Kryptografia, praktyka i badanie ukrywania informacji oraz szyfrowanie, proces przekształcania informacji w celu uczynienia ich nieczytelnymi dla nikogo oprócz tych, którzy posiadają specjalną wiedzę, są często wymieniane jako lekarstwo na większość problemów związanych z bezpieczeństwem. Chociaż szyfrowanie informacji może pomóc w rozwiązaniu niektórych problemów związanych z ujawnianiem informacji przez Internet, nie jest to panaceum. Jon Callas, dyrektor ds. Technologii w PGP Corporation, uchwycił istotę wyzwania, mówiąc: „Kryptografia musi być użyteczna i użyteczna dla ludzi, którzy mają prawdziwą pracę. Kryptografia nie jest magicznym pyłkiem, którym możesz posypać problem i zabezpieczyć go. ” Całkowicie się zgadzam. Jednak szyfrowanie może pomóc na wiele sposobów. Stosowanie SSL, podstawowego protokołu kryptograficznego bezpiecznego HTTP (tj. HTTPS), utrudni podsłuchiwanie przez wszystkich oprócz dobrze wyposażonych podsłuchiwaczy, chyba że jesteś przeglądarką, która zawiera specjalnie spreparowane certyfikaty. Pracodawcy mogą tworzyć te certyfikaty, umieszczając je na standardowych obrazach stacji roboczych i dając pracodawcy możliwość łatwego podsłuchiwania. Firmy internetowe mogą również używać SSL, aby chronić się przed podsłuchem, często podczas logowania lub korzystania z poczty internetowej. Nie spodziewam się, że SSL będzie używany do ochrony wszystkich form aktywności online, takich jak wyszukiwanie, ponieważ algorytm kryptograficzny zwiększy narzut przetwarzania, co z kolei spowalnia interakcje i wymaga dodatkowych serwerów. Ponieważ SSL chroni tylko samą komunikację, protokół nie chroni Cię przed firmami internetowymi, z którymi się komunikujesz; są zaufanymi partnerami w komunikacji. Ponadto SSL nie chroni źródłowego i docelowego adresu IP pakietów ani innych informacji z nagłówka pakietów, ponieważ te informacje są potrzebne do kierowania pakietów przez Internet do właściwego miejsca docelowego. Analiza tych niezaszyfrowanych „zewnętrznych wiadomości” to dobrze zbadana dziedzina zwana analizą ruchu, która może ujawnić takie rzeczy, jak czas i czas trwania komunikacji, odwiedzane witryny i rozmiar wiadomości. Nawet prosta czynność użycia zaszyfrowanej komunikacji może wydawać się obciążająca i przyciągać niechcianą uwagę. Trend odchodzenia od desktopów zachęca do przechowywania informacji na serwerach firm internetowych. Musisz ufać, że te firmy starannie go chronią. Firmy te mogą i powinny używać szyfrowania do ochrony danych użytkowników. Takie postępowanie odstrasza przypadkowego napastnika lub pracownika szukającego wrażeń i pomaga zapewnić, że dostęp mają tylko upoważnieni pracownicy. Firmy internetowe nie mogą przeoczyć bezpieczeństwa taśm z kopiami zapasowymi; powinny być zaszyfrowane, a klucze chronione. Kiedy Twoje dane są w czyimś posiadaniu, pokładasz duże zaufanie w tej osobie. Możesz jednak wziąć sprawy w swoje ręce, szyfrując dane przed ich przechowywaniem. Proponuję zaszyfrować pliki, które przechowujesz za pomocą PGP (www.pgp.com/) lub GPG (www.gnupg.org/). Te narzędzia nie są szczególnie łatwe w użyciu, ale jeśli interesuje Cię szyfrowanie na wysokim poziomie, są one dobrze sprawdzone. Nie polegaj na ochronie hasłem oferowanej przez popularne edytory tekstu i arkusze kalkulacyjne – te hasła będą blokować tylko Twoją młodszą siostrę.
Uwaga: naukowcy badają sposoby wykorzystania kryptografii , techniki bezpiecznego umożliwiania anonimowego udostępniania informacji. Wiele z tego opiera się na pracy dr Davida Chauma.
Pomimo swojej siły kryptografia ma wiele wad. Przede wszystkim fałszywe poczucie bezpieczeństwa. Szyfrowanie jest tak dobre, jak klucz. Zagrożenie przemocą fizyczną w dziwny sposób sprawia, że ludzie znacznie częściej dzielą się poufnymi informacjami, takimi jak hasła i klucze szyfrowania. Ogólnie rzecz biorąc, matematyczne podstawy popularnych technik szyfrowania są solidne, ale poszczególne implementacje tych technik są często wadliwe. Jeszcze gorsze są sytuacje, w których osoby próbują stworzyć własne techniki szyfrowania. Wiem wystarczająco dużo o kryptografii, aby wiedzieć, że tylko eksperci, bez mnie, powinni tworzyć systemy kryptograficzne. Ci sami eksperci powiedzą Ci, że daną technikę szyfrowania należy w najlepszym przypadku uznać za efemeryczną. Nieustanny wzrost szybkości procesora gwarantuje, że to, co wcześniej było rygorystycznie zabezpieczone, stanie się w przyszłości otwartą księgą. Widzieliśmy to wiele razy w historii. Na przykład, kiedy wschodnioniemiecka tajna policja zniszczyła dokumenty w 1989 roku, prawdopodobnie nie wzięła pod uwagę, że 18 lat później komputery będą ponownie składały dokumenty. Kiedy Stany Zjednoczone przyjęły Standard Szyfrowania Danych (DES) w 1976 roku, nie spodziewali się, że zespół badawczy w 1997 roku złamie wiadomość DES w ciągu 96 dni, lub że inny zespół w 1999 roku złamie wiadomość zaszyfrowaną za pomocą DES w około 22 godziny. Pojedynczy postęp, taki jak przełom w obliczeniach kwantowych, może z dnia na dzień sprawić, że najlepsza dziś technologia szyfrowania stanie się przestarzała. Co gorsza, cała historyczna zaszyfrowana komunikacja mogłaby również zostać naruszona, gdyby jakiś przedsiębiorczy podsłuchujący miał pod ręką te dane. Na koniec rozważ użycie pełnego szyfrowania dysku na dysku twardym. Takie postępowanie radykalnie zmniejsza ryzyko ujawnienia danych w przypadku zgubienia lub kradzieży dysku. Wobec bardzo widocznych naruszeń bezpieczeństwa występujących w rządzie i przemyśle oraz rosnącej liczby przepisów zmuszających takie organizacje do informowania konsumentów o utraconych danych, coraz więcej osób korzysta z szyfrowania na pełnym dysku jako rozwiązania. Szyfrowanie w locie na całym dysku wymaga dużej mocy obliczeniowej i obniży wydajność, ale jest skuteczną formą ochrony. Świetnym miejscem do rozpoczęcia jest poznanie TrueCrypt, popularnego, darmowego narzędzia do szyfrowania w locie o otwartym kodzie źródłowym.