home *** CD-ROM | disk | FTP | other *** search
/ Shareware Overload Trio 2 / Shareware Overload Trio Volume 2 (Chestnut CD-ROM).ISO / dir33 / privacys.zip / HOW.TXT < prev    next >
Text File  |  1994-10-26  |  10KB  |  174 lines
  1.           
  2.           
  3.                       HOW YOU CAN USE DATA ENCRYPTION
  4.                          TO SAFEGUARD YOUR PRIVACY
  5.           
  6.           
  7.                You can beat the bureaucrats and busy-bodies at
  8.           their own game, with their own technology.  Unless you
  9.           are a computer security specialist, you probably
  10.           haven't thought much about secret codes.  Indeed, why
  11.           should anyone except the military or large,
  12.           multinational corporations be concerned with protecting
  13.           communications and information systems?
  14.           
  15.           Information Superhighway-Men
  16.           
  17.                If you use your PC to communicate with other
  18.           people through networks such as Internet, CompuServe,
  19.           even inner-company e-mail, you leave yourself wide open
  20.           to intruders -- intruders who may read your messages or
  21.           even gain access to the files you store on your hard
  22.           drive.
  23.                Anyone with a PC and a modem has the potential to
  24.           infiltrate any computer system in the world.  Spies,
  25.           tax collectors, and other enemies of your privacy are
  26.           continually developing powerful computer espionage
  27.           techniques.  Anyone may fall prey to the bandits of the
  28.           information superhighway.
  29.                Already, computers have been hooked up to
  30.           interactive systems that combine telephone, fax,
  31.           television and other, more conventional
  32.           telecommunications technologies, thus providing
  33.           unsecured access through a variety of input channels.
  34.                Most of the entryways used by data thieves to gain
  35.           entry to your files can be safeguarded by the
  36.           electronic equivalent of the number lock.  The art of
  37.           disguising messages is called "encryption."  Encryption
  38.           in its most basic form involves techniques such as
  39.           "substitution."  For instance, shift the alphabet over
  40.           two letters (A becomes C, B becomes D, etc.) so that
  41.           "SECRET" becomes "UGETGS."  The original messages is
  42.           the "plaintext"; the disguised message is the
  43.           "ciphertext."  The cryptographic system as a whole is a
  44.           "cipher."  The art of breaking ciphertext is called
  45.           "cryptoanalysis."  Cryptographers and cryptoanalysts
  46.           employ cryptology, a mystery-clouded branch of
  47.           mathematics.
  48.                The message is encrypted with an algorithm, a
  49.           mathematical function.  The cryptographic algorithm is
  50.           a series of steps that turns plaintext into ciphertext
  51.           or vice versa.  Algorithms use a key.  Without the key,
  52.           you can't decrypt the ciphertext.  The key is selected
  53.           from an immense array of possible values.  With a good
  54.           cryptographic algorithm, one way to cryptoanalyze a
  55.           ciphertext is to try all possible keys, known as a
  56.           "brute force" attack.  But imagine trying to unlock
  57.           someone's door with one of 10,000,000,000 available
  58.           keys on the key ring.  Unless you were the kind of
  59.           person who'd win the lottery jackpot 100 times in a
  60.           row, the building would collapse from old age before
  61.           you could open the door.  Cryptography works on the
  62.           same principle.  It is possible to generate algorithms
  63.           that would require more time than the universe has been
  64.           in existence to crack -- even if every computer in the
  65.           world were at your disposal.
  66.                So how would you use a cryptographic algorithm? 
  67.           Let's say that you run your own business, and you want
  68.           your accountant to explain why he didn't deduct the
  69.           cost of your car from your income statement.  You want
  70.           to keep your correspondence private, and not have any
  71.           of your employees listen in.
  72.                First, you hand the key to the accountant in
  73.           person.  Then you return to your computer and encrypt
  74.           your message with the key and send the encrypted
  75.           message to the accountant.  The accountant decrypts the
  76.           key, and repeats the procedure when communicating with
  77.           you.  Anyone intercepting the message will be unable to
  78.           read it.
  79.                This type of cipher is called a "symmetric key"
  80.           algorithm.  The decryption key is the same as (or
  81.           easily derivable from) the encryption key.  The
  82.           advantage of this type of cipher is the case with which
  83.           it may be used.  The problem is that someone may steal
  84.           the key from the accountant, or the accountant may
  85.           intentionally reveal it.  Also, it may be difficult to
  86.           physically transfer the key.
  87.                To solve the security risk inherent to symmetric
  88.           key systems, cryptographers invented "public key"
  89.           systems, which have two keys: an encryption key (the
  90.           public key) and a decryption key (the private key). 
  91.           It's mathematically impossible to derive the private
  92.           key from the public key.  The public key is made
  93.           available in your communications network.  Someone who
  94.           wants to communicate with you uses your public key to
  95.           encrypt messages.  As long as you keep the private key
  96.           private, the system is completely secure.
  97.           
  98.           Secret handshake
  99.           
  100.                Another arrangement is used in message
  101.           authentication.  A message is authenticated with a
  102.           digital signature, the way a written contract is
  103.           validated with a signature.  Without message
  104.           authentication, a crook could pretend to be your
  105.           spouse.  He might convince you that your spouse's car
  106.           has broken down.  You leave your house, only to return,
  107.           alone, to find that it had been robbed.  Digital
  108.           signature algorithms are the reverse of public key
  109.           ciphers.  In this case, the decryption key is public,
  110.           while the encryption key is private.  Only the
  111.           possessor of the key could have authored the message
  112.           bearing the correct digital signature.
  113.                As with encryption algorithms, the security of
  114.           digital signature algorithms lies entirely with key
  115.           management.  If an eavesdropper discovers your private
  116.           key, he can send messages in your name.  If the keys
  117.           are insecure, a cryptographic algorithm is useless.
  118.                Let's say your business uses a public key system,
  119.           or you are encrypting your own files for later use.  A
  120.           good way to store the key is to memorize it.  However,
  121.           the key could easily be compromised if someone were
  122.           looking over your shoulder when you typed in the key,
  123.           or if you were interrogated.  A better way to secure
  124.           your key would be the installation of a magnetic key
  125.           card system.  You could split the key in two, storing
  126.           half in the card and half in the memory of the computer
  127.           itself.  Even were either half compromised, the system
  128.           would remain secure.
  129.                The key-splitting technique should also be applied
  130.           to key distribution.  If you need to send someone a
  131.           symmetric key to set up a two-way communication
  132.           channel, divide it into several pieces.  Send them
  133.           through different channels at different times (in
  134.           person, through the mail, etc.)  Any piece by itself is
  135.           useless.
  136.           
  137.           Electronic locksmith
  138.           
  139.                Ironically, cryptographic algorithms developed in
  140.           secret are the least secure.  Avoid encryption
  141.           producyts that claim to involve "new" or "secret"
  142.           algorithms.  Most of them are simply unable to
  143.           withstand the scrutiny of professional cryptoanalysts. 
  144.           There are several effective, powerful algorithms that
  145.           have been around for over a decade.  While new
  146.           encryption technology may emerge, rendering current
  147.           algorithms obsolete, it is safer to stick with proven
  148.           systems.
  149.                DES (Data Encryption Standard) is an international
  150.           encryption system endorsed by the U.S. government. 
  151.           This is also its major flaw.  There are unconfirmed
  152.           rumors that the U. S. National Security Agency (NSA)
  153.           apparently holds a key to a secret "trapdoor" to the
  154.           algorithm. 
  155.                DES uses a 56-bit key, which would take thousands
  156.           of years to break -- even assuming the existence of
  157.           supercomputers that transcend current limitations. 
  158.           While it is possible to find algorithms with a greater
  159.           key length, the additional security is offset by
  160.           decreased speed and efficiency.  Also, the widespread
  161.           use of DES makes it very convenient to use.
  162.                Electronic data encryption opens up an incredible
  163.           entrepreneurship potential for information-related
  164.           services.  In an electronic marketplace with hundreds
  165.           of thousands of potential clients worldwide, even
  166.           small-scale offers of information, say, a comic strip,
  167.           a bawdy limmerick, or a stock report suddenly become
  168.           marketable.  Encryption could help meter it out
  169.           according to a pay-per-view system.
  170.           
  171.           
  172.           
  173.           
  174.