Imej: iStock/FroYo_92
Penyulitan adalah penting untuk melindungi data, sama ada dalam transit atau disimpan pada peranti. Ia boleh memberikan sedikit fikiran bahawa komunikasi tidak akan dipintas dan maklumat sensitif yang disimpan pada peranti tidak boleh dieksfiltrasi sekiranya berlaku kehilangan atau kecurian. Nilai penyulitan melangkaui keselamatan proaktif, kerana banyak organisasi diwajibkan untuk menyulitkan maklumat sensitif, dengan penalti yang tinggi untuk kerosakan akibat ketidakpatuhan peraturan.
Walau bagaimanapun, penyulitan adalah sejenis permainan kucing-dan-tikus. Penyelidik dan penggodam sentiasa mencari kelemahan yang berpotensi untuk dieksploitasi. Amalan yang dianggap selamat lima atau 10 tahun lalu kini, lebih berkemungkinan daripada tidak, ketinggalan zaman dan tidak selamat. Pakar keselamatan Bruce Schneier menyeru penamatan penggunaan meluas SHA-1 pada tahun 2004 dan sekali lagi pada tahun 2005, apabila penyelidik di China membangunkan kaedah untuk mencari perlanggaran yang berfungsi lebih cepat daripada kekerasan. Penemuan kelemahan HeartBleed pada tahun 2014 menunjukkan bahawa penggunaan berterusan SHA-1 merupakan risiko keselamatan utama, tetapi sokongan untuknya telah ditarik balik oleh pelayar hanya tahun lepas.
LIHAT: Dasar penyulitan (Tech Pro Research)
Pelaksanaan tersuai penyulitan amat menyusahkan, itulah sebabnya profesional keselamatan menasihatkan agar tidak “membuat penyulitan anda sendiri”. Walau bagaimanapun, walaupun pelaksanaan profesional telah menjadi mangsa kepada kesilapan yang mengakibatkan data yang disulitkan dinyahsulit.
Pelaksanaan Elliptic Curve Digital Signature Algorithm (ECDSA) Sony dalam PlayStation 3 menggunakan nilai statik sebagai nilai integer rawak, menjadikan kunci itu boleh diselesaikan. Ini secara berkesan memberikan penggodam kawalan sepenuhnya ke atas konsol, membuka pintu air untuk kedua-dua perisian buatan sendiri–ciri yang diiklankan oleh Sony dan kemudian dialih keluar–dan cetak rompak.
Begitu juga, Seni Bina Kriptografi Java dalam Jelly Bean dan versi terdahulu Android tidak menyediakan nilai selamat secara kriptografi dengan secukupnya. Ini membenarkan penyerang menyelesaikan kunci dompet peribadi, membolehkan pencuri mencuri bitcoin daripada pemegang sah mereka.
LIHAT: Apakah itu blockchain? Memahami teknologi dan revolusi (PDF TechRepublic percuma)
Penyulitan cakera penuh telah wujud sejak sekian lama, dengan penyelesaian sumber terbuka seperti TrueCrypt dan kemudiannya VeraCrypt, serta penyelesaian komersial seperti BitLocker. Begitu juga, telefon pintar dan tablet moden mempunyai penyulitan didayakan secara lalai. Ini telah membawa kepada aduan daripada organisasi penguatkuasa undang-undang, mendakwa bahawa penggunaan penyulitan telah menyukarkan untuk menjalankan penyiasatan. Pengkritik daripada timbalan peguam negara AS Rod Rosenstein kepada perdana menteri Australia Malcolm Turnbull telah meminta “penyulitan yang bertanggungjawab,” yang pada asasnya merupakan pintu belakang di mana kerajaan (dan penggodam) boleh mengakses data yang disulitkan.
“Penyulitan yang bertanggungjawab” adalah nama yang salah. Data boleh sama ada disulitkan atau tidak disulitkan. Menyediakan pintu belakang untuk digunakan oleh pihak ketiga menyebabkan penyulitan dipertikaikan. Walaupun penggubal dasar sering membuat kata-kata untuk menjadikan kedudukan mereka kelihatan lebih sesuai, undang-undang matematik menghalang cadangan tersebut daripada digunakan di dunia nyata tanpa melanggar keselamatan. Tidak gentar dengan fakta ini, Turnbull memberitahu ZDNet tahun lepas bahawa “Undang-undang matematik sangat terpuji, tetapi satu-satunya undang-undang yang terpakai di Australia ialah undang-undang Australia.”
Nasib baik, kedua-dua Parlimen Eropah dan Kumpulan Kerja Penyulitan Kongres AS telah memberi amaran terhadap menyokong pintu belakang.
James Sanders ialah seorang penganalisis untuk 451 Research. Beliau pernah menjadi Penulis Teknologi Kakitangan untuk TechRepublic.