چه تفاوت‌هایی میان Encryption و Hashing وجود دارد؟

چه تفاوت‌هایی میان Encryption و Hashing وجود دارد؟

Encryption و Hash دو اصطلاحی هستند که به جای یکدیگر استفاده می‌شوند، ولی به اشتباه! آیا شما تفاوت بین این دو را می‌دانید و اینکه کدام یک را در کجا به کار ببرید؟ در این مقاله قصد داریم به بررسی تفاوت‌های اساسی بین هَش و اِنکریپشن و اینکه هر یک را در چه موقعیت‌هایی می‌توان استفاده کرد بپردازیم.

Hashing چیست؟
Hashing به بیان ساده عبارت است از تبدیل یک عبارت ورودی به یک عبارت خروجی ولی یک خروجی که دیگر قابل تبدیل به ورودی اولیه نیست و طبق یکسری الگوریتم‌های خاص، مقدار هَش محاسبه شده و این مقدار همیشه به ازای یک ورودی خاص، یکتا است. نتیجهٔ عمل هَش یک مجموعه کاراکتر با طول ثابت است که با تغییر کوچکی در استرینگ ورودی، تغییرات زیادی در نتیجهٔ خروجی حاصل خواهد شد. بهترین الگوریتم‌های هَشینگ برای این طراحی شدند که امکان پی‌‌بردن به استرینگ اصلی که هَش شده است غیرممکن باشد.

آشنایی با محبوب‌ترین الگوریتم‌های Hashing 
MD5: یکی از معروف‌ترین الگوریتم‌های هَشینگ، MD5 است. این الگوریتم یک استرینگ 16بایتی به عنوان خروجی ایجاد می‌کند که معمولاً به شکل یک رشتهٔ 32 عددی نمایش داده می‌شوند. اخیراً چندین آسیب‌پذیری در MD5 کشف شده است و Rainbow Table آن‌ها منتشر شده که به افراد اجازه می‌دهد که به استرینگ اصلی دسترسی پیدا کنند؛ البته این آسیب‌پذیری در صورتی است که از Salt (مجموعه بیت‌های تصادفی که هرچه طول‌شان بیشتر باشد برای عملیات هَشینگ بهتر است) به‌خوبی استفاده نشده باشد (به خاطر داشته باشیم که Rainbow Table به جداولی گفته می‌شود که مقادیر مختلفی همچون لیست پسورد‌های مختلف یا ... را به صورت هَش شده نگاه‌داری می‌کنند و باعث سریع‌تر شدن عملیات پیدا کردن پسورد می‌شوند).

به‌ عنوان مثال، نتیجهٔ هَش شدن استرینگی همچون sokanacademy در زبان برنامه‌نویسی پایتون عبارت است از a8e8cb2fa7cf9e2d15f545292d2ad997 که در نمونه کد زیر به خوبی نشان داده شده است:

import hashlib
hash_object = hashlib.md5(b'sokanacademy')
print(hash_object.hexdigest())

SHA: به طور کلی، سه نوع الگوریتم SHA وجود دارد که عبارتند از SHA-1 ،SHA0 و SHA-2. الگوریتم SHA-0 به‌ دلیل وجود آسیب‌پذیری به ندرت مورد استفاده قرار می‌گیرد و این در حالی است که خطاها و آسیب‌پذیری‌های SHA-0 در نسخهٔ SHA-1 اصلاح شده‌اند. SHA-1 بیشترین استفاده را در بین الگوریتم‌های SHA دارد و یک رشتهٔ 20بایتی به‌ عنوان خروجی تولید می‌کند. SHA-2 هم شامل یک مجموعهٔ 6 عضوی از الگوریتم‌های هَشینگ است؛ SHA-256 و نسخه‌های بالاتر برای مواقعی که امنیت بسیار مهم است توصیه می‌شوند (همچنین لازم به ذکر است که SHA-256 رشتهٔ 32بایتی تولید می‌کند).

چه مواقعی Hashing باید مورد استفاده قرار گیرد؟
Hashing یک روش ایده‌آل برای ذخیره کردن پسورد است به این دلیل که الگوریتم‌های هَشینگ ذاتاً یک‌طرفه‌ هستند؛ با ذخیره کردن پسورد به صورت هَش شده، برای افرادی که به اطلاعات هَش شده دسترسی دارند بسیار مشکل است تا بتوانند از روی مقدار هَش، به استرینگ اصلی دسترسی پیدا کنند.

هنگامی که شما یک پسورد را به صورت هَش شده ذخیره می‌کنید، در‌ زمان ورود به سیستم که کاربر پسورد خود را وارد می‌کند، این پسورد به هَش تبدیل شده و با هَش ذخیره شده به عنوان پسورد کاربر که قبلاً در دیتابیس ذخیره شده است مقایسه می‌شود؛ اگر هر دو با هم برابر بودند که کاربر به عنوان کاربر مجاز شناخته شده و امکان دسترسی به سیستم به او داده می‌شود ولی در صورت برابر نبودن پسورد ورودی با مقدار هَش ذخیره شده، امکان دسترسی کاربر به سیستم وجود نخواهد داشت.

هَشینگ برای موقعیت‌هایی که می‌خواهید ورودی کاربر را با مقدار ذخیره شده مقایسه کنید ولی نمی‌توانید مقدار ذخیره شده را به فرم ساده و بدون هَش (به دلایل امنیتی) ذخیره کنید بسیار خوب است. در موارد دیگر می‌توانید از هَش برای بررسی صحت کارت‌های اعتباری که توسط کاربر وارد می‌شوند نیز استفاده کنید یا حتی می‌توانید مقدار هَش یک فایل را با مقدار هَش تولید شده توسط سازندهٔ آن فایل مقایسه کنید و مطمئن شوید فایل دستکاری نشده است (برای کسب اطلاعات بیشتر، به مقالهٔ منظور از MD5 ،SHA-1 و SHA-256 در کنار فایل‌های دانلودی چیست؟ مراجعه نمایید).

Encryption چیست؟
رمزنگاری وظیفهٔ تبدیل داده‌ها به فرم غیرقابل خواندن را برعهده دارد اما این در حالی است که طول استرینگ رمزنگاری ثابت نیست. تفاوت اصلی بین اِنکریپشن و هَشینگ این است که چنانچه شما به کلیدی خاص دسترسی داشته باشید، امکان Decrypt (دکیپت یا رمزگشایی) کردن استرینگی که به صورت رمز درآمده است را خواهید داشت.

به طور کلی، دو نوع اصلی Encryption وجود دارد که عبارتند از الگوریتم‌های رمزنگاری متقارن و الگوریتم‌های نامتقارن. در الگوریتم‌های متقارن برای رمزنگاری و رمزگشایی تنها یک Key (کلید) لازم است ولی در الگوریتم‌های نامتقارن، یک کلید برای رمزنگاری نیاز است که تحت عنوان Public Key شناخته می‌شود و کلید دیگری هم برای رمزگشایی تحت عنوان Private Key مورد نیاز است. Public Key برای افرادی ساخته شده است که می‌خواهند برای ما پیام رمز شده بفرستند و Private Key برای رمزگشایی پیام رمز شده استفاده می‌شود.

الگوریتم‌های محبوب رمزنگاری
AES: هنگامی که صحبت از رمزنگاری متقارن به میان می‌آید، الگوریتم AES یک استاندارد طلایی به‌ حساب می‌آید و برای بیشتر موارد توصیه می‌شود (توصیه می‌شود هنگام استفاده از این الگوریتم، از کلید‌های 256بیتی استفاده کنید).

PGP: الگوریتم PGP هم محبوب‌ترین الگوریتم در زمینهٔ رمزنگاری نامتقارن است.

چه موقع باید از رمزنگاری استفاده نمود؟
رمزنگاری زمانی باید مورد استفاده قرار گیرد که بخواهیم متنی که ارسال می‌کنیم را بعداً رمزگشایی نماییم. برای مثال، فرض کنید می‌خواهید یک پیام محرمانه برای دوستتان بفرستید؛ در چنین شرایطی باید پیام خود را رمزنگاری نمایید تا کسی به سادگی امکان خواندن متن پیام را در بین راه نداشته باشد. همچنین پیام باید به فرمی ارسال شود که قابل رمزگشایی شدن باشد نه این که فقط رمز شده باشد که در این صورت غیرقابل استفاده خواهد بود.

اگر شما زمانی به این نتیجه رسیدید که Encryption ضروری است، نخست باید تصمیم بگیرید از الگوریتم‌های متقارن استفاده کنید یا از الگوریتم‌های نامتقارن؛ الگوریتم‌های متقارن کارایی و سرعت بهتری را نسبت به الگوریتم‌های نامتقارن دارند همچنین استفاده از الگوریتم‌های متقارن ساده‌تر از استفاده از الگوریتم‌های نامتقارن می‌باشد، ولی به هر حال کلید باید توسط سیستم و کاربر و نرم‌افزار شناخته شده باشد که در بعضی مواقع این موضوع باعث بالا رفتن ریسک پخش‌ شدن کلید در میان کاربرانی می‌شود که نباید از این موضوع اطلاع داشته باشند.

اگر می‌خواهید برای شخصی در آن طرف کرهٔ زمین پیام محرمانه‌‌ای ارسال کنید، قبل از آنکه بخواهید پیام محرمانه ارسال کنید، نخست باید یک روش امن برای تبادل کلید اختصاصی با شخص مد نظر پیدا کنید. اگر شما کانالی امن سراغ دارید که کلید خود را از طریق آن ارسال نمایید، می‌توانید پیام رمز شده را هم از همان طریق ارسال نمایید (افراد زیادی که در این زمینه کار می‌کنند برای خلاص شدن از سختی‌های مربوط به اشتراک کلید، نخست کلید خود را به وسیلهٔ Public Key برای شخص مورد نظر ارسال می‌کنند سپس برای ادامهٔ ارتباط، از روش رمزنگاری متقارن استفاده می‌کنند).

منبع