Hashing vs. Verschlüsselung: Definitionen und Unterschiede

Verschlüsselungstechniken schützen Daten während der Übertragung. Hashing schützt gespeicherte Daten.

Die Kombination dieser Strategien könnte theoretisch eine starke Sicherheitsgrenze um kritische Assets ziehen. Aber beide sind mit Risiken und Vorteilen verbunden, die Sie kennen sollten.

Verschlüsselung und Hashing: Einfache Definitionen

Zählen Sie alle vertraulichen Informationen zusammen, die sich gerade auf Ihrem Server befinden. Fügen Sie alle Daten hinzu, die Sie mit Kunden, Auftraggebern und Auftragnehmern hin und her austauschen. Wie bewahren Sie alles sicher auf?

Einige Leute verwenden die Begriffe Verschlüsselung und Hashing gleichzeitig. Es stimmt zwar, dass beide zum Schutz von Informationen verwendet werden, aber sie tun dies auf sehr unterschiedliche Weise.

Betrachten Sie diese grundlegenden Definitionen:

• Bei der Verschlüsselung werden Daten verschlüsselt, die mit einem Schlüssel entschlüsselt werden können. Die Absicht besteht darin, die Informationen an eine andere Partei weiterzugeben, und der Empfänger verwendet Schlüssel, um die Daten zu entschlüsseln.
• Hashing verschlüsselt auch Daten, aber die Absicht besteht darin, die IT-Authentizität zu beweisen. Administratoren können eine Überprüfung der gehashten Daten durchführen, um festzustellen, ob der Inhalt während des Speichers nicht berührt oder geändert wurde. Es existiert kein Entschlüsselungsschlüssel.

Bei beiden Methoden geht es darum, etwas Empfindliches vor neugierigen Blicken abzuschirmen. Aber sie haben offensichtlich unterschiedliche Ziele und Kernfunktionen.

Wie funktioniert die Verschlüsselung?

Bei der Verschlüsselung handelt es sich um eine vorübergehende Verschlüsselung wichtiger Informationen. Der Empfänger erhält unlesbare Daten, aber ein Schlüssel zur Transkription klärt die Verwirrung auf. Wenn man sie zusammenfügt, wird die Bedeutung der Botschaft klar.

Fast 40 Prozent der Unternehmen haben eine unternehmensweite Verschlüsselungsstrategie im Einsatz, und jedes Jahr steigt diese Zahl. Die Praxis ist besonders kritisch in Unternehmensbereichen, die fast ausschließlich mit privaten Daten arbeiten, wie z. B.:

• Krankenhäuser
• Banken 
• Kreditgenossenschaften 
• Versicherungsgesellschaften

Die Passwortverschlüsselung ist bemerkenswert weit verbreitet. Die meisten Verbraucher gehen davon aus, dass die von ihnen geteilten Anmeldedaten geschützt sind, sobald sie sie eingeben.

Die Akzeptanz der Verschlüsselung liegt unter anderem daran, dass diese Techniken bereits seit Hunderttausenden von Jahren bekannt sind. Im frühen Ägypten beispielsweise bewahrten Schreiber wichtige Informationen in Hieroglyphen auf, und nur wer den Übersetzungscode kannte, konnte feststellen, was jeder Satz tatsächlich bedeutete.

Im Kern ist die Verschlüsselung bemerkenswert einfach. Informationen werden in unleserlichem Zustand von einer Partei zur anderen übertragen, und sie werden bei der Ankunft übersetzt.

Endbenutzer müssen normalerweise nicht nach Verschlüsselungsschlüsseln suchen, aber die Daten müssen hin und her übertragen werden. Normalerweise sendet das System des Benutzers eine Anfrage an die andere Partei. Als Antwort sendet diese Partei eine Kopie des Sicherheitszertifikats zurück, das einen Dekodierschlüssel enthält.

Gängige Verschlüsselungstechniken

Bei der Verschlüsselung werden Daten in eine Methode umgewandelt, die ohne einen Schlüssel nicht gelesen werden kann.

In der Vergangenheit verwendeten die Leute einfache Techniken, die Nachrichten verschlüsselten über:

• Abwälzend. Code-Builder: Wählen Sie eine Zahl aus, und sie verschieben alle Buchstaben des Alphabets entsprechend. Um die Nachricht zu entschlüsseln, verschiebt der Empfänger die Werte zurück.
• Ersetzend. Ein alternatives Alphabet wird erstellt, und die Nachricht wird gemäß diesen Regeln verschlüsselt. Der Empfänger verwendet den Code, um die Nachricht in einen lesbaren Zustand zu versetzen.
• Symbole. Das normale, lesbare Alphabet wird durch Zahlen oder Symbole ersetzt. Der Empfänger verwendet den Code, um den Text beim Empfang umzuwandeln.

Diese Methoden sind grob und bemerkenswert leicht zu brechen. Sobald Sie die Regeln festgelegt haben, die dem Scramble zugrunde liegen, können Sie die Notiz lesen. Moderne Techniken sind anders.

Codes, die zum Übersetzen verschlüsselter Dokumente verwendet werden, werden als Chiffren bezeichnet, und es gibt zwei Haupttypen.

• Symmetrische Chiffren verwenden eine Schlüsselvariable, die sowohl der Absender als auch der Empfänger haben. Diese Chiffre kann ein Wort, eine Zahl oder eine Kombination aus beidem sein. Diejenigen, die über diesen einen Schlüssel verfügen, können Daten verschlüsseln und Daten entschlüsseln, die in diesem verborgenen Zustand an sie gesendet wurden.
• Asymmetrische Chiffren verwenden zwei Schlüsselvariablen. Einer ist ein öffentlicher Schlüssel, den jeder, der diese Chiffre verwendet, kennt und versteht. Der andere ist ein privater Schlüssel, der in der Regel über das Internet oder ein großes Netzwerk ausgetauscht wird. Wenn man sie zusammenfügt, sind sie viel schwieriger zu hacken.

Wenn Sie symmetrische Chiffren verwenden, geht der Dekodierungsprozess sehr schnell voran. Die Verarbeitung asymmetrischer Verschlüsselungen dauert länger, und es kann zu Verzögerungen beim Benutzer kommen.

Zu den modernen Verschlüsselungsprodukten gehören:

• Advanced Verschlüsselung Standard (AES). Ein ausgeklügelter Algorithmus wandelt Klartext in eine Reihe von Buchstaben und Zahlen um, und der Vorgang wird mehrmals wiederholt, um eine vollständige Verschlüsselung zu gewährleisten.
• Zwei Fische. Diese symmetrische Verschlüsselung verwendet einen einzigen Schlüssel sowohl für die Verschlüsselung als auch für die Entschlüsselung. Der Entwickler hat das System 1998 als Reaktion auf die Forderung des National Institute of Standard and Technologie nach sichereren Verschlüsselungstypen entwickelt. Twofish ist ein schnelles System, und es ist für Netzwerkanwendungen gemacht, die einen häufigen Schlüsselwechsel erfordern.
• Ziemlich gute Privatsphäre. Diese Software basiert auf einem offenen Standard, und die IT verwendet mehrere Schritte, um Daten sowohl zu verschlüsseln als auch zu entschlüsseln. Die Entwickler arbeiten weiter an dem System und fügen dem Algorithmus als Reaktion auf Angriffe neue Funktionen hinzu.

Dies ist eine Auswahl aller verfügbaren Verschlüsselungsprodukte. Es gibt noch viele weitere. In der Tat bauen einige unternehmungslustige Entwickler ihre eigenen, um bestimmte Schwachstellen in ihren Unternehmenssystemen zu beheben.

Funktionsweise von Hashing

Beim Hashing werden gespeicherte Daten verschlüsselt, um sicherzustellen, dass sie nicht gestohlen oder manipuliert werden. Das Ziel ist der Schutz, aber die Technik ist nicht auf die Dekodierung ausgelegt.

Stellen Sie sich ein Unternehmen vor, das zahlreiche Benutzernamen und Passwörter gespeichert hat. Da Kunden häufig dieselben Passwörter für mehrere Anmeldungen verwenden, kann eine Offenlegung von Daten zu mehreren Datenschutzbedenken führen. Ein Passwort-Hash-System könnte all diese Passwörter vor Hackern schützen und gleichzeitig sicherstellen, dass diese Punkte nicht manipuliert werden, bevor sie wieder verwendet werden.

Eine solche Hash-Verschlüsselung anonymisiert keine Daten, obwohl viele Leute glauben, dass die IT dies tut. Stattdessen wird die IT eingesetzt, um diese Daten vor denjenigen zu schützen, die die IT missbrauchen oder verändern könnten.

Ein typisches Hashing-Protokoll verfügt nicht über einen automatischen Übersetzungsschlüssel. Stattdessen wird das Verfahren zur Feststellung von Veränderungen genutzt und die Daten werden verschlüsselt gespeichert.

Die Hash-Arbeit wird von einem Computeralgorithmus ausgeführt, und sobald die Daten transformiert wurden, kann die IT nicht mehr in den ursprünglichen Zustand zurückversetzt werden.

Gängige Hashing-Algorithmen

Alle Hashing-Algorithmen funktionieren auf ähnliche Weise. Benutzer geben vertrauliche Daten ein, und das System durchläuft diese Informationen und macht sie unzulässig. Aber nicht alle Systeme sind gleich.

Zu den Hashing-Algorithmen gehören:

• MD-5. MD5 ist einfach, schnell und kostenlos zu verwenden. IT gehört zu den am weitesten verbreiteten Hash-Algorithmen, aber IT ist auch reif für Hacking. Einige Experten ermutigen alle Unternehmen, eine andere Methode zum Schutz von Daten zu wählen, aber sie sagen, dass etwa ein Viertel aller großen Inhalts-Systeme weiterhin bei MD5 bleiben.
• Sichere Hash-Algorithmen (SHA). Das National Institute of Standard and Technologie veröffentlichte 1993 den ersten SHA-Algorithmus. Auf jede neue Version folgt eine Nummer, z. B. SHA-0 und SHA-1. Im Allgemeinen gilt: Je höher die Zahl, desto sicherer der Algorithmus.
• Tiger. Dieser Algorithmus wurde 1995 veröffentlicht und ist für die Verwendung auf 64-Bit-Plattformen konzipiert. Die IT randomisiert die Daten in 24 Runden und gilt als bemerkenswert sicher.

Einige Unternehmen bieten eine weitere Hash-Verstärkung mit einer Technik namens Salting an. Unternehmen, die dies tun:

• Füge etwas hinzu. Dazu wird den Daten, die sie schützen müssen, eine Zeichenfolge eindeutiger, zufälliger Zeichen hinzugefügt.
• Hashen Sie die gesamte Zeichenfolge. Die ursprünglichen Daten mit der Salzzugabe durchlaufen den Algorithmus.
• Sicher aufbewahren. Unternehmen platzieren den Salt-Wert zusammen mit den gehashten Daten auf der Website.
• Wiederholen. Unternehmen können Daten mehr als einmal salzen, um einen tieferen Schutz zu bieten.

Das Salzen ist laut Experten am effektivsten, wenn Unternehmen für jeden Datenpunkt einen anderen Salzstrang verwenden. Ein Passwort-Salt ist beispielsweise nicht so hilfreich, wenn an jedes Passwort die gleichen zufälligen Zeichen angehängt sind. Sobald ein Hacker diesen Code herausgefunden hat, sind alle Passwörter angreifbar.

Vergleich & Kontrast: Verschlüsselung vs. Hashing

Sowohl Hashing als auch Verschlüsselung verschlüsseln Daten, um die IT vor Hackern zu schützen. Aber die Art und Weise, wie die Daten verschlüsselt werden und was mit der IT nach der Codierung passiert, ist anders.

Wenn Sicherheit das Ziel ist, welches System funktioniert besser? Leider haben beide tiefe Schwachstellen.

Passwort-Hashing-Probleme wurden für Poshmark im Jahr 2019 offensichtlich, als Hacker die Codes durchbrachen und eine beträchtliche Menge an Benutzerdaten offenlegten. Die Führungskräfte von Poshmark rieten den Verbrauchern, ihre Passwörter in ihrem gesamten digitalen Leben zu ändern, insbesondere wenn sie Passwörter von einer Website auf einer anderen wiederverwendet hatten.

Einen Hash zu knacken bedeutet, einen Computeralgorithmus durch die Codes laufen zu lassen und Theorien über den Schlüssel zu entwickeln. IT sollte unmöglich sein, aber Experten sagen, dass einige Programme 450 Milliarden Hashes pro Sekunde durchlaufen können, und das bedeutet, dass das Hacken nur wenige Minuten dauert.

Auch die Verschlüsselung bringt Schwachstellen mit sich. Nur etwa 4 Prozent der Verschlüsselungs-Sicherheitsverletzungen sind sicher, bei denen die Daten unbrauchbar werden. In allen anderen Fällen werden gestohlene Dateien schnell entschlüsselt und sind für die Diebe einsatzbereit.

Es ist möglich, dass einige Unternehmen die Verschlüsselung nur aus Compliance-Gründen anwenden, sodass sie ihre Systeme nicht testen und ändern, um zu beweisen, dass sie funktionieren. Es ist aber auch möglich, dass die Verschlüsselung nicht so ausgefeilt ist, wie manche hoffen.

Welche sollten Sie wählen?

Die Frage nach Verschlüsselung vs. Hashing zu beantworten, ist nicht einfach. Schutz ist das Ziel, aber zu wissen, wo man anfangen soll, kann eine Sicherheitsabfrage sein.

Überlegen Sie, welche Daten Sie schützen müssen. Wird ES:

• Reise? Wahrscheinlich benötigen Sie eine Verschlüsselung, um die IT-Sicherheit zu gewährleisten, wenn die IT von Ihrem Server auf einen anderen umzieht.
• Bleiben Sie im Lager? Sie benötigen Hashing, um sicherzustellen, dass die IT nicht von jemandem berührt werden kann, der Ihren Server mit schändlichen Plänen betritt.

Beachten Sie, dass Sie auch Hashing- und Verschlüsselungstechniken kombinieren können. Sie können Hashing verwenden, um Passwort-Daten auf Ihrem Server zu schützen, aber dann stützen Sie sich auf die Verschlüsselung, um Dateien zu schützen, die Benutzer herunterladen, sobald sie Zugriff erhalten haben.

Experimentieren Sie mit den Systemen und Methoden, die Ihre Daten sicher und geschützt halten. Und Sie können sicher sein, dass Okta hier ist, um Ihnen zu helfen.

Wir sind spezialisiert auf Sicherheitslösungen für große und kleine Unternehmen. Stellen Sie unsere Lösungen sofort einsatzbereit bereit oder lassen Sie uns etwas entwickeln, das für Sie und Ihre Branche geeignet ist. Kontaktieren Sie uns, um mehr zu erfahren.

Referenzen

Verschlüsselung: Immer mehr Unternehmen nutzen sie trotz unangenehmer technischer Probleme. (April 2015). ZD Net.

Geschichte der Verschlüsselung. (Januar 2002). Globale Information Assurance-Zertifizierung.

Der Twofish-Verschlüsselungsalgorithmus. (Dezember 1998). Schneider über Sicherheit.

Macht Hashing Daten anonym? (April 2012). Federal Trade Commission.

Ein Viertel der großen CMS verwendet veraltetes MD5 als Standard-Passwort-Hashing-Schema. (Juni 2019). ZD netto.

Passwörter und Hacking: Der Jargon von Hashing, Salting und SHA-2 erklärt. (Dezember 2016). Der Hüter.

Passwort-Hashing garantiert nicht, dass Ihre Daten sicher sind. (Oktober 2019). Kansas City Business Journal.

Vier Cent zur Deanonymisierung: Unternehmen vertauschen gehashte E-Mail-Adressen. (April 2018). Freiheit zum Basteln.

Unternehmen wenden die Verschlüsselungstechnologie nicht effektiv an. (Januar 2019). Computer Weekly.

Verschlüsselung vs. Hashing. (Dezember 2019). Mittel.

Viele Unternehmen wenden Verschlüsselung aus dem falschen Grund an. (April 2020). Techzine.