Aiškus tekstas (cleartext): kas tai, pavojai ir apsaugos būdai

Sužinokite, kas yra aiškus tekstas, kokie pavojai kyla siunčiant duomenis be šifravimo ir kaip apsaugoti privatumą — HTTPS, šifravimas, slaptažodžių tvarkymas.

Telekomunikacijų srityje aiškus tekstas – tai pranešimo ar duomenų forma, kurią žmogus arba kompiuterinė įranga gali suprasti be papildomo kriptografinio apdorojimo. Visų pirma tai reiškia, kad toks pranešimas siunčiamas arba saugomas be kriptografinės apsaugos. Frazės "in clear", "en clair" ir "in the clear" reiškia tą patį: duomenys yra „atviri“, juos galima perskaityti be dešifravimo. Aiškus tekstas gali būti paprastas skaitomas tekstas, bet taip pat – bet koks nešifruotas binarinis turinys.

Kas tai reiškia praktikoje ir kuo skiriasi nuo panašių terminų

Tai artimas, bet ne visiškai tapatus terminas "paprastasis tekstas". Formaliai atvirasis tekstas yra informacija, kuri yra įvesta į kodavimo arba šifravimo procesą, o šifro tekstas yra tai, kas gaunama po šio proceso. Prieš paverčiant atvirąjį tekstą į šifro tekstą, jis gali būti suspaustas, užkoduotas ar kitaip pakeistas, todėl gana dažnai pasitaiko, kad atvirasis tekstas nėra aiškusis tekstas. Taip pat svarbu atskirti kodavimą (pvz., base64) nuo šifravimo: kodavimas keičia formatą, bet neapsaugo nuo skaitomumo, o šifravimas daro duomenis nesuprantamus be raktų.

Pavojai, susiję su aiškiuoju tekstu

Siunčiant ar saugant duomenis atviru tekstu, kyla daug grėsmių:

• Perėmimas ir skaitymas: bet kas, turintis prieigą prie perdavimo terpės, gali perskaityti duomenis.
• Prisijungimo duomenų nutekėjimas: vartotojo vardai, slaptažodžiai) ir kiti jautrūs laukai gali būti pavogti.
• Man-in-the-middle (MitM) atakos: užpuolikas gali pakeisti ar įterpti turinį duomenų sraute.
• Perkrautas informacijos atsekamumas: aiškus tekstas dažnai palieka įrašus ar žurnalus, kurie gali būti prieinami trečiosioms šalims.
• Metaduomenų nutekėjimas: net jei pats turinys koduotas, aiškus ryšio procesas (pvz., URL query parametrai ar HTTP headers) gali atskleisti informaciją.

Praktiniai pavyzdžiai

Svetainės, kuriose naudojamas nesaugus HTTP protokolas, siunčia duomenis atviru tekstu, o visi pateikti duomenys (įskaitant naudotojo vardus ir slaptažodžius) iš naudotojo kompiuterio internetu siunčiami atviru tekstu. Bet kas, turintis prieigą prie duomenų perdavimo terpės (maršrutizatorių, kompiuterių, telekomunikacijų įrangos, belaidžio ryšio perdavimo ir pan.), gali perskaityti slaptažodį, vartotojo vardą ir bet ką kitą, kas siunčiama į svetainę.

Taip pat dažni nepilno saugumo pavyzdžiai: FTP ir Telnet protokolai perduoda prisijungimo duomenis aiškiai, el. pašto protokolai be TLS (SMTP, POP3, IMAP) gali būti perimami, o HTTP Basic Auth išsiųstas base64 formatu – tai nėra šifravimas ir lengvai atstatomas.

Kaip sumažinti riziką — apsaugos būdai

Norint apsaugoti duomenis nuo perskaitymo ir modifikavimo, rekomenduojama:

• Naudoti TLS/HTTPS: užtikrinkite, kad visos svetainės ir API veiktų per HTTPS (TLS 1.2 ar, dar geriau, TLS 1.3). Patikrinkite sertifikatų galiojimą ir konfigūraciją.
• Įjungti HSTS: ilgalaikė prievarta prie HTTPS sumažina galimybes nukreipti vartotojus į HTTP versiją.
• Naudoti saugius protokolus: SSH, SFTP, FTPS vietoje FTP; saugus el. paštas su STARTTLS arba pilnu TLS; užšifruotas DNS (DoH, DoT) mažina DNS nutekinimo riziką.
• End-to-end šifravimas: žinučių ir failų perdavimui naudokite E2E sprendimus (pvz., Signal, PGP, S/MIME), kai svarbu, kad net tarpininkai negalėtų matyti turinio.
• Šifravimas saugykloje: duomenų bazės ir disko šifravimas apsaugo nuo duomenų nutekėjimo dėl fizinės prieigos prie įrenginio ar atsarginių kopijų.
• Sertifikatų ir raktų tvarkymas: naudokite patikimus CA, rotuokite raktus, saugokite privatų raktą neprieinamą tretiesiems asmenims.
• Autentifikacijos stiprinimas: įdiekite dviejų faktorių autentifikavimą (2FA), naudokite stiprias, unikalias slaptažodžių taisykles ir slaptažodžių vadytojus.
• Traffic monitoring ir aptikimas: tinkamai konfigūruotos IDS/IPS sistemos ir žurnalų stebėjimas padeda greitai aptikti įtartiną veiklą.

Praktiniai patarimai vartotojams

• Tikrinkite naršyklės adreso juostos užraktą ir kad URL prasideda su https://.
• Išvenkite jautrių veiksmų per atvirus viešuosius Wi‑Fi tinklus arba naudokite VPN su patikimu tiekėju.
• Nenaudokite tų pačių slaptažodžių skirtingose svetainėse, įjunkite 2FA, ir naudokite slaptažodžių tvarkyklę.
• Neatsidarinėkite abejotinų prisegtukų ar nuorodų el. paštu – jie gali kaupti prisijungimo duomenis ar įrašyti rakto spartinančią informaciją.

Teisiniai ir organizaciniai aspektai

Įmonės privalo vertinti riziką ir taikyti atitinkamas saugumo priemones pagal galiojančius teisės aktus (pvz., GDPR): aiškus tekstas, kuriame yra asmens duomenų, gali sukelti teisinių pasekmių praradus konfidencialumą. Organizacijos turėtų turėti saugumo politiką, incidentų valdymo procedūras ir mokyti darbuotojus apie pavojus.

Santrauka

Aiškus tekstas reiškia, kad duomenys yra perduodami arba saugomi nešifruotoje formoje ir gali būti lengvai perskaityti ar pakeisti, jei prieiga nėra tinkamai kontroliuojama. Daugeliu atvejų svarbi informacija turėtų būti siunčiama ir saugoma šifruota – naudojant TLS, E2E sprendimus ir gerą raktų tvarkymą. Tinkama saugumo praktika ir protokolų pasirinkimas ženkliai sumažina aiškiojo teksto pavojus tiek vartotojams, tiek organizacijoms.

Klausimai ir atsakymai

Klausimas: Kas yra aiškusis tekstas?

K: Ką reiškia terminas "in clear"?

K: Kuo paprastasis tekstas skiriasi nuo atvirojo teksto?

Klausimas: Ar atvirasis tekstas gali skirtis nuo aiškaus teksto?

K: Kokio tipo ryšio režimu duomenys siunčiami atviru tekstu?

K: Kokio tipo duomenys yra pažeidžiami, kai perduodami naudojant atvirąjį tekstą?

K: Kokia rizika kyla naudojant atvirąjį tekstą neskelbtinai informacijai perduoti?

Paieška pagal raidę