Asymmetrisk kryptering bygger på användningen av ett nyckelpar bestående av en publik och en privat nyckel. Den publika nyckeln kan distribueras öppet, medan den privata nyckeln hålls strikt hemlig av ägaren.
En central egenskap är att data som krypteras med den ena nyckeln endast kan dekrypteras med den andra. Detta möjliggör säker kommunikation över osäkra nätverk utan att en hemlig nyckel behöver delas i förväg.
Asymmetrisk kryptering används inte primärt för att kryptera stora datamängder, utan för att lösa tre centrala problem inom säker kommunikation:
- Säker nyckeldistribution
- Autentisering av parter
- Digital signering och verifiering av data
Låt oss annalysera exemplet nedan.
- Alice vill skicka ett meddelande till Bob. För att säkerställa konfidentialitet (endast Bob kan läsa meddelandet) använder Alice Bobs publika nyckel för att kryptera meddelandet.
- Bob använder sedan sin privata nyckel för att dekryptera det. Detta innebär att endast Bob kan läsa innehållet.
Bob kan dock vilja verifiera att meddelandet verkligen kommer från Alice.
För detta används en digital signatur. Alice signerar meddelandet med sin privata nyckel, och Bob verifierar signaturen med Alices publika nyckel. På så sätt kan Bob säkerställa att meddelandet faktiskt kommer från Alice.
Avsändarens privata nyckel används alltså för att signera data, och signaturen kan verifieras av mottagaren med avsändarens publika nyckel. Detta används för autentisering och digitala signaturer.
Asymmetriska algoritmer kan därmed tillhandahålla:
- datakonfidentialitet
- autentisering
- dataintegritet
Grundprincip
Eftersom ingen gemensam hemlig nyckel delas i förväg krävs längre nyckellängder för att uppnå tillräcklig säkerhet. I praktiken används nyckellängder från 2048 bitar och uppåt, medan kortare nycklar anses osäkra i moderna system..
Den publika nyckeln distribueras till andra parter, medan den privata nyckeln aldrig lämnar ägaren.
För att skicka ett krypterat meddelande till en mottagare måste avsändaren ha tillgång till mottagarens publika nyckel. Meddelandet krypteras med denna och kan endast dekrypteras med mottagarens privata nyckel.
Asymmetrisk kryptering används ofta för nyckelutbyte, autentisering och säkra anslutningar (t.ex. HTTPS)
Asymmetriska kryptoalgoritmer
Nedan följer en uppdaterad översikt av centrala algoritmer, inklusive både moderna och legacy:
| Algoritm | Beskrivning | Status / användning |
|---|---|---|
| Diffie-Hellman (DH) | En nyckelutbytesalgoritm som gör det möjligt för två parter att komma överens om en gemensam hemlig nyckel över ett osäkert nätverk. Säkerheten bygger på svårigheten att lösa diskreta logaritmer. |
Legacy i klassisk form. Förekommer i äldre VPN- och TLS-miljöer. |
| Elliptic Curve Diffie-Hellman (ECDH / ECDHE) | En modern variant av Diffie-Hellman baserad på elliptisk kurvkryptografi. ECDHE ger temporära nycklar och stöd för Perfect Forward Secrecy. |
Modern standard i TLS, HTTPS och många VPN-lösningar. |
| Rivest, Shamir och Adleman (RSA) | En publiknyckelalgoritm baserad på svårigheten att faktorisera mycket stora tal. Kan användas för kryptering, nyckelutbyte och digitala signaturer. |
Fortfarande vanlig, särskilt för certifikat och digitala signaturer. |
| Digital Signature Standard (DSS) / Digital Signature Algorithm (DSA) | DSS specificerar DSA som algoritm för digitala signaturer. DSA bygger på diskreta logaritmer och används för signering och verifiering. |
Legacy. Används sällan i moderna implementationer. |
| ElGamal | En asymmetrisk algoritm baserad på Diffie-Hellman-principer. Den kan användas för kryptering och signering, men krypterad data blir ofta betydligt större än originalet. |
Begränsad användning. Främst relevant historiskt och teoretiskt. |
| Elliptisk kurvkryptografi (ECC) | En familj av asymmetriska metoder baserade på elliptiska kurvor. Ger hög säkerhet med kortare nyckellängder än traditionella algoritmer som RSA. |
Modern och rekommenderad. Används i TLS, VPN, mobila system och IoT. |
Exempel på Asymmetrisk Kryptering:
Flera centrala säkerhetsprotokoll använder asymmetriska nyckelalgoritmer som en del av sina kryptografiska mekanismer:
- Internet Key Exchange (IKE) – en grundläggande komponent i IPsec, används för att etablera och hantera säkra nycklar i VPN-anslutningar.
- Secure Socket Layer (SSL) – en äldre standard som har ersatts av Transport Layer Security, vilket används för att säkra webbtrafik (HTTPS).
- Secure Shell (SSH) – används för att etablera säkra fjärranslutningar till nätverksenheter och servrar.
- Pretty Good Privacy (PGP) – används för att tillhandahålla kryptering och digitala signaturer, främst inom säker e-postkommunikation.
Prestanda och användningsområden
Som tidigare nämnts är asymmetriska algoritmer betydligt långsammare än symmetriska algoritmer. Detta beror på att de bygger på komplexa matematiska problem, såsom:
- faktorisering av mycket stora tal (t.ex. RSA)
- beräkning av diskreta logaritmer (t.ex. Diffie-Hellman)
På grund av denna beräkningskomplexitet används asymmetrisk kryptering normalt inte för att kryptera stora datamängder. Istället används den i kryptografiska funktioner med låg datavolym, såsom:
- nyckelutbyte
- digitala signaturer
- autentisering
En viktig fördel är att nyckelhanteringen förenklas jämfört med symmetrisk kryptering. Eftersom en av nycklarna (den publika) kan distribueras öppet, elimineras behovet av att på förhand dela en hemlig nyckel mellan parterna.
Sammanfattning
- Asymmetrisk kryptering används i centrala säkerhetsprotokoll
- Den är beräkningsmässigt tung men mycket flexibel
- Används främst för nyckelutbyte och autentisering
- Möjliggör säker kommunikation utan att en hemlig nyckel behöver delas i förväg