Encryption (Məlumatların Şifrələnməsi): Növlər, Alqoritmlər və Gələcəyi
Şifrələmə (Encryption) nədir?
Şifrələmə — məlumatın oxunaqlı formadan (plain text) yalnız icazəli şəxslərin aça biləcəyi kodlaşdırılmış formaya (cipher text) çevrilməsi prosesidir. Bu proses xüsusi riyazi alqoritmlər və açarlar (keys) vasitəsilə həyata keçirilir.
Sadə dillə desək: məlumat var, amma açarı olmayan üçün o, mənasız simvollar toplusudur.
Şifrələmənin əsas məqsədləri:
- Məlumatın məxfiliyini qorumaq
- İcazəsiz girişlərin qarşısını almaq
- Məlumatın ötürülməsi zamanı təhlükəsizliyi təmin etmək
- Hüquqi və tənzimləyici tələblərə cavab vermək (GDPR, HIPAA və s.)
Məlumat niyə şifrələnməlidir?
Bugünkü reallıqda məlumat sızıntısı istisna deyil, normaya çevrilib. Şifrələmə aşağıdakı riskləri azaldır:
- Man-in-the-Middle hücumları – ötürülən məlumatın ələ keçirilməsi
- Data breach – server və ya sistem sındırıldıqda məlumatın oxunması
- İnsayder riskləri – daxili əməkdaşların məlumatı sui-istifadəsi
- Fiziki risklər – cihazın itirilməsi və ya oğurlanması
Şifrələnmiş məlumat oğurlansa belə, açar olmadan praktik olaraq istifadəsizdir.
Şifrələmənin əsas növləri hansılardır?
Şifrələmənin iki əsas növü var: simmetrik şifrələmə və asimmetrik şifrələmə. Asimmetrik şifrələmə eyni zamanda açıq açarlı (public key) şifrələmə kimi də tanınır.
Simmetrik şifrələmə zamanı yalnız bir açar mövcuddur və ünsiyyətdə olan bütün tərəflər məlumatı həm şifrələmək, həm də deşifrələmək üçün eyni gizli açardan istifadə edirlər.
Asimmetrik şifrələmə (açıq açarlı) isə iki fərqli açar üzərində qurulub:
bir açar məlumatın şifrələnməsi üçün istifadə olunur, digər açar isə onun deşifrələnməsi üçün. Deşifrələmə üçün istifadə edilən açar gizli saxlanılır (buna görə də “private key” adlanır), şifrələmə üçün istifadə olunan açar isə ictimai şəkildə paylaşılır və hər kəs tərəfindən istifadə oluna bilər (buna görə də “public key” adlanır).
Asimmetrik şifrələmə TLS (əvvəllər SSL kimi tanınan) texnologiyasının əsasını təşkil edən fundamental təhlükəsizlik mexanizmlərindən biridir.
Simmetrik şifrələmə nədir?
Simmetrik şifrələmə zamanı eyni açar həm şifrələmə, həm də deşifrələmə üçün istifadə olunur. Bu üsul sürətlidir və böyük həcmli məlumatlar üçün effektivdir.
Üstünlükləri:
- Yüksək performans
- Resurs baxımından səmərəlidir
Çatışmazlığı:
- Açarın təhlükəsiz ötürülməsi problemi
Ən məşhur simmetrik alqoritmlər:
- AES (Advanced Encryption Standard)
- DES və 3DES (köhnəlmiş hesab olunur)
- Blowfish
Asimmetrik şifrələmə nədir?
Asimmetrik şifrələmə iki fərqli açardan istifadə edir: açıq açar (public key) və gizli açar (private key). Açıq açar hər kəsə açıqdır, gizli açar isə yalnız sahibində olur.
Üstünlükləri:
- Açar paylaşımı problemi yoxdur
- Yüksək təhlükəsizlik
Çatışmazlığı:
- Simmetrik şifrələməyə nisbətən daha yavaşdır
Ən məşhur asimmetrik alqoritmlər:
- RSA
- ECC (Elliptic Curve Cryptography)
- DSA
Hibrid şifrələmə nədir?
Real sistemlərin əksəriyyəti hibrid şifrələmədən istifadə edir. Bu modeldə:
- Asimmetrik şifrələmə ilə təhlükəsiz açar mübadiləsi aparılır
- Daha sonra məlumat simmetrik alqoritmlə şifrələnir
Məsələn, HTTPS protokolu məhz bu yanaşmanı istifadə edir.
Hashing nədir və şifrələmədən fərqi nədir?
Hashing tez-tez şifrələmə ilə qarışdırılır, amma texniki olaraq fərqlidir. Hash funksiyası məlumatı geri qaytarılması mümkün olmayan sabit uzunluqlu dəyərə çevirir.
Əsas xüsusiyyətlər:
- Geri çevrilə bilmir
- Eyni giriş, eyni çıxış yaradır
İstifadə sahələri:
- Parol saxlanması
- Məlumat bütövlüyünün yoxlanması
- Rəqəmsal imzalar
Məşhur hash alqoritmləri:
- SHA-256
- SHA-3
- MD5 (təhlükəsiz sayılmır)
Məlumat harada şifrələnir?
Data at Rest (Saxlanılan məlumatlar)
Serverlərdə, bulud sistemlərində və lokal disklərdə saxlanılan məlumatların şifrələnməsi data at rest adlanır. Disk encryption və database encryption bu kateqoriyaya daxildir.
Data in Transit (Ötürülən məlumatlar)
İnternet üzərindən ötürülən məlumatların qorunması üçün istifadə olunur. SSL/TLS protokolları bu məqsədə xidmət edir.
Data in Use (İstifadə zamanı məlumat)
Ən çətin qorunan mərhələdir. Confidential computing və secure enclaves kimi texnologiyalar bu sahədə inkişaf edir.
SSL/TLS və HTTPS necə işləyir?
SSL/TLS internetdə təhlükəsiz əlaqənin əsasını təşkil edir. Brauzer ilə server arasında:
- Sertifikat yoxlanılır
- Asimmetrik açarla təhlükəsiz kanal qurulur
- Daha sonra simmetrik şifrələmə aktivləşir
Brauzerdə gördüyünüz kilid işarəsi bu mexanizmin vizual təsdiqidir.
Ən çox istifadə olunan şifrələmə alqoritmləri
- AES – sənaye standartı, yüksək təhlükəsizlik
- RSA – açar mübadiləsi və sertifikatlar
- ECC – daha qısa açarlarla eyni təhlükəsizlik
- ChaCha20 – mobil və aşağı resurslu sistemlər üçün
Doğru alqoritm seçimi performans, təhlükəsizlik və istifadə ssenarisindən asılıdır.
Şifrələmənin gələcəyi: bizi nə gözləyir?
Kvant kompüterlər təhlükə yaradırmı?
Bəli. Kvant kompüterlər mövcud RSA və ECC kimi alqoritmləri nəzəri olaraq sındıra bilər. Bu səbəbdən post-quantum cryptography aktiv şəkildə inkişaf etdirilir.
Zero Trust və end-to-end encryption
Gələcəkdə sistemlər heç bir istifadəçiyə və cihaza avtomatik etibar etməyəcək. End-to-end encryption standart halına gəlir.
AI və şifrələmə
Süni intellekt həm hücum, həm də müdafiə tərəfini gücləndirir. Avtomatik zəiflik aşkarlanması və adaptiv təhlükəsizlik modelləri ön plana çıxır.
Nəticə
Şifrələmə artıq opsional deyil, fundamental təhlükəsizlik tələbidir. İstər fərdi istifadəçi, istər startup, istərsə də böyük korporasiya olun — məlumatı qorumaq üçün düzgün şifrələmə strategiyası qurulmalıdır.
Doğru alqoritm, düzgün tətbiq və mütəmadi yenilənmə olmadan heç bir sistem təhlükəsiz deyil. Texnologiya inkişaf etdikcə, şifrələmə də onunla birgə təkamül edir. (istinad linki)
Alas Academy-nin Kibertəhlükəsizlik təlimi ilə real layihələr ilə öyrənin, sistemləri necə qorumağı praktik şəkildə mənimsəyin və gələcəyin kibertəhlükəsizlik mütəxəssisi olun.