Šifrování – co to je a proč ho potřebujete?

Šifrování je proces přeměny čitelných dat (tzv. plaintext) na nečitelnou formu (ciphertext) pomocí matematického algoritmu a klíče. Data lze zpět přečíst pouze s odpovídajícím dešifrovacím klíčem. Bez něj vypadá zašifrovaný text jako náhodný shluk znaků.

Šifrování je základním stavebním kamenem moderní digitální bezpečnosti – bez něj by nebylo možné bezpečné online bankovnictví, důvěrná komunikace ani ochrana uložených dat.

Symetrické šifrování

Symetrické šifrování používá jeden a tentýž klíč pro šifrování i dešifrování. Odesilatel data zašifruje, příjemce je dešifruje – oba musí znát stejný tajný klíč.

Výhodou je rychlost: symetrické algoritmy jako AES (Advanced Encryption Standard) jsou výpočetně nenáročné a vhodné pro šifrování velkých objemů dat (soubory, disky). AES-256 (délka klíče 256 bitů) je průmyslový standard považovaný za bezpečný pro dohlednou budoucnost.

Nevýhodou je sdílení klíče: jak bezpečně předat klíč příjemci, aniž by ho někdo odchytil? Tento problém řeší asymetrické šifrování.

Asymetrické šifrování

Asymetrické šifrování (kryptografie veřejného klíče) pracuje se dvěma klíči: veřejným a soukromým. Co jeden klíč zašifruje, druhý (a jedině druhý) dešifruje.

Veřejný klíč můžete sdílet s kýmkoliv. Kdo vám chce poslat zašifrovanou zprávu, použije váš veřejný klíč. Dešifrovat ji dokáže pouze váš soukromý klíč, který nikomu nesdílíte.

Algoritmy jako RSA nebo modernější eliptická kryptografie (ECC) jsou základem pro zabezpečení webového provozu (TLS), digitálních podpisů nebo výměnu klíčů při navazování šifrovaného spojení.

V praxi se obě metody kombinují: asymetrické šifrování slouží k bezpečné výměně symetrického klíče, symetrickým klíčem pak probíhá samotný přenos dat.

End-to-end šifrování (E2EE)

End-to-end šifrování zajišťuje, že obsah zprávy nebo souboru může přečíst pouze odesílatel a příjemce – žádný mezistupeň (ani server poskytovatele aplikace) k datům přístup nemá.

V praxi to funguje tak, že každý uživatel má svůj pár klíčů. Zpráva se zašifruje veřejným klíčem příjemce přímo na odesílatelově zařízení. Server ji přenáší, ale přečíst ji nemůže. Příjemce zprávu dešifruje svým soukromým klíčem na vlastním zařízení.

End-to-end šifrování nabízejí například aplikace Signal nebo WhatsApp (pro standardní zprávy). Běžný e-mail E2EE standardně nevyužívá.

Kde se šifrování v praxi potkáte

HTTPS a TLS – kdykoliv vidíte v prohlížeči ikonku zámku, komunikace mezi vaším prohlížečem a webem je šifrována pomocí protokolu TLS. Online bankovnictví (ČSOB, Česká spořitelna, Air Bank), e-shopy i portály jako Portál občana nebo datová schránka HTTPS vyžadují.

VPN – virtuální privátní síť šifruje veškerý internetový provoz mezi vaším zařízením a VPN serverem. Podrobně vysvětleno v průvodci Co je VPN a k čemu ji potřebujete?.

Správci hesel – vaše hesla jsou v trezoru šifrována (zpravidla AES-256), přičemž dešifrování probíhá až na vašem zařízení po zadání hlavního hesla. Ani provozovatel správce hesel tedy vaše hesla v čitelné podobě nevidí. Více v Co je správce hesel? Jak funguje a proč ho používat.

Šifrování disku – nástroje jako BitLocker (Windows) nebo FileVault (macOS) zašifrují celý pevný disk. Pokud vám někdo ukradne laptop, bez přihlašovacích údajů se k datům nedostane.

Šifrované zprávy – komunikační aplikace s E2EE chrání obsah konverzací před odposloucháváním.

Limity šifrování

Šifrování chrání data na cestě nebo v klidu, ale neřeší vše:

• Šifrování neochrání hesla, která prozradíte phishingové stránce – útočník je získá v dešifrované podobě přímo od vás.
• Pokud útočník kompromituje vaše zařízení malwarem, může číst data ještě před jejich zašifrováním.
• Silné šifrování je zbytečné, pokud je šifrovací klíč slabý nebo špatně chráněný.

Šifrování je tedy nezbytná vrstva ochrany, ale nikoliv záruka absolutní bezpečnosti.