meer algemeen. Die volgende is die gevaarlikste tipes rekenaarsekuriteitsbedreigings:

• Virusse – 'n rekenaarvirus is 'n kwaadwillige program wat sonder die gebruiker se medewete op hul rekenaar geïnstalleer word. Dit herhaal homself en besmet die gebruiker se data en programme. Die uiteindelike doel van 'n virus is om te verhoed dat die slagoffer se rekenaar ooit reg of hoegenaamd funksioneer.
• Rekenaarwurm – 'n rekenaarwurm is 'n tipe sagteware wat homself van een rekenaar na 'n ander kan kopieer sonder dat menslike ingryping nodig is. Omdat 'n wurm in groot volumes en teen hoë spoed kan repliseer, is daar 'n risiko dat dit jou rekenaar se hardeskyfspasie sal opvreet.
• Uitvissing – optrede van individu wat hom as 'n betroubare persoon of entiteit voordoen om kritieke finansiële of persoonlike inligting (insluitend rekenaarstelseltoegangsbewyse) te steel via sogenaamde uitvissing-e-posse of kitsboodskappe. Uitvissing is ongelukkig ongelooflik eenvoudig om uit te voer. 'n Slagoffer word mislei om te glo die kommunikasie van die phisher is 'n outentieke amptelike kommunikasie en die slagoffer verskaf vryelik sensitiewe persoonlike inligting.
• Botnet – 'n botnet is 'n groep rekenaars wat aan die internet gekoppel is wat deur 'n hacker met 'n rekenaarvirus besmet is. Die term zombie rekenaar of 'n bot verwys na 'n enkele rekenaar in die botnet. Die slagoffer se rekenaar, wat die bot in botnet is, sal uitgebuit word vir kwaadwillige aksies en groterskaalse aanvalle soos DDoS as gevolg van hierdie bedreiging.
• Rootkit – 'n rootkit is 'n rekenaarprogram wat bevoorregte toegang tot 'n rekenaar behou terwyl dit probeer om die teenwoordigheid daarvan te verberg. Die rootkit se kontroleerder sal lêers op afstand kan uitvoer en stelselkonfigurasies op die gasheermasjien kan verander sodra dit geïnstalleer is.
• Keylogger – keyloggers, dikwels bekend as toetsaanslagloggers, kan 'n gebruiker se rekenaaraktiwiteit intyds monitor. Dit teken alle toetsaanslagen aan wat deur die gebruiker se sleutelbord uitgevoer word. Die gebruik van 'n keylogger om mense se aanmeldbewyse, soos gebruikersnaam en wagwoord, te steel, is ook 'n ernstige bedreiging.

Dit is miskien die mees algemene veiligheidsrisiko's wat 'n mens onlangs kan teëkom. Daar is meer, soos wanware, wabbits, bangmaakware, bluesnarfing en vele ander. Daar is gelukkig tegnieke om rekenaarstelsels en hul gebruikers teen sulke aanvalle te verdedig.

Ons wil almal ons rekenaarstelsels en persoonlike of professionele inligting privaat hou in hierdie digitale era, dus rekenaarstelselsekuriteit is noodsaaklik om ons persoonlike inligting te beskerm. Dit is ook van kritieke belang om ons rekenaars veilig en gesond te hou deur te verhoed dat virusse en wanware stelselwerkverrigting verwoesting saai.

Praktyke in rekenaarstelselsekuriteit

Deesdae word rekenaarstelselsekuriteitsrisiko's meer en meer innoverend. Om teen hierdie ingewikkelde en toenemende rekenaarsekuriteitsrisiko's te beskerm en aanlyn veilig te bly, moet 'n mens hulself met inligting en hulpbronne bewapen. Mens kan die volgende voorsorgmaatreëls tref:

• Installeer betroubare antivirus- en sekuriteitsagteware
• Omdat 'n brandmuur as 'n sekuriteitswag tussen die internet en jou plaaslike area netwerk funksioneer, moet jy dit aktiveer.
• Bly op hoogte van die nuutste sagteware en nuus oor jou toestelle, en installeer opdaterings sodra dit beskikbaar word.
• As jy onseker is oor die oorsprong van 'n e-posaanhegsel, moenie dit oopmaak nie.
• Verander wagwoorde op 'n gereelde basis deur 'n unieke kombinasie van syfers, letters en hooflettertipes te gebruik.
• Terwyl jy toegang tot die internet kry, wees versigtig vir opspringers en deurry-aflaaie.
• Belê die tyd om te leer oor die grondbeginsels van rekenaarsekuriteit en om tred te hou met die nuutste kuberbedreigings
• Doen daaglikse volledige stelselskanderings en stel 'n gereelde stelselrugsteunskedule op om te verseker dat jou data herwinbaar is in die geval dat jou masjien misluk.

Afgesien hiervan, is daar 'n rits ander professionele benaderings om rekenaarstelsels te beskerm. Aspekte insluitend voldoende sekuriteit argitektoniese spesifikasie, enkripsie en spesialis sagteware kan help om rekenaarstelsels te beskerm.

Ongelukkig neem die aantal kubergevare vinnig toe, en meer komplekse aanvalle verskyn. Om hierdie aanvalle te bekamp en gevare te versag, word meer professionele en gespesialiseerde kuberveiligheidsvaardighede vereis.

Omdat die hoeveelheid hulpbronne wat benodig word om 'n algoritme uit te voer, wissel met die grootte van die invoer, word die kompleksiteit gewoonlik uitgedruk as 'n funksie f(n), waar n die invoergrootte is en f(n) óf die ergste-geval kompleksiteit ( die maksimum hoeveelheid hulpbronne benodig oor alle insette van grootte n) of die gemiddelde-geval kompleksiteit (die gemiddelde van die hoeveelheid hulpbronne oor alle insette van grootte n). Die aantal vereiste elementêre bewerkings op 'n invoer van grootte n word algemeen aangegee as tydskompleksiteit, waar daar geglo word dat elementêre bewerkings 'n konstante hoeveelheid tyd op 'n spesifieke rekenaar neem en slegs deur 'n konstante faktor verander wanneer dit op 'n ander masjien uitgevoer word. Die hoeveelheid geheue wat deur 'n algoritme benodig word op 'n invoer van grootte n staan ​​bekend as ruimtekompleksiteit.

Tyd is die mees algemeen beskou as hulpbron. Wanneer die term "kompleksiteit" sonder kwalifiseerder gebruik word, verwys dit gewoonlik na die kompleksiteit van tyd.

Die tradisionele tydeenhede (sekondes, minute, ensovoorts) word nie in kompleksiteitsteorie aangewend nie, aangesien hulle te afhanklik is van die rekenaar wat gekies is en die vooruitgang van tegnologie. Byvoorbeeld, 'n rekenaar kan vandag 'n algoritme aansienlik vinniger uitvoer as 'n rekenaar uit die 1960's, maar dit is te danke aan tegnologiese deurbrake in rekenaarhardeware eerder as 'n inherente kwaliteit van die algoritme. Die doel van kompleksiteitsteorie is om die inherente tydsbehoeftes van algoritmes te kwantifiseer, of die fundamentele tydsbeperkings wat 'n algoritme op enige rekenaar sou oplê. Dit word bewerkstellig deur te tel hoeveel basiese bewerkings tydens die berekening uitgevoer word. Daar word gewoonlik na hierdie prosedures verwys as stappe omdat dit beskou word as konstante tyd op 'n spesifieke masjien (dws hulle word nie deur die hoeveelheid insette beïnvloed nie).

Nog 'n belangrike hulpbron is die hoeveelheid rekenaargeheue wat nodig is om algoritmes uit te voer.

Nog 'n hulpbron wat dikwels gebruik word, is die hoeveelheid rekenkundige bewerkings. In hierdie scenario word die term "rekenkundige kompleksiteit" gebruik. Die tydskompleksiteit is oor die algemeen die produk van die rekenkundige kompleksiteit deur 'n konstante faktor as 'n boonste beperking op die grootte van die binêre voorstelling van die getalle wat tydens 'n berekening voorkom, bekend is.

Die grootte van die heelgetalle wat tydens 'n berekening gebruik word, word nie vir baie metodes beperk nie, en dit is onrealisties om te aanvaar dat rekenkundige bewerkings 'n vaste hoeveelheid tyd benodig. Gevolglik kan die tydskompleksiteit, ook bekend as biskompleksiteit, aansienlik hoër wees as die rekenkundige kompleksiteit. Die rekenkundige moeilikheid om die determinant van 'n nn heelgetalmatriks te bereken, is byvoorbeeld O(n^3) vir standaardtegnieke (Gaussiese eliminasie). Omdat die grootte van die koëffisiënte eksponensieel kan uitbrei tydens die berekening, is die biskompleksiteit van dieselfde metodes eksponensieel in n. As hierdie tegnieke in samewerking met multi-modulêre rekenkunde gebruik word, kan die biskompleksiteit verminder word na O(n^4).

Die biskompleksiteit, in formele terme, verwys na die aantal bewerkings op bisse wat nodig is om 'n algoritme uit te voer. Dit is gelyk aan die tydelike kompleksiteit tot 'n konstante faktor in die meeste berekeningsparadigmas. Die aantal bewerkings op masjienwoorde wat deur rekenaars vereis word, is eweredig aan die biskompleksiteit. Vir realistiese modelle van berekening is die tydkompleksiteit en biskompleksiteit dus identies.

Die hulpbron wat dikwels oorweeg word by sortering en soek is die hoeveelheid inskrywingsvergelykings. As die data goed gerangskik is, is dit 'n goeie aanduiding van die tydskompleksiteit.

Op alle potensiële insette is dit onmoontlik om die aantal stappe in 'n algoritme te tel. Omdat die kompleksiteit van 'n inset toeneem met sy grootte, word dit algemeen voorgestel as 'n funksie van die inset se grootte n (in bisse), en dus is die kompleksiteit 'n funksie van n. Vir dieselfde-grootte insette kan die kompleksiteit van 'n algoritme egter aansienlik verskil. As gevolg hiervan word 'n verskeidenheid kompleksiteitsfunksies gereeld aangewend.

Die ergste-geval kompleksiteit is die som van alle kompleksiteit vir alle grootte n insette, terwyl die gemiddelde-geval kompleksiteit die som is van alle kompleksiteit vir alle grootte n insette (dit maak sin, aangesien die aantal moontlike insette van 'n gegewe grootte is eindig). Wanneer die term "kompleksiteit" gebruik word sonder om verder omskryf te word, word die ergste tydskompleksiteit in ag geneem.

Die ergste-geval en gemiddelde-geval kompleksiteit is berug moeilik om korrek te bereken. Verder het hierdie presiese waardes min praktiese toepassing omdat enige verandering in masjien of berekeningsparadigma die kompleksiteit effens sal verander. Verder is hulpbrongebruik nie deurslaggewend vir klein waardes van n nie, daarom is die gemak van implementering dikwels meer aantreklik as lae kompleksiteit vir klein n.

Om hierdie redes word die meeste aandag gegee aan die kompleksiteit se gedrag vir hoë n, dit wil sê sy asimptotiese gedrag as n oneindigheid nader. As gevolg hiervan word groot O-notasie algemeen gebruik om kompleksiteit aan te dui.

Rekenkundige modelle

Die keuse van 'n berekeningsmodel, wat bestaan ​​uit die spesifikasie van die noodsaaklike bewerkings wat in 'n tydseenheid uitgevoer word, is deurslaggewend in die bepaling van die kompleksiteit. Dit word soms na verwys as 'n multitape Turing-masjien wanneer die berekeningsparadigma nie spesifiek beskryf word nie.

'n Deterministiese model van berekening is een waarin die masjien se daaropvolgende toestande en die bewerkings wat uitgevoer moet word, geheel en al deur die vorige toestand gedefinieer word. Rekursiewe funksies, lambda-rekening en Turing-masjiene was die eerste deterministiese modelle. Toevallige toegangsmasjiene (ook bekend as RAM-masjiene) is 'n gewilde paradigma om werklike rekenaars te simuleer.

Wanneer die berekeningsmodel nie gedefinieer is nie, word 'n multitape Turing-masjien gewoonlik aanvaar. Op multitape Turing-masjiene is die tydskompleksiteit dieselfde as op RAM-masjiene vir die meeste algoritmes, alhoewel aansienlike aandag in hoe data in die geheue gestoor word nodig mag wees om hierdie ekwivalensie te bereik.

Verskeie keuses kan gemaak word by sommige stappe van die berekening in 'n nie-deterministiese model van rekenaar, soos nie-deterministiese Turing-masjiene. In kompleksiteitsteorie word alle haalbare opsies gelyktydig oorweeg, en nie-deterministiese tydskompleksiteit is die hoeveelheid tyd wat benodig word wanneer die beste keuses altyd gemaak word. Om dit anders te stel, die berekening word gelyktydig gedoen op soveel (identiese) verwerkers as wat vereis word, en die nie-deterministiese berekeningstyd is die tyd wat die eerste verwerker neem om die berekening te voltooi. Hierdie parallellisme kan gebruik word in kwantumberekening deur gesuperponeerde verstrengelde toestande te gebruik wanneer gespesialiseerde kwantumalgoritmes uitgevoer word, soos byvoorbeeld Shor se faktorisering van klein heelgetalle.

Selfs al is so 'n berekeningsmodel nie tans prakties prakties nie, het dit teoretiese betekenis, veral met betrekking tot die P = NP-probleem, wat vra of die kompleksiteitsklasse geproduseer word deur die gebruik van "polinoomtyd" en "nie-deterministiese polinoomtyd" as die minste boonste grense is dieselfde. Op 'n deterministiese rekenaar vereis die simulering van 'n NP-algoritme "eksponensiële tyd." As 'n taak in polinoomtyd op 'n nie-deterministiese stelsel opgelos kan word, behoort dit tot die NP-moeilikheidsklas. As 'n kwessie in NP is en nie makliker is as enige ander NP-probleem nie, word gesê dat dit NP-volledig is. Die Rugsak-probleem, die reisende verkoopsman-probleem en die Boole-bevredigingsprobleem is almal NP-volledige kombinatoriese probleme. Die bekendste algoritme het eksponensiële kompleksiteit vir al hierdie probleme. As enige van hierdie kwessies in polinoomtyd op 'n deterministiese masjien opgelos kan word, dan kan alle NP-probleme ook in polinoomtyd opgelos word, en P = NP sal vasgestel word. Vanaf 2017 word dit algemeen aanvaar dat P NP, wat impliseer dat die ergste situasies van NP-probleme fundamenteel moeilik is om op te los, dit wil sê, neem baie langer as enige haalbare tydsbestek (dekades) gegewe interessante insetlengtes.

Parallelle en verspreide rekenaars

Parallelle en verspreide rekenaars behels die verdeling van verwerking oor verskeie verwerkers wat almal op dieselfde tyd werk. Die fundamentele onderskeid tussen die verskillende modelle is die metode om data tussen verwerkers te stuur. Data-oordrag tussen verwerkers is tipies baie vinnig in parallelle rekenaars, terwyl data-oordrag tussen verwerkers in verspreide rekenaars oor 'n netwerk gedoen word en dus aansienlik stadiger is.

'n Berekening op N verwerkers neem ten minste die kwosiënt met N van die tyd wat dit op 'n enkele verwerker neem. In werklikheid, omdat sommige subtake nie geparalleliseer kan word nie en sommige verwerkers dalk moet wag vir 'n resultaat van 'n ander verwerker, sal hierdie teoreties ideale binding nooit bereik word nie.

Die sleutelkompleksiteitskwessie is dus om algoritmes te ontwikkel sodat die produk van rekenaartyd deur die aantal verwerkers so na as moontlik aan die tyd is wat nodig is om dieselfde berekening op 'n enkele verwerker uit te voer.

Kwantumberekening

'n Kwantumrekenaar is 'n rekenaar met 'n kwantummeganika-gebaseerde berekeningsmodel. Die Church–Turing-proefskrif geld vir kwantumrekenaars, wat impliseer dat enige probleem wat 'n kwantumrekenaar kan oplos ook deur 'n Turing-masjien opgelos kan word. Sommige take kan egter teoreties opgelos word met 'n kwantumrekenaar eerder as 'n klassieke rekenaar met 'n aansienlik laer temporele kompleksiteit. Vir eers is dit streng teoreties, aangesien niemand weet hoe om 'n praktiese kwantumrekenaar te ontwikkel nie.

Kwantumkompleksiteitsteorie is geskep om die verskillende tipes kwessies wat deur kwantumrekenaars opgelos kan word, te ondersoek. Dit word gebruik in post-kwantumkriptografie, wat die proses is om kriptografiese protokolle te skep wat bestand is teen kwantumrekenaaraanvalle.

Kompleksiteit van die probleem (ondergrens)

Die infimum van die kompleksiteite van die algoritmes wat die probleem kan oplos, insluitend onontdekte tegnieke, is die kompleksiteit van die probleem. Gevolglik is die kompleksiteit van 'n probleem gelyk aan die kompleksiteit van enige algoritme wat dit oplos.

As gevolg hiervan verteenwoordig enige kompleksiteit wat in groot O-notasie gegee word 'n kompleksiteit van beide die algoritme en die gepaardgaande probleem.

Aan die ander kant is dit dikwels moeilik om nie-triviale ondergrense vir kwessiekompleksiteit te verkry, en daar is min strategieë om dit te doen.

Om die meeste probleme op te los, moet alle invoerdata gelees word, wat tyd neem in verhouding tot die omvang van die data. As gevolg hiervan het sulke probleme ten minste lineêre kompleksiteit, of, in groot omega-notasie, 'n kompleksiteit van Ω(n).

Sommige probleme, soos dié in rekenaaralgebra en berekeningsalgebraïese meetkunde, het baie groot oplossings. Omdat die uitvoer geskryf moet word, word die kompleksiteit beperk deur die maksimum grootte van die uitvoer.

Die aantal vergelykings wat benodig word vir 'n sorteeralgoritme het 'n nie-lineêre ondergrens van Ω(nlogn). As gevolg hiervan is die beste sorteeralgoritmes die doeltreffendste aangesien hul kompleksiteit O(nlogn) is. Die feit dat daar n! maniere om n dinge te organiseer lei tot hierdie ondergrens. Omdat elke vergelyking hierdie versameling van n verdeel! bestellings in twee stukke, moet die aantal N vergelykings wat nodig is om alle bestellings te onderskei 2N > n! wees, wat O(nlogn) deur Stirling se formule impliseer.

Om 'n probleem na 'n ander probleem te reduseer, is 'n algemene strategie vir die verkryging van verminderde kompleksiteitsbeperkings.

Algoritme ontwikkeling

Die evaluering van 'n algoritme se kompleksiteit is 'n belangrike element van die ontwerpproses aangesien dit nuttige inligting verskaf oor die prestasie wat verwag kan word.

Dit is 'n gereelde misverstand dat, as gevolg van Moore se wet, wat die eksponensiële groei van moderne rekenaarkrag voorspel, die evaluering van die kompleksiteit van algoritmes minder relevant sal word. Dit is verkeerd omdat die verhoogde krag voorsiening maak vir die verwerking van massiewe hoeveelhede data (groot data). Byvoorbeeld, enige algoritme behoort binne minder as 'n sekonde goed te funksioneer wanneer 'n lys van 'n paar honderde inskrywings, soos die bibliografie van 'n boek, alfabeties gesorteer word. Aan die ander kant, vir 'n miljoen inskrywings (byvoorbeeld die telefoonnommers van 'n groot stad), sal die basiese algoritmes wat O(n2)-vergelykings vereis 'n triljoen vergelykings moet uitvoer, wat drie uur teen 'n spoed van 10 sal neem miljoen vergelykings per sekonde. Quicksort en merge sort, aan die ander kant, vereis slegs nlogn-vergelykings (as gemiddelde-geval-kompleksiteit vir eersgenoemde, as ergste-geval-kompleksiteit vir laasgenoemde). Dit lewer ongeveer 30,000,000 1,000,000 3 vergelykings vir n = 10 XNUMX XNUMX, wat slegs XNUMX sekondes sal neem teen XNUMX miljoen vergelykings per sekonde.

As gevolg hiervan kan die beoordeling van kompleksiteit die uitskakeling van baie ondoeltreffende algoritmes voor implementering moontlik maak. Dit kan ook gebruik word om komplekse algoritmes te verfyn sonder om alle moontlike variante te toets. Die studie van kompleksiteit laat toe om die poging om die doeltreffendheid van 'n implementering te verhoog te fokus deur die duurste stappe van 'n komplekse algoritme te bepaal.

Voor die huidige era was kriptografie amper sinoniem met enkripsie, wat inligting van leesbare na onverstaanbare onsin verander het. Om te verhoed dat aanvallers toegang tot 'n geënkripteerde boodskap kry, deel die sender slegs die dekoderingsproses met die beoogde ontvangers. Die name Alice ("A") vir die sender, Bob ("B") vir die beoogde ontvanger, en Eve ("afluisteraar") vir die teëstander word gereeld in kriptografiese literatuur gebruik.

Kriptografiemetodes het al hoe meer kompleks geword, en die toepassings daarvan is meer gediversifiseer sedert die ontwikkeling van rotorsyfermasjiene in die Eerste Wêreldoorlog en die bekendstelling van rekenaars in die Tweede Wêreldoorlog.

Moderne kriptografie is sterk aangewese op wiskundige teorie en rekenaarwetenskappraktyk; kriptografiese metodes is gebou rondom aannames van berekeningshardheid, wat dit moeilik maak vir enige teenstander om in die praktyk te breek. Alhoewel dit teoreties moontlik is om by 'n goed ontwerpte stelsel in te breek, is dit onmoontlik om dit in die praktyk te doen. Daar word na sulke skemas verwys as "berekeningsveilig" as hulle voldoende gebou is; nietemin, teoretiese deurbrake (bv. verbeterings in heelgetalfaktoriseringsmetodes) en vinniger rekenaartegnologie noodsaak konstante herevaluering en, indien nodig, aanpassing van hierdie ontwerpe. Daar is inligting-teoreties veilige stelsels, soos die eenmalige pad, wat bewys kan word dat dit onbreekbaar is selfs met oneindige rekenaarkrag, maar dit is aansienlik moeiliker om in die praktyk te gebruik as die beste teoreties breekbare maar rekenaarmatige veilige skemas.

In die inligtingsera het die vooruitgang van kriptografiese tegnologie 'n verskeidenheid regsuitdagings opgelewer. Baie nasies het kriptografie as 'n wapen geklassifiseer, wat die gebruik en uitvoer daarvan beperk of verbied weens die potensiaal vir spioenasie en opruiing. Ondersoekbeamptes kan op sommige plekke waar kriptografie wettig is die oorgawe van enkripsiesleutels dwing vir dokumente wat relevant is vir 'n ondersoek. In die geval van digitale media speel kriptografie ook 'n sleutelrol in digitale regtebestuur en kopieregskendingkonflikte.

Die term “kriptograaf” (teenoor “kriptogram”) is die eerste keer in die negentiende eeu gebruik, in Edgar Allan Poe se kortverhaal “The Gold-Bug”.

Tot onlangs het kriptografie byna uitsluitlik na "enkripsie" verwys, wat die handeling is om gewone data (bekend as gewone teks) in 'n onleesbare formaat te verander (genoem syferteks). Dekripsie is die teenoorgestelde van enkripsie, dit wil sê, om van onverstaanbare syferteks na gewone teks te gaan. 'n Sifer (of syfer) is 'n stel tegnieke wat enkripsie en dekripsie in die omgekeerde volgorde uitvoer. Die algoritme en, in elke geval, 'n "sleutel" is in beheer van die syfer se gedetailleerde uitvoering. Die sleutel is 'n geheim (verkieslik net deur die kommunikante bekend) wat gebruik word om die syferteks te dekripteer. Dit is gewoonlik 'n string karakters (ideaal kort sodat dit deur die gebruiker onthou kan word). 'n "Kriptostelsel" is die geordende versameling elemente van eindige potensiële gewone tekste, sifertekste, sleutels en die enkripsie- en dekripsieprosedures wat met elke sleutel ooreenstem in formele wiskundige terme. Sleutels is formeel en prakties van kardinale belang, want syfers met vaste sleutels kan maklik gebreek word deur slegs die syfer se inligting te gebruik, wat hulle nutteloos (of selfs teenproduktief) maak vir die meeste doeleindes.

Histories is syfers gereeld gebruik sonder enige bykomende prosedures soos verifikasie of integriteitkontroles vir enkripsie of dekripsie. Kriptostelsels word in twee kategorieë verdeel: simmetries en asimmetries. Dieselfde sleutel (die geheime sleutel) word gebruik om 'n boodskap in simmetriese stelsels te enkripteer en te dekripteer, wat die enigstes was wat tot die 1970's bekend was. Omdat simmetriese stelsels korter sleutellengtes gebruik, is datamanipulasie in simmetriese stelsels vinniger as in asimmetriese stelsels. Asimmetriese stelsels enkripteer 'n kommunikasie met 'n "openbare sleutel" en dekripteer dit met 'n soortgelyke "privaat sleutel." Die gebruik van asimmetriese stelsels verbeter kommunikasiesekuriteit, as gevolg van die moeilikheid om die verhouding tussen die twee sleutels te bepaal. RSA (Rivest–Shamir–Adleman) en ECC is twee voorbeelde van asimmetriese stelsels (Elliptic Curve Cryptography). Die algemeen gebruikte AES (Advanced Encryption Standard), wat die vroeëre DES vervang het, is 'n voorbeeld van 'n hoë-gehalte simmetriese algoritme (Data Encryption Standard). Die verskillende kindertaalverstrengelingstegnieke, soos Vark Latyn of ander kante, en inderdaad alle kriptografiese skemas, hoe ernstig ook al bedoel, uit enige bron voor die bekendstelling van die eenmalige boek vroeg in die twintigste eeu, is voorbeelde van lae gehalte simmetriese algoritmes.

Die term "kode" word dikwels in die algemeen gebruik om te verwys na enige tegniek van enkripsie of boodskapverberging. In kriptografie verwys kode egter na die vervanging van 'n kodewoord vir 'n eenheid van gewone teks (dws 'n betekenisvolle woord of frase) (byvoorbeeld, "wallaby" vervang "aanval teen dagbreek"). Daarteenoor word 'n siferteks geskep deur 'n element onder so 'n vlak (byvoorbeeld 'n letter, 'n lettergreep of 'n paar letters) te wysig of te vervang om 'n siferteks te vorm.

Kriptanalise is die studie van maniere om geënkripteerde data te dekripteer sonder om toegang te hê tot die sleutel wat nodig is om dit te doen; met ander woorde, dit is die studie van hoe om enkripsieskemas of die implementering daarvan te “breek”.

In Engels gebruik sommige mense uitruilbaar die terme "cryptography" en "cryptology", terwyl ander (insluitend Amerikaanse militêre praktyk in die algemeen) "cryptography" gebruik om te verwys na die gebruik en beoefening van kriptografiese tegnieke en "cryptology" om te verwys na die gekombineerde studie van kriptografie en kriptanalise. Engels is meer aanpasbaar as 'n aantal ander tale, waar "kriptologie" (soos dit deur kriptoloë beoefen word) altyd in die tweede sin gebruik word. Steganografie word soms by kriptologie ingesluit, volgens RFC 2828.

Kriptolinguistiek is die studie van taaleienskappe wat 'n mate van relevansie in kriptografie of kriptologie het (byvoorbeeld frekwensiestatistieke, letterkombinasies, universele patrone, ensovoorts).

Kriptografie en kriptanalise het 'n lang geskiedenis.
Geskiedenis van kriptografie is die hoofartikel.
Voor die moderne era was kriptografie hoofsaaklik gemoeid met boodskapvertroulikheid (dws enkripsie) - die omskakeling van boodskappe van 'n verstaanbare na 'n onverstaanbare vorm en weer, wat dit onleesbaar maak deur onderskeppers of afluisteraars sonder geheime kennis (naamlik die sleutel wat nodig is vir dekripsie) van daardie boodskap). Enkripsie is ontwerp om die gesprekke van spioene, militêre leiers en diplomate privaat te hou. In die afgelope dekades het die dissipline gegroei om onder meer tegnieke soos boodskap-integriteitkontrolering, sender/ontvanger-identiteitstawing, digitale handtekeninge, interaktiewe bewyse en veilige berekening in te sluit.

Die twee mees algemene klassieke syfertipes is transposisiesyfers, wat letters of groepe letters sistematies met ander letters of groepe letters vervang (bv. 'hallo wêreld' word 'ehlol owrdl' in 'n onbenullige eenvoudige herrangskikkingskema), en substitusiesyfers, wat sistematies letters of groepe letters vervang met ander letters of groepe letters (bv. 'vlieg dadelik' word 'gmz bu Eenvoudige weergawes van beide het nog nooit veel privaatheid van geslepe teëstanders verskaf nie. Die Caesar-syfer was 'n vroeë vervangingsyfer waarin elke letter in die gewone teks is vervang deur 'n letter 'n sekere aantal posisies langs die alfabet. Volgens Suetonius het Julius Caesar dit met 'n drie-man skof gebruik om met sy generaals te kommunikeer. 'n Vroeë Hebreeuse syfer, Atbash, is 'n voorbeeld. Die oudste bekende gebruik van kriptografie is 'n gekerfde syferteks op klip in Egipte (ongeveer 1900 vC), maar dit is moontlik dat dit eerder gedoen is vir die genot van geletterde toeskouers. om inligting te verberg.

Daar word gerapporteer dat kripte aan die Klassieke Grieke bekend was (bv. die scytale transposisiesyfer wat beweer word dat dit deur die Spartaanse weermag gebruik is). Steganografie (die praktyk om selfs die teenwoordigheid van 'n kommunikasie te verberg om dit privaat te hou) is ook in antieke tye uitgevind. 'n Frase wat op 'n slaaf se geskeer kop getatoeëer is en onder die hergroeide hare versteek is, volgens Herodotus. Die gebruik van onsigbare ink, mikrokolletjies en digitale watermerke om inligting te verberg, is meer huidige gevalle van steganografie.

Kautiliyam en Mulavediya is twee soorte syfers wat in Indië se 2000 jaar oue Kamasutra van Vtsyyana genoem word. Die syferlettervervangings in die Kautiliyam is gebaseer op fonetiese verwantskappe, soos vokale wat konsonante word. Die syfer-alfabet in die Mulavediya bestaan ​​uit ooreenstemmende letters en gebruik wederkerige letters.

Volgens die Moslem-geleerde Ibn al-Nadim het Sassanid Persië twee geheime skrifte gehad: die h-dabrya (letterlik “Koning se skrif”), wat vir amptelike korrespondensie gebruik is, en die rz-saharya, wat gebruik is om geheime boodskappe met ander uit te ruil. lande.

In sy boek The Codebreakers skryf David Kahn dat hedendaagse kriptologie begin het by die Arabiere, wat die eerstes was wat kriptanalitiese prosedures noukeurig gedokumenteer het. The Book of Cryptographic Messages is geskryf deur Al-Khalil (717–786), en dit bevat die vroegste gebruik van permutasies en kombinasies om alle denkbare Arabiese woorde met en sonder vokale te lys.

Sifertekste gegenereer deur 'n klassieke syfer (sowel as sommige moderne syfers) openbaar statistiese inligting oor die gewone teks, wat gebruik kan word om die syfer te breek. Byna al sulke syfers kon deur 'n intelligente aanvaller gebreek word ná die ontdekking van frekwensie-analise, moontlik deur die Arabiese wiskundige en polimaat Al-Kindi (ook bekend as Alkindus) in die 9de eeu. Klassieke syfers is vandag steeds gewild, hoewel grootliks as legkaarte (sien kriptogram). Risalah fi Istikhraj al-Mu'amma (Manuskrip vir die ontsyfering van kriptografiese boodskappe) is deur Al-Kindi geskryf en het die eerste bekende gebruik van frekwensie-analise kriptanalise tegnieke gedokumenteer.

Sommige uitgebreide geskiedenis-enkripsiebenaderings, soos homofoniese syfer, wat geneig is om die frekwensieverspreiding af te plat, mag dalk nie baat by taalletterfrekwensies nie. Taallettergroep (of n-gram) frekwensies kan 'n aanval vir daardie syfers gee.

Tot die ontdekking van die poli-alfabetiese syfer, veral deur Leon Battista Alberti omstreeks 1467, was feitlik alle syfers toeganklik vir kriptanalise deur die frekwensie-analise-benadering te gebruik, alhoewel daar bewyse is dat dit reeds aan Al-Kindi bekend was. Alberti het met die idee vorendag gekom om aparte syfers (of vervangingsalfabette) vir verskillende dele van 'n kommunikasie te gebruik (miskien vir elke opeenvolgende gewone teksletter by die limiet). Hy het ook geskep wat vermoedelik die eerste outomatiese enkripsietoestel is, 'n wiel wat 'n gedeelte van sy ontwerp uitgevoer het. Enkripsie in die Vigenère-syfer, 'n poli-alfabetiese syfer, word beheer deur 'n sleutelwoord wat lettervervanging reguleer op grond van watter letter van die sleutelwoord gebruik word. Charles Babbage het gedemonstreer dat die Vigenère-syfer kwesbaar was vir Kasiski-analise in die middel van die negentiende eeu, maar Friedrich Kasiski het sy bevindinge tien jaar later gepubliseer.

Ten spyte van die feit dat frekwensie-analise 'n kragtige en breë tegniek teen baie syfers is, het enkripsie in die praktyk doeltreffend gebly omdat baie toekomstige kriptanaliste onbewus is van die tegniek. Om 'n boodskap te breek sonder om frekwensie-analise te gebruik, het kennis van die syfer wat gebruik word en moontlik die betrokke sleutel vereis, wat spioenasie, omkopery, inbraak, oorlopery en ander kriptanalities oningeligte taktieke aantrekliker maak. Die geheim van 'n syfer-algoritme is uiteindelik in die 19de eeu erken as nóg 'n redelike nóg haalbare versekering van boodskapsekuriteit; trouens, enige toepaslike kriptografiese skema (insluitend syfers) behoort veilig te bly selfs al verstaan ​​die teenstander die syferalgoritme self ten volle. Die sleutel se sekuriteit moet voldoende wees vir 'n goeie syfer om vertroulikheid te behou in die aangesig van 'n aanranding. Auguste Kerckhoffs het hierdie fundamentele beginsel vir die eerste keer in 1883 gestel, en dit staan ​​bekend as Kerckhoffs se beginsel; alternatiewelik, en meer reguit, het Claude Shannon, die uitvinder van inligtingsteorie en die grondbeginsels van teoretiese kriptografie, dit weer as Shannon se Maxim - 'die vyand ken die stelsel'.

Om met syfers te help, is baie fisiese toestelle en bystand gebruik. Die scytale van antieke Griekeland, 'n staf wat na bewering deur die Spartane as 'n transposisie-syfer-instrument gebruik is, was dalk een van die eerstes. Ander hulpmiddels is in die Middeleeue uitgedink, soos die syferrooster, wat ook vir steganografie gebruik is. Met die ontwikkeling van poli-alfabetiese syfers het meer gesofistikeerde hulpmiddels soos Alberti se syferskyf, Johannes Trithemius se tabula recta-skema en Thomas Jefferson se wielsyfer beskikbaar geword (nie publiek bekend nie, en onafhanklik deur Bazeries herontdek omstreeks 1900). Baie meganiese enkripsie/dekripsiestelsels is in die vroeë twintigste eeu ontwerp en gepatenteer, insluitend rotormasjiene, wat beroemd deur die Duitse regering en weermag gebruik is vanaf die laat 1920's tot die Tweede Wêreldoorlog. Na die Eerste Wêreldoorlog het die syfers wat deur hoër-gehalte gevalle van hierdie masjienontwerpe geïmplementeer is, 'n aansienlike toename in kriptanalitiese probleme tot gevolg gehad.

Kriptografie was hoofsaaklik gemoeid met linguistiese en leksikografiese patrone voor die vroeë twintigste eeu. Sedertdien het die fokus ontwikkel, en kriptografie sluit nou aspekte van inligtingsteorie, berekeningskompleksiteit, statistiek, kombinatorika, abstrakte algebra, getalleteorie en eindige wiskunde in die algemeen in. Kriptografie is 'n tipe ingenieurswese, maar dit is uniek in die sin dat dit handel oor aktiewe, intelligente en vyandige weerstand, terwyl ander tipes ingenieurswese (soos siviele of chemiese ingenieurswese) bloot te doen het met natuurlike kragte wat neutraal is. Die verband tussen kriptografieprobleme en kwantumfisika word ook ondersoek.

Die ontwikkeling van digitale rekenaars en elektronika het kriptanalise aangehelp deur die skepping van aansienlik meer gesofistikeerde syfers moontlik te maak. Verder, anders as tradisionele syfers, wat uitsluitlik geskrewe taaltekste geënkripteer het, het rekenaars voorsiening gemaak vir die enkripsie van enige tipe data wat in enige binêre formaat voorgestel kan word; dit was nuut en uiters belangrik. In beide syferontwerp en kriptanalise het rekenaars taalkriptografie so vervang. Anders as klassieke en meganiese metodes, wat hoofsaaklik tradisionele karakters (bv. letters en syfers) direk manipuleer, werk baie rekenaarsyfers op binêre bisreekse (soms in groepe of blokke). Rekenaars, aan die ander kant, het kriptanalise aangehelp, wat gedeeltelik vergoed het vir verhoogde syferkompleksiteit. Ten spyte hiervan het goeie moderne syfers voor kriptanalise gebly; dit is dikwels die geval dat die gebruik van 'n goeie syfer baie doeltreffend is (dws vinnig en vereis min hulpbronne, soos geheue of SVE-vermoë), terwyl om dit te breek 'n poging verg baie ordes van grootte groter, en baie groter as wat nodig is vir enige klassieke syfer, wat kriptanalise effektief onmoontlik maak.

Moderne kriptografie maak sy debuut.
Die kripanalise van die nuwe meganiese toestelle was uitdagend en tydrowend. Tydens die Tweede Wêreldoorlog het kriptanalitiese aktiwiteite by Bletchley Park in die Verenigde Koninkryk die uitvinding van meer doeltreffende metodes bevorder om herhalende take uit te voer. Die Colossus, die wêreld se eerste volledig elektroniese, digitale, programmeerbare rekenaar, is ontwikkel om te help met die dekodering van syfers wat deur die Duitse weermag se Lorenz SZ40/42-masjien geskep is.

Kriptografie is 'n relatief nuwe veld van oop akademiese navorsing, wat eers in die middel-1970's begin het. IBM-werknemers het die algoritme ontwerp wat die Federale (dws, VSA) Data Encryption Standard geword het; Whitfield Diffie en Martin Hellman het hul sleutelooreenkoms-algoritme gepubliseer; en Martin Gardner se Scientific American-kolom het die RSA-algoritme gepubliseer. Kriptografie het sedertdien in gewildheid gegroei as 'n tegniek vir kommunikasie, rekenaarnetwerke en rekenaarsekuriteit in die algemeen.

Daar is diepgaande bande met abstrakte wiskunde aangesien verskeie moderne kriptografiebenaderings slegs hul sleutels geheim kan hou as sekere wiskundige probleme onoplosbaar is, soos heelgetalfaktorisering of diskrete logaritmekwessies. Daar is net 'n handjievol kriptostelsels wat gedemonstreer is om 100% veilig te wees. Claude Shannon het bewys dat die eenmalige pad een van hulle is. Daar is 'n paar sleutelalgoritmes wat onder sekere omstandighede veilig is. Die onvermoë om byvoorbeeld uiters groot heelgetalle te faktoriseer, is die basis om te glo dat RSA en ander stelsels veilig is, maar bewyse van onbreekbaarheid is onbereikbaar omdat die onderliggende wiskundige probleem onopgelos bly. In die praktyk word dit wyd gebruik, en die meeste bekwame waarnemers glo dat dit in die praktyk onbreekbaar is. Daar bestaan ​​stelsels soortgelyk aan RSA, soos een wat deur Michael O. Rabin ontwikkel is, wat bewysbaar veilig is as faktorisering n = pq onmoontlik is; hulle is egter feitlik nutteloos. Die diskrete logaritme-kwessie is die grondslag om te glo dat sommige ander kriptostelsels veilig is, en daar is soortgelyke, minder praktiese stelsels wat bewysbaar veilig is in terme van die diskrete logaritmeprobleem se oplosbaarheid of onoplosbaarheid.

Kriptografiese algoritme- en stelselontwerpers moet moontlike toekomstige vooruitgang oorweeg wanneer hulle aan hul idees werk, benewens om bewus te wees van kriptografiese geskiedenis. Soos rekenaarverwerkingskrag byvoorbeeld verbeter het, het die omvang van brute-force-aanvalle gegroei, en daarom het die vereiste sleutellengtes ook gegroei. Sommige kriptografiese stelselontwerpers wat post-kwantumkriptografie verken, oorweeg reeds die potensiële gevolge van kwantumrekenaarkunde; die aangekondigde dreigende beskeie implementering van hierdie masjiene kan die behoefte aan voorkomende versigtigheid meer as net spekulatief maak.

Klassieke kriptografie in die moderne dag

Simmetriese (of privaatsleutel) kriptografie is 'n tipe enkripsie waarin die sender en ontvanger dieselfde sleutel gebruik (of, minder algemeen, waarin hul sleutels verskil, maar op 'n maklik berekenbare manier verwant is en in die geheim, privaat gehou word ). Tot Junie 1976 was dit die enigste tipe enkripsie wat in die openbaar bekend was.

Bloksyfers en stroomsyfers word albei gebruik om simmetriese sleutelsyfers te implementeer. 'n Bloksyfer enkripteer invoer in blokke van gewone teks eerder as individuele karakters, soos 'n stroomsyfer doen.

Die Amerikaanse regering het die Data Encryption Standard (DES) en die Advanced Encryption Standard (AES) as kriptografiestandaarde aangewys (al is DES se sertifisering uiteindelik teruggetrek sodra die AES tot stand gebring is). DES (veral sy steeds-goedgekeurde en aansienlik veiliger driedubbel-DES-variasie) bly gewild ten spyte van die afskaffing daarvan as 'n amptelike standaard; dit word in 'n wye reeks toepassings gebruik, van OTM-enkripsie tot e-pos privaatheid en veilige afstandtoegang. Daar is 'n rits verskillende bloksyfers uitgevind en vrygestel, met verskillende grade van sukses. Baie, insluitend sommige wat deur gekwalifiseerde praktisyns ontwerp is, soos FEAL, is omvattend gebreek.

Stroomsyfers, anders as bloksyfers, genereer 'n oneindig lang stroom sleutelmateriaal wat met gewone teks bietjie-vir-bietjie of karakter-vir-karakter gekoppel word, soortgelyk aan die eenmalige blok. Die uitsetstroom van 'n stroomsyfer word gegenereer uit 'n versteekte interne toestand wat verander soos die kode funksioneer. Die geheime sleutelmateriaal word eers gebruik om daardie interne toestand op te stel. Die stroomsyfer RC4 word wyd gebruik. Deur blokke van 'n sleutelstroom te skep (in plaas van 'n pseudo-willekeurige getalgenerator) en 'n XOR-bewerking vir elke stukkie van die gewone teks met elke stukkie van die sleutelstroom te gebruik, kan bloksyfers as stroomsyfers gebruik word.

Boodskapverifikasiekodes (MAC's) is soortgelyk aan kriptografiese hash-funksies, met die uitsondering dat 'n geheime sleutel gebruik kan word om die hash-waarde by ontvangs te bekragtig; hierdie ekstra ingewikkeldheid verhoed 'n aanval teen naakte verteringsalgoritmes, en word dus as die moeite werd beskou. 'n Derde soort kriptografiese tegniek is kriptografiese hash-funksies. Hulle neem enige lengte boodskap as invoer en voer 'n klein, vaste lengte hash uit wat byvoorbeeld in digitale handtekeninge gebruik kan word. 'n Aanvaller kan nie twee boodskappe opspoor wat dieselfde hash produseer deur goeie hash-algoritmes te gebruik nie. MD4 is 'n wyd gebruikte maar nou foutiewe hash-funksie; MD5, 'n verbeterde vorm van MD4, word eweneens wyd gebruik, maar in die praktyk gebreek. Die Secure Hash Algorithm-reeks van MD5-agtige hash-algoritmes is ontwikkel deur die Amerikaanse Nasionale Sekuriteitsagentskap: Die Amerikaanse standaardowerheid het besluit dat dit vanuit 'n sekuriteitsoogpunt “versigtig” is om 'n nuwe standaard te ontwikkel om “die robuustheid van NIST se algehele hash-algoritme aansienlik te verbeter. gereedskapstel.” SHA-1 word wyd gebruik en veiliger as MD5, maar kriptanaliste het aanvalle daarteen geïdentifiseer; die SHA-2-familie verbeter op SHA-1, maar is kwesbaar vir botsings vanaf 2011; en die SHA-2-familie verbeter op SHA-1, maar is kwesbaar vir botsings. Gevolglik sou 'n hash-funksie-ontwerpkompetisie teen 2012 gehou word om 'n nuwe Amerikaanse nasionale standaard, bekend as SHA-3, te kies. Die kompetisie het op 2 Oktober 2012 tot 'n einde gekom toe die Nasionale Instituut vir Standaarde en Tegnologie (NIST) Keccak as die nuwe SHA-3-hash-algoritme aangekondig het. Kriptografiese hash-funksies, anders as omkeerbare blok- en stroomsyfers, bied 'n hash-afvoer wat nie gebruik kan word om die oorspronklike invoerdata te herwin nie. Kriptografiese hash-funksies word gebruik om die egtheid van data wat van 'n onbetroubare bron verkry is na te gaan of om 'n ekstra mate van beskerming by te voeg.

Alhoewel 'n boodskap of stel boodskappe 'n ander sleutel as ander kan hê, gebruik simmetriese sleutel kriptostelsels dieselfde sleutel vir enkripsie en dekripsie. Die sleutelbestuur wat nodig is om simmetriese syfers veilig te gebruik, is 'n groot nadeel. Elke individuele paar kommunikerende partye moet, ideaal gesproke, 'n ander sleutel deel, sowel as moontlik 'n ander syferteks vir elke syferteks wat gestuur word. Die aantal sleutels wat benodig word, groei in direkte verhouding met die aantal netwerkdeelnemers, wat ingewikkelde sleutelbestuurstegnieke noodsaak om hulle almal konsekwent en geheim te hou.

Whitfield Diffie en Martin Hellman het die konsep van publieke sleutel (ook bekend as asimmetriese sleutel) kriptografie uitgevind in 'n seminale 1976 werk, waarin twee duidelike maar wiskundig verwante sleutels - 'n publieke sleutel en 'n private sleutel - gebruik word. Selfs al is hulle onlosmaaklik verbind, is 'n publieke sleutelstelsel so gebou dat die berekening van een sleutel (die 'private sleutel') van die ander (die 'openbare sleutel') rekenaarmatig onuitvoerbaar is. Beide sleutels word eerder in die geheim vervaardig, as 'n gekoppelde paar. Publieke sleutel kriptografie, volgens die historikus David Kahn, is "die mees revolusionêre nuwe idee in die veld sedert polyalfabetiese vervanging in die Renaissance ontstaan ​​het."

Die publieke sleutel in 'n publieke sleutel kriptostelsel kan vrylik versend word, maar die gekoppelde private sleutel moet versteek gehou word. Die publieke sleutel word gebruik vir enkripsie, terwyl die private of geheime sleutel gebruik word vir dekripsie in 'n publieke-sleutel enkripsieskema. Terwyl Diffie en Hellman nie in staat was om so 'n stelsel te skep nie, het hulle gedemonstreer dat publiekesleutel-kriptografie denkbaar was deur die Diffie-Hellman-sleuteluitruilprotokol te verskaf, 'n oplossing wat twee mense in staat stel om heimlik saam te stem oor 'n gedeelde enkripsiesleutel. Die mees gebruikte formaat vir publieke sleutelsertifikate word deur die X.509-standaard gedefinieer.

Die publikasie van Diffie en Hellman het wydverspreide akademiese belangstelling in die ontwikkeling van 'n praktiese publiekesleutel-enkripsiestelsel ontlok. Ronald Rivest, Adi Shamir en Len Adleman het uiteindelik die kompetisie in 1978 gewen, en hul antwoord het bekend geword as die RSA-algoritme.

Benewens die vroegste publiek bekende gevalle van hoë-gehalte publieke sleutel-algoritmes, was die Diffie–Hellman- en RSA-algoritmes een van die algemeenste gebruike. Die Cramer-Shoup-kriptosisteem, ElGamal-enkripsie en talle elliptiese kurwe-benaderings is voorbeelde van asimmetriese-sleutelalgoritmes.

GCHQ-kriptograwe het verskeie wetenskaplike vooruitgang voorsien, volgens 'n dokument wat in 1997 uitgereik is deur die Government Communications Headquarters (GCHQ), 'n Britse intelligensie-organisasie. Volgens legende is asimmetriese sleutelkriptografie ongeveer 1970 deur James H. Ellis uitgevind. Clifford Cocks het in 1973 'n oplossing uitgevind wat uiters soortgelyk aan RSA was wat ontwerp betref. Malcolm J. Williamson word gekrediteer met die uitvind van die Diffie–Hellman-sleutelruil in 1974.

Digitale handtekeningstelsels word ook geïmplementeer deur gebruik te maak van publiekesleutelkriptografie. 'n Digitale handtekening is soortgelyk aan 'n tradisionele handtekening deurdat dit vir die gebruiker eenvoudig is om te skep, maar tog moeilik is vir ander om te smee. Digitale handtekeninge kan ook permanent gekoppel word aan die inhoud van die kommunikasie wat onderteken word; dit beteken dat hulle nie van een dokument na 'n ander 'verskuif' kan word sonder om opgespoor te word nie. Daar is twee algoritmes in digitale handtekeningskemas: een vir ondertekening, wat 'n geheime sleutel gebruik om die boodskap te verwerk (of 'n hash van die boodskap, of albei), en een vir verifikasie, wat die ooreenstemmende publieke sleutel met die boodskap gebruik om te valideer die handtekening se egtheid. Twee van die mees gebruikte digitale handtekeningmetodes is RSA en DSA. Publieke sleutelinfrastruktuur en baie netwerksekuriteitstelsels (bv. SSL/TLS, baie VPN's) maak staat op digitale handtekeninge om te funksioneer.

Die berekeningskompleksiteit van "harde" probleme, soos dié wat uit getalleteorie voortspruit, word gereeld gebruik om publieke sleutelmetodes te ontwikkel. Die heelgetalfaktoriseringsprobleem hou verband met die hardheid van RSA, terwyl die diskrete logaritmeprobleem met Diffie–Hellman en DSA verband hou. Die sekuriteit van elliptiese kromme kriptografie is gebaseer op elliptiese kurwe getal teoretiese probleme. Die meeste publiekesleutelalgoritmes sluit bewerkings soos modulêre vermenigvuldiging en eksponensiëring in, wat aansienlik duurder is as die tegnieke wat in die meeste bloksyfers gebruik word, veral met normale sleutelgroottes, as gevolg van die moeilikheid van die onderliggende probleme. Gevolglik is publieke sleutel kriptostelsels dikwels hibriede kriptostelsels, waarin die boodskap geïnkripteer word met 'n vinnige, hoë-gehalte simmetriese-sleutel algoritme, terwyl die relevante simmetriese sleutel saam met die boodskap gestuur word, maar geïnkripteer word met 'n publieke sleutel algoritme. Hibriede handtekeningskemas, waarin 'n kriptografiese hash-funksie bereken word en slegs die resulterende hash digitaal onderteken word, word ook algemeen gebruik.

Hash-funksies in kriptografie

Kriptografiese hash-funksies is kriptografiese algoritmes wat spesifieke sleutels produseer en gebruik om data te enkripteer vir óf simmetriese óf asimmetriese enkripsie, en hulle kan as sleutels beskou word. Hulle neem enige lengte boodskap as invoer en voer 'n klein, vaste lengte hash uit wat byvoorbeeld in digitale handtekeninge gebruik kan word. 'n Aanvaller kan nie twee boodskappe opspoor wat dieselfde hash produseer deur goeie hash-algoritmes te gebruik nie. MD4 is 'n wyd gebruikte maar nou foutiewe hash-funksie; MD5, 'n verbeterde vorm van MD4, word eweneens wyd gebruik, maar in die praktyk gebreek. Die Secure Hash Algorithm-reeks van MD5-agtige hash-algoritmes is ontwikkel deur die Amerikaanse Nasionale Sekuriteitsagentskap: Die Amerikaanse standaardowerheid het besluit dat dit vanuit 'n sekuriteitsoogpunt “versigtig” is om 'n nuwe standaard te ontwikkel om “die robuustheid van NIST se algehele hash-algoritme aansienlik te verbeter. gereedskapstel.” SHA-1 word wyd gebruik en veiliger as MD5, maar kriptanaliste het aanvalle daarteen geïdentifiseer; die SHA-2-familie verbeter op SHA-1, maar is kwesbaar vir botsings vanaf 2011; en die SHA-2-familie verbeter op SHA-1, maar is kwesbaar vir botsings. Gevolglik sou 'n hash-funksie-ontwerpkompetisie teen 2012 gehou word om 'n nuwe Amerikaanse nasionale standaard, bekend as SHA-3, te kies. Die kompetisie het op 2 Oktober 2012 tot 'n einde gekom toe die Nasionale Instituut vir Standaarde en Tegnologie (NIST) Keccak as die nuwe SHA-3-hash-algoritme aangekondig het. Kriptografiese hash-funksies, anders as omkeerbare blok- en stroomsyfers, bied 'n hash-afvoer wat nie gebruik kan word om die oorspronklike invoerdata te herwin nie. Kriptografiese hash-funksies word gebruik om die egtheid van data wat van 'n onbetroubare bron verkry is na te gaan of om 'n ekstra mate van beskerming by te voeg.

Kriptografiese primitiewe en kriptostelsels

Baie van kriptografie se teoretiese werk fokus op kriptografiese primitiewe - algoritmes met basiese kriptografiese eienskappe - en hoe dit verband hou met ander kriptografiese uitdagings. Hierdie basiese primitiewe word dan gebruik om meer komplekse kriptografiese gereedskap te skep. Hierdie primitiewe verskaf fundamentele eienskappe wat gebruik word om meer komplekse gereedskap bekend as kriptostelsels of kriptografiese protokolle te skep wat een of meer hoëvlak sekuriteitseienskappe verseker. Die grens tussen kriptografiese primitiewe en kriptosisteme, aan die ander kant, is arbitrêr; die RSA-algoritme word byvoorbeeld soms as 'n kriptostelsel en soms 'n primitief beskou. Pseudorandom-funksies, eenrigtingfunksies en ander kriptografiese primitiewe is algemene voorbeelde.

'n Kriptografiese stelsel, of kriptostelsel, word geskep deur een of meer kriptografiese primitiewe te kombineer om 'n meer ingewikkelde algoritme te skep. Kriptostelsels (bv. El-Gamal-enkripsie) is bedoel om spesifieke funksionaliteit te verskaf (bv. publieke sleutel-enkripsie) terwyl sekere sekuriteitseienskappe verseker word (bv. ewekansige orakelmodel gekose-plaintext-aanval CPA-sekuriteit). Om die stelsel se sekuriteitseienskappe te ondersteun, gebruik kriptostelsels die eienskappe van die onderliggende kriptografiese primitiewe. 'n Gesofistikeerde kriptostelsel kan gegenereer word uit 'n kombinasie van talle meer rudimentêre kriptostelsels, aangesien die onderskeid tussen primitiewe en kriptostelsels ietwat arbitrêr is. In baie omstandighede behels die kriptostelsel se struktuur heen-en-weer kommunikasie tussen twee of meer partye in die ruimte (bv. tussen die sender en ontvanger van 'n veilige boodskap) of oor tyd (bv. tussen die sender en ontvanger van 'n veilige boodskap) (bv. kriptografies beskermde rugsteundata).

Voor die huidige era was kriptografie amper sinoniem met enkripsie, wat inligting van leesbare na onverstaanbare onsin verander het. Om te verhoed dat aanvallers toegang tot 'n geënkripteerde boodskap kry, deel die sender slegs die dekoderingsproses met die beoogde ontvangers. Die name Alice ("A") vir die sender, Bob ("B") vir die beoogde ontvanger, en Eve ("afluisteraar") vir die teëstander word gereeld in kriptografiese literatuur gebruik.

Kriptografiemetodes het al hoe meer kompleks geword, en die toepassings daarvan is meer gediversifiseer sedert die ontwikkeling van rotorsyfermasjiene in die Eerste Wêreldoorlog en die bekendstelling van rekenaars in die Tweede Wêreldoorlog.

Moderne kriptografie is sterk aangewese op wiskundige teorie en rekenaarwetenskappraktyk; kriptografiese metodes is gebou rondom aannames van berekeningshardheid, wat dit moeilik maak vir enige teenstander om in die praktyk te breek. Alhoewel dit teoreties moontlik is om by 'n goed ontwerpte stelsel in te breek, is dit onmoontlik om dit in die praktyk te doen. Daar word na sulke skemas verwys as "berekeningsveilig" as hulle voldoende gebou is; nietemin, teoretiese deurbrake (bv. verbeterings in heelgetalfaktoriseringsmetodes) en vinniger rekenaartegnologie noodsaak konstante herevaluering en, indien nodig, aanpassing van hierdie ontwerpe. Daar is inligting-teoreties veilige stelsels, soos die eenmalige pad, wat bewys kan word dat dit onbreekbaar is selfs met oneindige rekenaarkrag, maar dit is aansienlik moeiliker om in die praktyk te gebruik as die beste teoreties breekbare maar rekenaarmatige veilige skemas.

In die inligtingsera het die vooruitgang van kriptografiese tegnologie 'n verskeidenheid regsuitdagings opgelewer. Baie nasies het kriptografie as 'n wapen geklassifiseer, wat die gebruik en uitvoer daarvan beperk of verbied weens die potensiaal vir spioenasie en opruiing. Ondersoekbeamptes kan op sommige plekke waar kriptografie wettig is die oorgawe van enkripsiesleutels dwing vir dokumente wat relevant is vir 'n ondersoek. In die geval van digitale media speel kriptografie ook 'n sleutelrol in digitale regtebestuur en kopieregskendingkonflikte.

Die term “kriptograaf” (teenoor “kriptogram”) is die eerste keer in die negentiende eeu gebruik, in Edgar Allan Poe se kortverhaal “The Gold-Bug”.

Tot onlangs het kriptografie byna uitsluitlik na "enkripsie" verwys, wat die handeling is om gewone data (bekend as gewone teks) in 'n onleesbare formaat te verander (genoem syferteks). Dekripsie is die teenoorgestelde van enkripsie, dit wil sê, om van onverstaanbare syferteks na gewone teks te gaan. 'n Sifer (of syfer) is 'n stel tegnieke wat enkripsie en dekripsie in die omgekeerde volgorde uitvoer. Die algoritme en, in elke geval, 'n "sleutel" is in beheer van die syfer se gedetailleerde uitvoering. Die sleutel is 'n geheim (verkieslik net deur die kommunikante bekend) wat gebruik word om die syferteks te dekripteer. Dit is gewoonlik 'n string karakters (ideaal kort sodat dit deur die gebruiker onthou kan word). 'n "Kriptostelsel" is die geordende versameling elemente van eindige potensiële gewone tekste, sifertekste, sleutels en die enkripsie- en dekripsieprosedures wat met elke sleutel ooreenstem in formele wiskundige terme. Sleutels is formeel en prakties van kardinale belang, want syfers met vaste sleutels kan maklik gebreek word deur slegs die syfer se inligting te gebruik, wat hulle nutteloos (of selfs teenproduktief) maak vir die meeste doeleindes.

Histories is syfers gereeld gebruik sonder enige bykomende prosedures soos verifikasie of integriteitkontroles vir enkripsie of dekripsie. Kriptostelsels word in twee kategorieë verdeel: simmetries en asimmetries. Dieselfde sleutel (die geheime sleutel) word gebruik om 'n boodskap in simmetriese stelsels te enkripteer en te dekripteer, wat die enigstes was wat tot die 1970's bekend was. Omdat simmetriese stelsels korter sleutellengtes gebruik, is datamanipulasie in simmetriese stelsels vinniger as in asimmetriese stelsels. Asimmetriese stelsels enkripteer 'n kommunikasie met 'n "openbare sleutel" en dekripteer dit met 'n soortgelyke "privaat sleutel." Die gebruik van asimmetriese stelsels verbeter kommunikasiesekuriteit, as gevolg van die moeilikheid om die verhouding tussen die twee sleutels te bepaal. RSA (Rivest–Shamir–Adleman) en ECC is twee voorbeelde van asimmetriese stelsels (Elliptic Curve Cryptography). Die algemeen gebruikte AES (Advanced Encryption Standard), wat die vroeëre DES vervang het, is 'n voorbeeld van 'n hoë-gehalte simmetriese algoritme (Data Encryption Standard). Die verskillende kindertaalverstrengelingstegnieke, soos Vark Latyn of ander kante, en inderdaad alle kriptografiese skemas, hoe ernstig ook al bedoel, uit enige bron voor die bekendstelling van die eenmalige boek vroeg in die twintigste eeu, is voorbeelde van lae gehalte simmetriese algoritmes.

Die term "kode" word dikwels in die algemeen gebruik om te verwys na enige tegniek van enkripsie of boodskapverberging. In kriptografie verwys kode egter na die vervanging van 'n kodewoord vir 'n eenheid van gewone teks (dws 'n betekenisvolle woord of frase) (byvoorbeeld, "wallaby" vervang "aanval teen dagbreek"). Daarteenoor word 'n siferteks geskep deur 'n element onder so 'n vlak (byvoorbeeld 'n letter, 'n lettergreep of 'n paar letters) te wysig of te vervang om 'n siferteks te vorm.

Kriptanalise is die studie van maniere om geënkripteerde data te dekripteer sonder om toegang te hê tot die sleutel wat nodig is om dit te doen; met ander woorde, dit is die studie van hoe om enkripsieskemas of die implementering daarvan te “breek”.

In Engels gebruik sommige mense uitruilbaar die terme "cryptography" en "cryptology", terwyl ander (insluitend Amerikaanse militêre praktyk in die algemeen) "cryptography" gebruik om te verwys na die gebruik en beoefening van kriptografiese tegnieke en "cryptology" om te verwys na die gekombineerde studie van kriptografie en kriptanalise. Engels is meer aanpasbaar as 'n aantal ander tale, waar "kriptologie" (soos dit deur kriptoloë beoefen word) altyd in die tweede sin gebruik word. Steganografie word soms by kriptologie ingesluit, volgens RFC 2828.

Kriptolinguistiek is die studie van taaleienskappe wat 'n mate van relevansie in kriptografie of kriptologie het (byvoorbeeld frekwensiestatistieke, letterkombinasies, universele patrone, ensovoorts).

Kriptografie en kriptanalise het 'n lang geskiedenis.
Geskiedenis van kriptografie is die hoofartikel.
Voor die moderne era was kriptografie hoofsaaklik gemoeid met boodskapvertroulikheid (dws enkripsie) - die omskakeling van boodskappe van 'n verstaanbare na 'n onverstaanbare vorm en weer, wat dit onleesbaar maak deur onderskeppers of afluisteraars sonder geheime kennis (naamlik die sleutel wat nodig is vir dekripsie) van daardie boodskap). Enkripsie is ontwerp om die gesprekke van spioene, militêre leiers en diplomate privaat te hou. In die afgelope dekades het die dissipline gegroei om onder meer tegnieke soos boodskap-integriteitkontrolering, sender/ontvanger-identiteitstawing, digitale handtekeninge, interaktiewe bewyse en veilige berekening in te sluit.

Die twee mees algemene klassieke syfertipes is transposisiesyfers, wat letters of groepe letters sistematies met ander letters of groepe letters vervang (bv. 'hallo wêreld' word 'ehlol owrdl' in 'n onbenullige eenvoudige herrangskikkingskema), en substitusiesyfers, wat sistematies letters of groepe letters vervang met ander letters of groepe letters (bv. 'vlieg dadelik' word 'gmz bu Eenvoudige weergawes van beide het nog nooit veel privaatheid van geslepe teëstanders verskaf nie. Die Caesar-syfer was 'n vroeë vervangingsyfer waarin elke letter in die gewone teks is vervang deur 'n letter 'n sekere aantal posisies langs die alfabet. Volgens Suetonius het Julius Caesar dit met 'n drie-man skof gebruik om met sy generaals te kommunikeer. 'n Vroeë Hebreeuse syfer, Atbash, is 'n voorbeeld. Die oudste bekende gebruik van kriptografie is 'n gekerfde syferteks op klip in Egipte (ongeveer 1900 vC), maar dit is moontlik dat dit eerder gedoen is vir die genot van geletterde toeskouers. om inligting te verberg.

Daar word gerapporteer dat kripte aan die Klassieke Grieke bekend was (bv. die scytale transposisiesyfer wat beweer word dat dit deur die Spartaanse weermag gebruik is). Steganografie (die praktyk om selfs die teenwoordigheid van 'n kommunikasie te verberg om dit privaat te hou) is ook in antieke tye uitgevind. 'n Frase wat op 'n slaaf se geskeer kop getatoeëer is en onder die hergroeide hare versteek is, volgens Herodotus. Die gebruik van onsigbare ink, mikrokolletjies en digitale watermerke om inligting te verberg, is meer huidige gevalle van steganografie.

Kautiliyam en Mulavediya is twee soorte syfers wat in Indië se 2000 jaar oue Kamasutra van Vtsyyana genoem word. Die syferlettervervangings in die Kautiliyam is gebaseer op fonetiese verwantskappe, soos vokale wat konsonante word. Die syfer-alfabet in die Mulavediya bestaan ​​uit ooreenstemmende letters en gebruik wederkerige letters.

Volgens die Moslem-geleerde Ibn al-Nadim het Sassanid Persië twee geheime skrifte gehad: die h-dabrya (letterlik “Koning se skrif”), wat vir amptelike korrespondensie gebruik is, en die rz-saharya, wat gebruik is om geheime boodskappe met ander uit te ruil. lande.

In sy boek The Codebreakers skryf David Kahn dat hedendaagse kriptologie begin het by die Arabiere, wat die eerstes was wat kriptanalitiese prosedures noukeurig gedokumenteer het. The Book of Cryptographic Messages is geskryf deur Al-Khalil (717–786), en dit bevat die vroegste gebruik van permutasies en kombinasies om alle denkbare Arabiese woorde met en sonder vokale te lys.

Sifertekste gegenereer deur 'n klassieke syfer (sowel as sommige moderne syfers) openbaar statistiese inligting oor die gewone teks, wat gebruik kan word om die syfer te breek. Byna al sulke syfers kon deur 'n intelligente aanvaller gebreek word ná die ontdekking van frekwensie-analise, moontlik deur die Arabiese wiskundige en polimaat Al-Kindi (ook bekend as Alkindus) in die 9de eeu. Klassieke syfers is vandag steeds gewild, hoewel grootliks as legkaarte (sien kriptogram). Risalah fi Istikhraj al-Mu'amma (Manuskrip vir die ontsyfering van kriptografiese boodskappe) is deur Al-Kindi geskryf en het die eerste bekende gebruik van frekwensie-analise kriptanalise tegnieke gedokumenteer.

Sommige uitgebreide geskiedenis-enkripsiebenaderings, soos homofoniese syfer, wat geneig is om die frekwensieverspreiding af te plat, mag dalk nie baat by taalletterfrekwensies nie. Taallettergroep (of n-gram) frekwensies kan 'n aanval vir daardie syfers gee.

Tot die ontdekking van die poli-alfabetiese syfer, veral deur Leon Battista Alberti omstreeks 1467, was feitlik alle syfers toeganklik vir kriptanalise deur die frekwensie-analise-benadering te gebruik, alhoewel daar bewyse is dat dit reeds aan Al-Kindi bekend was. Alberti het met die idee vorendag gekom om aparte syfers (of vervangingsalfabette) vir verskillende dele van 'n kommunikasie te gebruik (miskien vir elke opeenvolgende gewone teksletter by die limiet). Hy het ook geskep wat vermoedelik die eerste outomatiese enkripsietoestel is, 'n wiel wat 'n gedeelte van sy ontwerp uitgevoer het. Enkripsie in die Vigenère-syfer, 'n poli-alfabetiese syfer, word beheer deur 'n sleutelwoord wat lettervervanging reguleer op grond van watter letter van die sleutelwoord gebruik word. Charles Babbage het gedemonstreer dat die Vigenère-syfer kwesbaar was vir Kasiski-analise in die middel van die negentiende eeu, maar Friedrich Kasiski het sy bevindinge tien jaar later gepubliseer.

Ten spyte van die feit dat frekwensie-analise 'n kragtige en breë tegniek teen baie syfers is, het enkripsie in die praktyk doeltreffend gebly omdat baie toekomstige kriptanaliste onbewus is van die tegniek. Om 'n boodskap te breek sonder om frekwensie-analise te gebruik, het kennis van die syfer wat gebruik word en moontlik die betrokke sleutel vereis, wat spioenasie, omkopery, inbraak, oorlopery en ander kriptanalities oningeligte taktieke aantrekliker maak. Die geheim van 'n syfer-algoritme is uiteindelik in die 19de eeu erken as nóg 'n redelike nóg haalbare versekering van boodskapsekuriteit; trouens, enige toepaslike kriptografiese skema (insluitend syfers) behoort veilig te bly selfs al verstaan ​​die teenstander die syferalgoritme self ten volle. Die sleutel se sekuriteit moet voldoende wees vir 'n goeie syfer om vertroulikheid te behou in die aangesig van 'n aanranding. Auguste Kerckhoffs het hierdie fundamentele beginsel vir die eerste keer in 1883 gestel, en dit staan ​​bekend as Kerckhoffs se beginsel; alternatiewelik, en meer reguit, het Claude Shannon, die uitvinder van inligtingsteorie en die grondbeginsels van teoretiese kriptografie, dit weer as Shannon se Maxim - 'die vyand ken die stelsel'.

Om met syfers te help, is baie fisiese toestelle en bystand gebruik. Die scytale van antieke Griekeland, 'n staf wat na bewering deur die Spartane as 'n transposisie-syfer-instrument gebruik is, was dalk een van die eerstes. Ander hulpmiddels is in die Middeleeue uitgedink, soos die syferrooster, wat ook vir steganografie gebruik is. Met die ontwikkeling van poli-alfabetiese syfers het meer gesofistikeerde hulpmiddels soos Alberti se syferskyf, Johannes Trithemius se tabula recta-skema en Thomas Jefferson se wielsyfer beskikbaar geword (nie publiek bekend nie, en onafhanklik deur Bazeries herontdek omstreeks 1900). Baie meganiese enkripsie/dekripsiestelsels is in die vroeë twintigste eeu ontwerp en gepatenteer, insluitend rotormasjiene, wat beroemd deur die Duitse regering en weermag gebruik is vanaf die laat 1920's tot die Tweede Wêreldoorlog. Na die Eerste Wêreldoorlog het die syfers wat deur hoër-gehalte gevalle van hierdie masjienontwerpe geïmplementeer is, 'n aansienlike toename in kriptanalitiese probleme tot gevolg gehad.

Kriptografie was hoofsaaklik gemoeid met linguistiese en leksikografiese patrone voor die vroeë twintigste eeu. Sedertdien het die fokus ontwikkel, en kriptografie sluit nou aspekte van inligtingsteorie, berekeningskompleksiteit, statistiek, kombinatorika, abstrakte algebra, getalleteorie en eindige wiskunde in die algemeen in. Kriptografie is 'n tipe ingenieurswese, maar dit is uniek in die sin dat dit handel oor aktiewe, intelligente en vyandige weerstand, terwyl ander tipes ingenieurswese (soos siviele of chemiese ingenieurswese) bloot te doen het met natuurlike kragte wat neutraal is. Die verband tussen kriptografieprobleme en kwantumfisika word ook ondersoek.

Die ontwikkeling van digitale rekenaars en elektronika het kriptanalise aangehelp deur die skepping van aansienlik meer gesofistikeerde syfers moontlik te maak. Verder, anders as tradisionele syfers, wat uitsluitlik geskrewe taaltekste geënkripteer het, het rekenaars voorsiening gemaak vir die enkripsie van enige tipe data wat in enige binêre formaat voorgestel kan word; dit was nuut en uiters belangrik. In beide syferontwerp en kriptanalise het rekenaars taalkriptografie so vervang. Anders as klassieke en meganiese metodes, wat hoofsaaklik tradisionele karakters (bv. letters en syfers) direk manipuleer, werk baie rekenaarsyfers op binêre bisreekse (soms in groepe of blokke). Rekenaars, aan die ander kant, het kriptanalise aangehelp, wat gedeeltelik vergoed het vir verhoogde syferkompleksiteit. Ten spyte hiervan het goeie moderne syfers voor kriptanalise gebly; dit is dikwels die geval dat die gebruik van 'n goeie syfer baie doeltreffend is (dws vinnig en vereis min hulpbronne, soos geheue of SVE-vermoë), terwyl om dit te breek 'n poging verg baie ordes van grootte groter, en baie groter as wat nodig is vir enige klassieke syfer, wat kriptanalise effektief onmoontlik maak.

Moderne kriptografie maak sy debuut.
Die kripanalise van die nuwe meganiese toestelle was uitdagend en tydrowend. Tydens die Tweede Wêreldoorlog het kriptanalitiese aktiwiteite by Bletchley Park in die Verenigde Koninkryk die uitvinding van meer doeltreffende metodes bevorder om herhalende take uit te voer. Die Colossus, die wêreld se eerste volledig elektroniese, digitale, programmeerbare rekenaar, is ontwikkel om te help met die dekodering van syfers wat deur die Duitse weermag se Lorenz SZ40/42-masjien geskep is.

Kriptografie is 'n relatief nuwe veld van oop akademiese navorsing, wat eers in die middel-1970's begin het. IBM-werknemers het die algoritme ontwerp wat die Federale (dws, VSA) Data Encryption Standard geword het; Whitfield Diffie en Martin Hellman het hul sleutelooreenkoms-algoritme gepubliseer; en Martin Gardner se Scientific American-kolom het die RSA-algoritme gepubliseer. Kriptografie het sedertdien in gewildheid gegroei as 'n tegniek vir kommunikasie, rekenaarnetwerke en rekenaarsekuriteit in die algemeen.

Daar is diepgaande bande met abstrakte wiskunde aangesien verskeie moderne kriptografiebenaderings slegs hul sleutels geheim kan hou as sekere wiskundige probleme onoplosbaar is, soos heelgetalfaktorisering of diskrete logaritmekwessies. Daar is net 'n handjievol kriptostelsels wat gedemonstreer is om 100% veilig te wees. Claude Shannon het bewys dat die eenmalige pad een van hulle is. Daar is 'n paar sleutelalgoritmes wat onder sekere omstandighede veilig is. Die onvermoë om byvoorbeeld uiters groot heelgetalle te faktoriseer, is die basis om te glo dat RSA en ander stelsels veilig is, maar bewyse van onbreekbaarheid is onbereikbaar omdat die onderliggende wiskundige probleem onopgelos bly. In die praktyk word dit wyd gebruik, en die meeste bekwame waarnemers glo dat dit in die praktyk onbreekbaar is. Daar bestaan ​​stelsels soortgelyk aan RSA, soos een wat deur Michael O. Rabin ontwikkel is, wat bewysbaar veilig is as faktorisering n = pq onmoontlik is; hulle is egter feitlik nutteloos. Die diskrete logaritme-kwessie is die grondslag om te glo dat sommige ander kriptostelsels veilig is, en daar is soortgelyke, minder praktiese stelsels wat bewysbaar veilig is in terme van die diskrete logaritmeprobleem se oplosbaarheid of onoplosbaarheid.

Kriptografiese algoritme- en stelselontwerpers moet moontlike toekomstige vooruitgang oorweeg wanneer hulle aan hul idees werk, benewens om bewus te wees van kriptografiese geskiedenis. Soos rekenaarverwerkingskrag byvoorbeeld verbeter het, het die omvang van brute-force-aanvalle gegroei, en daarom het die vereiste sleutellengtes ook gegroei. Sommige kriptografiese stelselontwerpers wat post-kwantumkriptografie verken, oorweeg reeds die potensiële gevolge van kwantumrekenaarkunde; die aangekondigde dreigende beskeie implementering van hierdie masjiene kan die behoefte aan voorkomende versigtigheid meer as net spekulatief maak.

Klassieke kriptografie in die moderne dag

Simmetriese (of privaatsleutel) kriptografie is 'n tipe enkripsie waarin die sender en ontvanger dieselfde sleutel gebruik (of, minder algemeen, waarin hul sleutels verskil, maar op 'n maklik berekenbare manier verwant is en in die geheim, privaat gehou word ). Tot Junie 1976 was dit die enigste tipe enkripsie wat in die openbaar bekend was.

Bloksyfers en stroomsyfers word albei gebruik om simmetriese sleutelsyfers te implementeer. 'n Bloksyfer enkripteer invoer in blokke van gewone teks eerder as individuele karakters, soos 'n stroomsyfer doen.

Die Amerikaanse regering het die Data Encryption Standard (DES) en die Advanced Encryption Standard (AES) as kriptografiestandaarde aangewys (al is DES se sertifisering uiteindelik teruggetrek sodra die AES tot stand gebring is). DES (veral sy steeds-goedgekeurde en aansienlik veiliger driedubbel-DES-variasie) bly gewild ten spyte van die afskaffing daarvan as 'n amptelike standaard; dit word in 'n wye reeks toepassings gebruik, van OTM-enkripsie tot e-pos privaatheid en veilige afstandtoegang. Daar is 'n rits verskillende bloksyfers uitgevind en vrygestel, met verskillende grade van sukses. Baie, insluitend sommige wat deur gekwalifiseerde praktisyns ontwerp is, soos FEAL, is omvattend gebreek.

Stroomsyfers, anders as bloksyfers, genereer 'n oneindig lang stroom sleutelmateriaal wat met gewone teks bietjie-vir-bietjie of karakter-vir-karakter gekoppel word, soortgelyk aan die eenmalige blok. Die uitsetstroom van 'n stroomsyfer word gegenereer uit 'n versteekte interne toestand wat verander soos die kode funksioneer. Die geheime sleutelmateriaal word eers gebruik om daardie interne toestand op te stel. Die stroomsyfer RC4 word wyd gebruik. Deur blokke van 'n sleutelstroom te skep (in plaas van 'n pseudo-willekeurige getalgenerator) en 'n XOR-bewerking vir elke stukkie van die gewone teks met elke stukkie van die sleutelstroom te gebruik, kan bloksyfers as stroomsyfers gebruik word.

Boodskapverifikasiekodes (MAC's) is soortgelyk aan kriptografiese hash-funksies, met die uitsondering dat 'n geheime sleutel gebruik kan word om die hash-waarde by ontvangs te bekragtig; hierdie ekstra ingewikkeldheid verhoed 'n aanval teen naakte verteringsalgoritmes, en word dus as die moeite werd beskou. 'n Derde soort kriptografiese tegniek is kriptografiese hash-funksies. Hulle neem enige lengte boodskap as invoer en voer 'n klein, vaste lengte hash uit wat byvoorbeeld in digitale handtekeninge gebruik kan word. 'n Aanvaller kan nie twee boodskappe opspoor wat dieselfde hash produseer deur goeie hash-algoritmes te gebruik nie. MD4 is 'n wyd gebruikte maar nou foutiewe hash-funksie; MD5, 'n verbeterde vorm van MD4, word eweneens wyd gebruik, maar in die praktyk gebreek. Die Secure Hash Algorithm-reeks van MD5-agtige hash-algoritmes is ontwikkel deur die Amerikaanse Nasionale Sekuriteitsagentskap: Die Amerikaanse standaardowerheid het besluit dat dit vanuit 'n sekuriteitsoogpunt “versigtig” is om 'n nuwe standaard te ontwikkel om “die robuustheid van NIST se algehele hash-algoritme aansienlik te verbeter. gereedskapstel.” SHA-1 word wyd gebruik en veiliger as MD5, maar kriptanaliste het aanvalle daarteen geïdentifiseer; die SHA-2-familie verbeter op SHA-1, maar is kwesbaar vir botsings vanaf 2011; en die SHA-2-familie verbeter op SHA-1, maar is kwesbaar vir botsings. Gevolglik sou 'n hash-funksie-ontwerpkompetisie teen 2012 gehou word om 'n nuwe Amerikaanse nasionale standaard, bekend as SHA-3, te kies. Die kompetisie het op 2 Oktober 2012 tot 'n einde gekom toe die Nasionale Instituut vir Standaarde en Tegnologie (NIST) Keccak as die nuwe SHA-3-hash-algoritme aangekondig het. Kriptografiese hash-funksies, anders as omkeerbare blok- en stroomsyfers, bied 'n hash-afvoer wat nie gebruik kan word om die oorspronklike invoerdata te herwin nie. Kriptografiese hash-funksies word gebruik om die egtheid van data wat van 'n onbetroubare bron verkry is na te gaan of om 'n ekstra mate van beskerming by te voeg.

Alhoewel 'n boodskap of stel boodskappe 'n ander sleutel as ander kan hê, gebruik simmetriese sleutel kriptostelsels dieselfde sleutel vir enkripsie en dekripsie. Die sleutelbestuur wat nodig is om simmetriese syfers veilig te gebruik, is 'n groot nadeel. Elke individuele paar kommunikerende partye moet, ideaal gesproke, 'n ander sleutel deel, sowel as moontlik 'n ander syferteks vir elke syferteks wat gestuur word. Die aantal sleutels wat benodig word, groei in direkte verhouding met die aantal netwerkdeelnemers, wat ingewikkelde sleutelbestuurstegnieke noodsaak om hulle almal konsekwent en geheim te hou.

Whitfield Diffie en Martin Hellman het die konsep van publieke sleutel (ook bekend as asimmetriese sleutel) kriptografie uitgevind in 'n seminale 1976 werk, waarin twee duidelike maar wiskundig verwante sleutels - 'n publieke sleutel en 'n private sleutel - gebruik word. Selfs al is hulle onlosmaaklik verbind, is 'n publieke sleutelstelsel so gebou dat die berekening van een sleutel (die 'private sleutel') van die ander (die 'openbare sleutel') rekenaarmatig onuitvoerbaar is. Beide sleutels word eerder in die geheim vervaardig, as 'n gekoppelde paar. Publieke sleutel kriptografie, volgens die historikus David Kahn, is "die mees revolusionêre nuwe idee in die veld sedert polyalfabetiese vervanging in die Renaissance ontstaan ​​het."

Die publieke sleutel in 'n publieke sleutel kriptostelsel kan vrylik versend word, maar die gekoppelde private sleutel moet versteek gehou word. Die publieke sleutel word gebruik vir enkripsie, terwyl die private of geheime sleutel gebruik word vir dekripsie in 'n publieke-sleutel enkripsieskema. Terwyl Diffie en Hellman nie in staat was om so 'n stelsel te skep nie, het hulle gedemonstreer dat publiekesleutel-kriptografie denkbaar was deur die Diffie-Hellman-sleuteluitruilprotokol te verskaf, 'n oplossing wat twee mense in staat stel om heimlik saam te stem oor 'n gedeelde enkripsiesleutel. Die mees gebruikte formaat vir publieke sleutelsertifikate word deur die X.509-standaard gedefinieer.

Die publikasie van Diffie en Hellman het wydverspreide akademiese belangstelling in die ontwikkeling van 'n praktiese publiekesleutel-enkripsiestelsel ontlok. Ronald Rivest, Adi Shamir en Len Adleman het uiteindelik die kompetisie in 1978 gewen, en hul antwoord het bekend geword as die RSA-algoritme.

Benewens die vroegste publiek bekende gevalle van hoë-gehalte publieke sleutel-algoritmes, was die Diffie–Hellman- en RSA-algoritmes een van die algemeenste gebruike. Die Cramer-Shoup-kriptosisteem, ElGamal-enkripsie en talle elliptiese kurwe-benaderings is voorbeelde van asimmetriese-sleutelalgoritmes.

GCHQ-kriptograwe het verskeie wetenskaplike vooruitgang voorsien, volgens 'n dokument wat in 1997 uitgereik is deur die Government Communications Headquarters (GCHQ), 'n Britse intelligensie-organisasie. Volgens legende is asimmetriese sleutelkriptografie ongeveer 1970 deur James H. Ellis uitgevind. Clifford Cocks het in 1973 'n oplossing uitgevind wat uiters soortgelyk aan RSA was wat ontwerp betref. Malcolm J. Williamson word gekrediteer met die uitvind van die Diffie–Hellman-sleutelruil in 1974.

Digitale handtekeningstelsels word ook geïmplementeer deur gebruik te maak van publiekesleutelkriptografie. 'n Digitale handtekening is soortgelyk aan 'n tradisionele handtekening deurdat dit vir die gebruiker eenvoudig is om te skep, maar tog moeilik is vir ander om te smee. Digitale handtekeninge kan ook permanent gekoppel word aan die inhoud van die kommunikasie wat onderteken word; dit beteken dat hulle nie van een dokument na 'n ander 'verskuif' kan word sonder om opgespoor te word nie. Daar is twee algoritmes in digitale handtekeningskemas: een vir ondertekening, wat 'n geheime sleutel gebruik om die boodskap te verwerk (of 'n hash van die boodskap, of albei), en een vir verifikasie, wat die ooreenstemmende publieke sleutel met die boodskap gebruik om te valideer die handtekening se egtheid. Twee van die mees gebruikte digitale handtekeningmetodes is RSA en DSA. Publieke sleutelinfrastruktuur en baie netwerksekuriteitstelsels (bv. SSL/TLS, baie VPN's) maak staat op digitale handtekeninge om te funksioneer.

Die berekeningskompleksiteit van "harde" probleme, soos dié wat uit getalleteorie voortspruit, word gereeld gebruik om publieke sleutelmetodes te ontwikkel. Die heelgetalfaktoriseringsprobleem hou verband met die hardheid van RSA, terwyl die diskrete logaritmeprobleem met Diffie–Hellman en DSA verband hou. Die sekuriteit van elliptiese kromme kriptografie is gebaseer op elliptiese kurwe getal teoretiese probleme. Die meeste publiekesleutelalgoritmes sluit bewerkings soos modulêre vermenigvuldiging en eksponensiëring in, wat aansienlik duurder is as die tegnieke wat in die meeste bloksyfers gebruik word, veral met normale sleutelgroottes, as gevolg van die moeilikheid van die onderliggende probleme. Gevolglik is publieke sleutel kriptostelsels dikwels hibriede kriptostelsels, waarin die boodskap geïnkripteer word met 'n vinnige, hoë-gehalte simmetriese-sleutel algoritme, terwyl die relevante simmetriese sleutel saam met die boodskap gestuur word, maar geïnkripteer word met 'n publieke sleutel algoritme. Hibriede handtekeningskemas, waarin 'n kriptografiese hash-funksie bereken word en slegs die resulterende hash digitaal onderteken word, word ook algemeen gebruik.

Hash-funksies in kriptografie

Kriptografiese hash-funksies is kriptografiese algoritmes wat spesifieke sleutels produseer en gebruik om data te enkripteer vir óf simmetriese óf asimmetriese enkripsie, en hulle kan as sleutels beskou word. Hulle neem enige lengte boodskap as invoer en voer 'n klein, vaste lengte hash uit wat byvoorbeeld in digitale handtekeninge gebruik kan word. 'n Aanvaller kan nie twee boodskappe opspoor wat dieselfde hash produseer deur goeie hash-algoritmes te gebruik nie. MD4 is 'n wyd gebruikte maar nou foutiewe hash-funksie; MD5, 'n verbeterde vorm van MD4, word eweneens wyd gebruik, maar in die praktyk gebreek. Die Secure Hash Algorithm-reeks van MD5-agtige hash-algoritmes is ontwikkel deur die Amerikaanse Nasionale Sekuriteitsagentskap: Die Amerikaanse standaardowerheid het besluit dat dit vanuit 'n sekuriteitsoogpunt “versigtig” is om 'n nuwe standaard te ontwikkel om “die robuustheid van NIST se algehele hash-algoritme aansienlik te verbeter. gereedskapstel.” SHA-1 word wyd gebruik en veiliger as MD5, maar kriptanaliste het aanvalle daarteen geïdentifiseer; die SHA-2-familie verbeter op SHA-1, maar is kwesbaar vir botsings vanaf 2011; en die SHA-2-familie verbeter op SHA-1, maar is kwesbaar vir botsings. Gevolglik sou 'n hash-funksie-ontwerpkompetisie teen 2012 gehou word om 'n nuwe Amerikaanse nasionale standaard, bekend as SHA-3, te kies. Die kompetisie het op 2 Oktober 2012 tot 'n einde gekom toe die Nasionale Instituut vir Standaarde en Tegnologie (NIST) Keccak as die nuwe SHA-3-hash-algoritme aangekondig het. Kriptografiese hash-funksies, anders as omkeerbare blok- en stroomsyfers, bied 'n hash-afvoer wat nie gebruik kan word om die oorspronklike invoerdata te herwin nie. Kriptografiese hash-funksies word gebruik om die egtheid van data wat van 'n onbetroubare bron verkry is na te gaan of om 'n ekstra mate van beskerming by te voeg.

Kriptografiese primitiewe en kriptostelsels

Baie van kriptografie se teoretiese werk fokus op kriptografiese primitiewe - algoritmes met basiese kriptografiese eienskappe - en hoe dit verband hou met ander kriptografiese uitdagings. Hierdie basiese primitiewe word dan gebruik om meer komplekse kriptografiese gereedskap te skep. Hierdie primitiewe verskaf fundamentele eienskappe wat gebruik word om meer komplekse gereedskap bekend as kriptostelsels of kriptografiese protokolle te skep wat een of meer hoëvlak sekuriteitseienskappe verseker. Die grens tussen kriptografiese primitiewe en kriptosisteme, aan die ander kant, is arbitrêr; die RSA-algoritme word byvoorbeeld soms as 'n kriptostelsel en soms 'n primitief beskou. Pseudorandom-funksies, eenrigtingfunksies en ander kriptografiese primitiewe is algemene voorbeelde.

'n Kriptografiese stelsel, of kriptostelsel, word geskep deur een of meer kriptografiese primitiewe te kombineer om 'n meer ingewikkelde algoritme te skep. Kriptostelsels (bv. El-Gamal-enkripsie) is bedoel om spesifieke funksionaliteit te verskaf (bv. publieke sleutel-enkripsie) terwyl sekere sekuriteitseienskappe verseker word (bv. ewekansige orakelmodel gekose-plaintext-aanval CPA-sekuriteit). Om die stelsel se sekuriteitseienskappe te ondersteun, gebruik kriptostelsels die eienskappe van die onderliggende kriptografiese primitiewe. 'n Gesofistikeerde kriptostelsel kan gegenereer word uit 'n kombinasie van talle meer rudimentêre kriptostelsels, aangesien die onderskeid tussen primitiewe en kriptostelsels ietwat arbitrêr is. In baie omstandighede behels die kriptostelsel se struktuur heen-en-weer kommunikasie tussen twee of meer partye in die ruimte (bv. tussen die sender en ontvanger van 'n veilige boodskap) of oor tyd (bv. tussen die sender en ontvanger van 'n veilige boodskap) (bv. kriptografies beskermde rugsteundata).