Вхід і реєстрація
Блоги · 11 серпня 2025, 17:00 1786
Дем'яненко Олексій, CEO в Avolutech

Еволюція шифрування даних. Мій досвід впровадження від MD5 до ECC

Вітаю, спільното! Мене звати Олексій, я працюю у сфері Cyber Security вже 15 років. За цей час довелося пройти справжню еволюцію криптографічних рішень — від застарілих алгоритмів до сучасних криптографічних стандартів. Сьогодні хочу поділитися практичним досвідом впровадження різних методів шифрування та розповісти про ті помилки, які робились на початку шляху.

Якщо ви працюєте з безпекою даних, розробляєте системи по аутентифікації або просто цікавитесь криптографією — ця стаття буде цікавою для вас. Розповім про реальні кейси, з якими стикався особисто, та поділюся практичними рекомендаціями щодо вибору алгоритмів шифрування.

MD5 та перші помилки

Пам’ятаю свій перший проєкт — невелика e-commerce платформа. Тоді MD5 здавався цілком прийнятним рішенням для хешування паролів користувачів. Швидкий, простий у реалізації, широко підтримуваний — що ще потрібно початківцю?

// Наш «надійний» код

$hashedPassword = md5($password . $salt);

Проблеми з’явилися через пів року після запуску. Хакери зламали одну з найбільших баз даних, де використовувався MD5, і rainbow tables для цього алгоритму стали загальнодоступними. Тепер таке рішення опинилася в зоні ризику.

Перший урок був таким: MD5 вже не є безпечним для криптографічних цілей. Алгоритм розроблений у 1991 році, і його вразливості були відомі ще з 2004 року.

Перехід на SHA-256

Наступним кроком стало впровадження SHA-256. Це було коли ми працювали над фінтех-проєктом. Вимоги до безпеки були значно вищими, тому ми не могли дозволити собі зайві експерименти.

SHA-256 належить до сімейства SHA-2, розробленого NSA у 2001 році. На той момент це був золотий стандарт криптографічного хешування. Довжина хешу 256 біт забезпечувала достатній рівень безпеки проти атак грубою силою.

Проте швидко з’ясувалося, що SHA-256 має свої нюанси використання. Головна проблема — швидкість виконання. Сучасні GPU можуть обчислювати мільярди SHA-256 хешів за секунду, що робить алгоритм вразливим до атак підбору.

Другий важливий урок: швидкість алгоритму може бути його слабкістю. Для хешування паролів потрібні спеціально розроблені «повільні» алгоритми.

Відкриття bcrypt

Далі, працюючи над наступною платформою (дані користувачів вимагали високого рівня захисту), ми вперше використали bcrypt. Цей алгоритм змінив моє розуміння криптографії паролів.

bcrypt розроблений спеціально для хешування паролів. Його головна особливість — адаптивна складність. Можна налаштувати кількість раундів обчислень, роблячи алгоритм повільнішим і стійкішим до атак.

async function hashPassword(password) {
    const saltRounds = 12; // Адаптуємо під потужність сервера
    return await bcrypt.hash(password, saltRounds);
}

Практичний досвід показав, що bcrypt з 12 раундами забезпечує оптимальний баланс між безпекою та продуктивністю. На сервері один хеш обчислювався приблизно 250 мілісекунд — достатньо швидко для користувача, але занадто повільно для зловмисника.

Цікавий кейс — під час навантажувального тестування з’ясувалося, що bcrypt може стати вузьким місцем системи. Довелося реалізувати асинхронну обробку автентифікації та кешування сесій для оптимізації продуктивності.

Далі був RSA

Мікросервісна архітектура принесла новий виклик — необхідність захищеного обміну даними між різними сервісами. Симетричне шифрування вимагало складного управління ключами, тому ми звернулися до RSA.

RSA (Rivest-Shamir-Adleman) — один з перших алгоритмів відкритого ключа, розроблений у 1977 році. Його краса в простоті концепції: два ключі (відкритий і закритий), де дані, зашифровані одним ключем, можна розшифрувати лише іншим.

RSA 2048 біт здавався надійним рішенням, але подальше використання показало його недоліки. Головна проблема — продуктивність. Шифрування великих обсягів даних було неприйнятно повільним. Довелося думати над гібридним підходом: RSA для обміну симетричними ключами, AES для шифрування самих даних.

AES для забезпечення GDPR

Далі в ланцюжку був Advanced Encryption Standard. Цей алгоритм, прийнятий NIST у 2001 році, продемонстрував ідеальний баланс між безпекою та продуктивністю.

Ми мали виконати приналежність до стандарту GDPR. Тому, AES-256 в режимі GCM став нашим вибором.

AES-GCM забезпечує не лише конфіденційність, але й автентичність даних. Це критично важливо для фінансових транзакцій. Практичний досвід показав, що AES-256 може обробляти гігабайти даних за секунди на звичайному сервері.

Цікавий досвід був в тому, що під час аудиту безпеки виявилося, що ми неправильно генерували nonce (одноразові числа). Повторне використання nonce в AES-GCM призводить до катастрофічної втрати безпеки. Довелося вносити зміни в модуль генерації ключів.

PGP: професійний інструмент для захисту електронної пошти

Окреме місце займає захист документообігу з жорсткими вимогами: кінцеве шифрування, цифрові підписи, сумісність з існуючими системами.

Pretty Good Privacy (PGP) став очевидним вибором. Розроблений Філом Ціммерманном у 1991 році, цей стандарт досі залишається золотим для захисту електронної пошти та файлів.

PGP використовує гібридний підхід: комбінацію симетричного та асиметричного шифрування. Для кожного повідомлення генерується унікальний сеансовий ключ, який шифрується відкритим ключем отримувача.

Практичне впровадження PGP виявилося складнішим за очікування. Головна проблема — управління ключами. У великій організації з сотнями співробітників підтримка актуальної бази відкритих ключів стає серйозним викликом.

Ми реалізували власний keyserver на базі OpenPGP, але швидко зрозуміли важливість Web of Trust. Довіра до ключів повинна будуватися поступово, через перехресні підписи та особисту верифікацію.

ECC: майбутнє криптографії

Elliptic Curve Cryptography стала нашим найновішим відкриттям в останні декілька років. Працюючи над мобільним застосунків для IoT-пристроїв, ми зіткнулися з жорсткими обмеженнями на споживання енергії та обчислювальні ресурси.

ECC забезпечує той самий рівень безпеки, що й RSA, але з використанням коротших ключів. Ключ ECC довжиною 256 біт еквівалентний за безпекою ключа RSA довжиною 3072 біти.

Практичні переваги ECC стали очевидними одразу. Час генерації ключів скоротився в 10 разів порівняно з RSA. Розмір цифрових підписів зменшився вдвічі. Споживання енергії на мобільних пристроях знизилося на 40%.

Особливо вражає в цьому випадку швидкість операцій ECDH (Elliptic Curve Diffie-Hellman) для обміну ключами. У нашому IoT-застосунку встановлення захищеного з’єднання займає десятки мілісекунд, гарний результат, як на мене.

Квантова загроза: далекі часи чи завтрашнє майбутнє

2024 рік приніс мені нове усвідомлення — наближення ери квантових комп’ютерів. IBM, Google та інші гіганти активно розвивають квантові технології, які можуть зруйнувати всю сучасну криптографію відкритого ключа.

Алгоритм Шора, реалізований на потужному квантовому комп’ютері, зможе зламати RSA та ECC за поліноміальний час. Це змушує нас вже сьогодні думати про те, що «стара» криптографія у досяжній перспективі стане не актуальною.

NIST активно стандартизує нові алгоритми, стійкі до квантових атак. Kyber для обміну ключами, Dilithium для цифрових підписів — ці назви скоро стануть такими ж звичними, як RSA та AES.

Практичні рекомендації: що використовувати сьогодні

Базуючись на власному досвіді, можу дати такі рекомендації.

Для хешування паролів: використовуйте bcrypt, scrypt або Argon2. Уникайте MD5, SHA-1 та навіть SHA-256 для цих цілей.

Для симетричного шифрування: AES-256 в режимі GCM залишається золотим стандартом. Для високопродуктивних застосунків розгляньте ChaCha20-Poly1305.

Для асиметричного шифрування: ECC (SECP256R1 або SECP384R1) для нових проєктів. RSA-3072 для сумісності зі старими системами.

Для цифрових підписів: ECDSA або Ed25519 для швидкості, RSA-PSS для сумісності.

Для обміну ключами: ECDH або X25519. Уникайте класичного Diffie-Hellman.

Помилки, яких варто уникати

За роки роботи я зібрав колекцію найпоширеніших помилок.

  1. Власні криптографічні реалізації. Ніколи не пишіть криптографічні алгоритми самостійно. Використовуйте перевірені часом та досвідом бібліотеки.
  2. Слабкі джерела випадковості. Псевдовипадкові числа з rand() неприйнятні для криптографії. Використовуйте криптографічно стійкі генератори.
  3. Повторне використання nonce. Критична помилка, яка може повністю скомпрометувати безпеку.
  4. Зберігання ключів у коді. Ключі повинні зберігатися в окремих конфігураційних файлах або HSM.
  5. Ігнорування управління ключами. Ротація, резервне копіювання та відкликання ключів так само важливі, як і алгоритми шифрування.

Інструменти та бібліотеки

Для практичної роботи рекомендую:

  • OpenSSL — універсальна криптографічна бібліотека.
  • Bouncy Castle — для Java та C#.
  • Cryptography — для Python.
  • Crypto — для Node.js.
  • Ring — для Rust.

Уникайте застарілих бібліотек та тих, що не мають активної підтримки та community.

Майбутні тенденції

Криптографія продовжує еволюціонувати. Основні тренди, які я бачу вже зараз:

  1. Пост-квантова криптографія стане мейнстримом у найближчі 5-10 років.
  2. Гомоморфне шифрування дозволить обчислення над зашифрованими даними.
  3. Криптографія на основі ґраток замінить алгоритми на основі факторизації.
  4. Zero-knowledge proofs революціонізують автентифікацію.

Висновки

Еволюція від MD5 до ECC показала мені, що криптографія — це не лише математика, але й мистецтво балансування між безпекою, продуктивністю та зручністю використання. Кожен алгоритм має свою нішу, і успішний інженер безпеки повинен розуміти не лише технічні деталі, але й практичні аспекти впровадження.

Головний урок, який я зрозумів для себе: криптографія — це процес, а не продукт. Алгоритми застарівають, з’являються нові загрози, змінюються вимоги. Важливо залишатися в курсі останніх розробок та не боятися мігрувати на нові рішення, коли це необхідно.

Пам’ятайте: найкраща криптографія та, яку ви розумієте та правильно впроваджуєте. Краще використовувати прості, перевірені рішення, ніж складні алгоритми з помилками в реалізації.

Сподіваюся, мій досвід буде корисним для української IT-спільноти. Безпека даних — це не лише технічне питання, це питання довіри користувачів та стабільності бізнесу. Інвестуйте в криптографічну грамотність вашої команди — це окупиться сторицею.

Сподобалась стаття? Підписуйтесь на автора, щоб отримувати сповіщення про нові публікації на пошту.

Теми: Security, шифрування
👍ПодобаєтьсяСподобалось12
До обраногоВ обраному2
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Volodymyr 11.08.2025 18:01

Шось якось дуже дивно подано, я маю на увазі с точки зору практичного досвіду.
Виглядає так, наче під задачу пхали першу строчку с гугла (якшо старе рішення не заходило)

За хеши — їх в рази і рази більше, у кожного свої переваги відносно конкретної задачі. Взагалі не сказали про blake2 (який не сказав би що сильно молодий і криптостійкість там налаштувати можна під будь які потреби). Стрибок від MD5 до SHA-256 виглядає дуже дивно, якшо ви робите великі фінтех-продукти для систем з нульовими затримками, то у вас в проєкт буде ціле дерево різних способів хешування (особливо якщо це розподілена стійка до збоїв система), так как обмазати все одним не вийде (вийде тільки якшо навантаження дуже малі чи доречні великі затримки)

За шифрування — для надійності вже придумані і протестовані стандарти TLS. Це якась біда — кожен придумує своє «мега надійне рішення» (про тих хто пише і криптографію свою, не будемо навіть згадувати) з яким потім працювати іншим людям (комбо якщо писали одні люди, а підтримувати будуть інші). В TLS вже все продумали, і обмін ключами, і безпечне потокове шифрування з плаваючими ключами, і підтримку векторів, і підписи і так далі. І саме головне воно працює в єдиній так сказати інфраструктурі і юзачи корневий сертифікат фірми можна безпечно проводити ротацію ключів для всіх рішень (випускаючи навіть з 10 коліна нащадків), не переймаючись за безпеку з цього боку.

За IoT — мені даже цікаво шо там за пристрій, і що за процесор, що завезли асиметричне на векторах без оверхеду (тобто реалізоване на рівні ядра). Криптографія це давно не новина і зазвичай зараз випускають мікроконтролери які мають вбудовані на рівні заліза рішення що до криптозадач. Тобто програмна реалізація sha1 виконуеться за 10мс, а вшита за 0.5мс. На сьогодні якщо не юзати зовнішній криптографічний чіп, то зазвичай е реалізації AES та RSA. В нових (від 2023 десь) попадеться ECC але не часто (в китайських чіпах зазвичай). Взагалі з залізом роблять якнаймога легше, зазвичай рукостискання асиметричне, а вже весь обмін на AES

---

В цілому стаття цікава, но однобока. Досвіди з практики — так, а ось як поради що до роботи — точно ні. (остання частина, особливо з «інструментами» взагалі виглядає як згенеровано нейронкою)

Відповісти
Підтримати
Victor Mylokum Dev Leader of ApriorIt в Apriorit 11.08.2025 17:41

Чудова стаття, але прямо хочеться докинути пару улюбленних посилань про всяк випадок:

1. OWASP Cheat-sheet
Маленький і зручний путівник по світу сек’юріті в одному місці:
cheatsheetseries.owasp.org/index.html

Є тут і по темі паролів теж:
cheatsheetseries.owasp.org/...​_Storage_Cheat_Sheet.html

2. NIST Transitioning the Use of Cryptographic Algorithms and Key Lengths
nvlpubs.nist.gov/...​IST.SP.800-131Ar3.ipd.pdf

Відповісти
Підтримати

Підписатись на коментарі

Не підписуватись
Скористайтесь акаунтом
×
з умовами використання сайту і політикою конфіденційності.