Qual a diferença entre Encoding, Encryption e Hashing? – criptografia hash encode

Pergunta:


Gostaria de entender a diferença entre Encoding, Encryption e Hashing e também exemplos de quando se usa um ou outro.

Autor da pergunta RodrigoBorth

Resposta Comunidade:

Definição simplista

  • Encoding: é a maneira com que os conjuntos de caracteres são mapeados e manipulados.
  • Encryption: é o processo de ser criptograr um dado (dado qualquer).
  • Hashing: é o processo de se gerar uma sequencia de bits baseados em um dado de entrada afim de identifica-lo unicamente.

Definição

  • Encoding: é a maneira com que os conjuntos de caracteres são mapeados e manipulados pelas máquinas, seja um software, seja um browser etc ex: No encoding ISO 8859-1 a letra “A” está na posição 65º (começando do zero) e pode ser representado no computador usando um único byte com valor de 65.
  • Encryption: é o processo de transformar informação usando um algoritmo de modo a impossibilitar a sua leitura a todos excepto aqueles que possuam uma informação particular, geralmente referida como chave. O resultado deste processo é informação encriptada.
  • Hashing: é o processo de se criar um hash que é uma sequência de bits geradas por um algoritmo de dispersão, em geral representada em base hexadecimal, representando um nibble cada. Essa sequência busca identificar um arquivo ou informação unicamente. Por exemplo, uma mensagem de correio eletrônico, uma senha, uma chave criptográfica ou mesmo um arquivo.

Exemplos

Encoding:

  • UTF-8: é um tipo de codificação Unicode de comprimento variável criado por Ken Thompson e Rob Pike. Pode representar qualquer carácter universal padrão do Unicode, sendo também compatível com o ASCII. Por esta razão, está lentamente a ser adaptado como tipo de codificação padrão para email, páginas web, e outros locais onde os caracteres são armazenados.
  • ISO 8859-1: é uma codificação de caracteres do alfabeto latino, a primeira parte da ISO 8859. Foi desenvolvida pela ISO, e posteriormente passou a ser mantida pela ISO e pela IEC.

Encryption:

  • DES: Fundamentalmente DES realiza somente duas operações sobre sua entrada: deslocamento de bits e substituição de bits. A chave controla exatamente como esse processo ocorre. Ao fazer estas operações repetidas vezes e de uma maneira não-linear, chega-se a um resultado que não pode ser revertido a entrada original sem o uso da chave.
  • IDEA: é um algoritmo de cifra de bloco que faz uso de chaves de 128 bits e que tem uma estrutura semelhante ao DES. Sua implementação em software é mais fácil do que a implementação deste último. Como uma cifra de bloco, também é simétrica. O algoritmo foi concebido como um substituto para o Data Encryption Standard (DES). IDEA é uma pequena revisão de uma cifra anterior, PES (Proposta Encryption Standard); idéia era originalmente chamado IPES (Improved PES).
  • RC4: é o algoritmo simétrico de criptografia de fluxo mais usado no software e utilizado nos protocolos mais conhecidos, como Secure Socket Layers (SSL) (para proteger o tráfego Internet) e WEP (para a segurança de redes sem fios). RC4 não é considerado um dos melhores sistemas criptográficos pelos adeptos da criptografia, e em algumas aplicações podem converter-se em sistemas muito inseguros.
  • Blowfish: é uma cifra simétrica de blocos que pode ser usado em substituição ao DES ou IDEA. Ele toma uma chave de tamanho variável, de 32 a 448 bits, tornando-o ideal para aplicações tanto domésticas, quanto comerciais.

Hashing:

  • MD5: é um algoritmo de hash de 128 bits unidirecional desenvolvido
    pela RSA Data Security, Inc., descrito na RFC 1321, e muito utilizado
    por softwares com protocolo ponto-a-ponto (P2P, ou Peer-to-Peer, em
    inglês) na verificação de integridade de arquivos e logins.
  • SHA: A família de SHA (Secure Hash Algorithm) está relacionada com as funções criptográficas (message digest). A função mais usada nesta família, a SHA-1, é usada numa grande variedade de aplicações e protocolos de segurança, incluindo TLS, SSL, PGP, SSH, S/MIME e IPSec. SHA-1 foi considerado o sucessor do MD5. Ambos têm vulnerabilidades comprovadas.

Fontes do próprio SOpt:

Tag criptografia

Tag hash

Tag character-encoding

Como fazer hash de senhas de forma segura?

Encoding, às vezes chamado de “serialização”, é pegar alguma informação (ex.: um conjunto de caracteres) e representá-la (“codificá-la”) por meio de uma sequência de símbolos (ex.: um array de bytes). Normalmente quando se fala em encoding se está referindo a character encoding (“codificação de caracteres”), que é como textos abstratos (sequências de Unicode Code Points) são expressos em bytes (seja pra transporte, seja para tratamento interno).

Encryption (encriptação, cifragem) consiste em transformar uma informação legível em outra ilegível (“indecifrável”) por todos exceto aquele que possui um segredo capaz de decifrá-la (chamado de “chave”). A informação encriptada pode ser transformada de volta na informação original, seja com a mesma chave usada para encriptar (criptografia simétrica, ex.: AES, 3DES) ou com uma chave distinta (criptografia assimétrica, ex.: RSA, ECC).

Hashing (“função de embaralhamento criptográfico”) é o processo de converter um dado de tamanho arbitrário em um dado de tamanho fixo, de forma que seja impraticável: a) descobrir o dado original a partir do dado hasehado (resistência a pré-imagem); b) dado um hash e sua origem, encontrar dados diferentes do mesmo que produzam o mesmo hash (resistência à segunda pré-imagem); c) produzir com facilidade dados diferentes que produzam o mesmo hash (resistência a colisão).

A principal diferença entre encryption e hashing é que o primeiro processo é reversível e o segundo não é. Os usos de funções de hash incluem:

  • Identificar unicamente um arquivo, como apontado na resposta do Ricardo Henrique:
    • Se o hash é resistente a colisões, pode-se usar essa função para rapidamente descobrir se dois arquivos quaisquer dentro de um conjunto maior são iguais (ex.: você tem uma pasta com 50.000 arquivos do mesmo tamanho e quer saber quais estão duplicados; em vez de compará-los todos dois a dois, você hasheia todos e verifica quais têm o hash igual).
    • Se o hash é resistente à segunda pré-imagem, e o hash de um arquivo é conhecido, então não se pode [facilmente] produzir outro que possua o mesmo hash, de modo que isso pode ser usado para garantir a integridade do arquivo.
      • Mais, se você usou uma chave criptográfica em conjunto com o hash, além da integridade pode-se garantir a autenticidade do arquivo. Ver HMAC.
  • Provar que um certo dado é idêntico a outro, sem a necessidade de armazenar esse dado. Muito usado no armazenamento de senhas: se seu BD só contém hashes [resistentes à pré-imagem], um atacante que veja uma cópia do mesmo não consegue descobrir a senha original. E quando um usuário quer se autenticar com o site, este pode recriar o hash da senha e comparar ambos os hashes para ver se coincidem. Se coincidirem, então é muito provável que a senha seja idêntica àquela cadastrada pelo usuário.
    • Note que conhecer somente o hash não ajuda o atacante em nada – pois o que é usado como credencial de autenticação não é o hash, e sim algo que após hasehado seja igual àquele hash. Enquanto o atacante não encontrar esse “algo”, ele não pode personificar aquele usuário.

Um exemplo em que todos os três são usados seria: eu tenho um texto na memória do computador, e quero salvar em um arquivo que só eu consiga acessar. Primeiro eu codifico esse texto em UTF-8, depois eu encripto os bytes resultantes usando uma chave que só eu conheça (derivada de uma senha, por exemplo, ou salva em algum lugar seguro, como um dispositivo removível) e por fim eu hasheio os bytes encriptados de modo que quando eu for decriptar esse arquivo no futuro eu possa ter certeza de que ninguém mexeu nele (o hash também tem de ser salvo num lugar seguro, pra eu comparar com o hash do arquivo no futuro, mas não importa o tamanho do arquivo o hash só terá uns poucos bytes).

Fonte

Related Posts:

Qual a diferença entre AppCompatActivity e Activity? – android android-activity
Pergunta: Qual a diferença da AppCompatActivity para Activity ? A partir de qual versão a AppCompatActivity foi adicionada ao Android? Autor da pergunta Luhhh A diferença reside ...
Como abreviar palavras em PHP? – php string
Pergunta: Possuo informações comuns como nome de pessoas e endereços, e preciso que elas contenham no máximo 30 caracteres sem cortar palavras. Exemplo: 'Avenida Natalino João Brescansin' ...
Qual é a finalidade de um parêntese vazio numa declaração Lambda? – c# expressões-lambda característica-linguagem
Pergunta: Criei um exemplo de uma declaração Lambda sem argumentos, entretanto, estou com duvidas referente a omissão do parêntese vazio () na declaração. Veja o exemplo: class ...
Boas práticas para URI em API RESTful – api rest restful
Pergunta: Estou com dúvida em relação às URIs de alguns recursos da api que estou desenvolvendo. Tenho os recursos projetos e atividades com relação 1-N, ...
Dúvidas sobre a integração do MySQL com Java – java mysql netbeans
Pergunta: Estou criando um sistema no NetBeans, utilizando a linguagem Java e o banco de dados MySQL. Escrevi o seguinte código para realizar a conexão ...
Qual é a finalidade da pasta Model do framework Inphinit? – php inphinit
Pergunta: No Inphinit micro-framework existe a pasta Model que fica dentro da pasta application, e nela é onde ficam as classes, mas eu estou muito ...
Uso do ‘@’ em variáveis – javascript typescript coffeescript
Pergunta: Vejo em algumas linguagens que compilam para javascript, como TypeScript e CoffeeScript, o uso do @ em variáveis, como também, casos em que o ...
Qual tamanho máximo um arquivo JSON pode ter? – json arquivo
Pergunta: Vou dar um exemplo para conseguir explicar minha duvida: Preciso recuperar informação de imagens vindas de uma API, esse banco de imagens me retorna JSON's ...
O que é Teste de Regressão? – terminologia engenharia-de-software testes
Pergunta: Na matéria de Teste de Software o professor abordou um termo chamado Teste de Regressão, isto dentro da disciplina de teste de software. Sendo ...
O que é um construtor da linguagem? – php característica-linguagem
Pergunta: Em PHP, já li e ouvi várias vezes a respeito dos Construtores da Linguagem. Os casos que sempre ouvi falar deles foi em casos ...
Função intrínseca para converter numérico para string – cobol
Pergunta: Estou a tentar saber se existe alguma função intrínseca do COBOL para converter um data numérico para string sem precisar usar a cláusula REDEFINES: ( ...
Porque usar implements? – java android
Pergunta: Qual a diferença entre usar btn.setOnClickListener(new OnClickListener() { e public class MainActivity extends Activity implements OnClickListener{ Estive fazendo um curso de Android e meu professor falou que ...
O que é XHTML e quando deve ser usado? – html xml xhtml
Pergunta: O que eu sei é que o XHTML precisa ser XML válido. Isso implica, por exemplo, que todas as tags precisam ser fechadas. Por ...
Uma placa aceleradora de vídeo pode melhorar o desempenho não-gráfico? [fechada] – desempenho
Pergunta: Para desenvolver em Ruby on Rails, eu utilizo aqui uma máquina virtual do VirtualBox com Ubuntu Server 14.04 sem interface gráfica instalada. Recentemente descobri uma ...
Concat() VS Union() – c# .net
Pergunta: Qual a diferença entre Concat() e Union() ? Quando usar Concat() e quando usar Union() ? Somente pode ser usado em list ? ...

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *