網路防護的基本觀念為何？

加密是確保機敏資料及通訊不會遭人窺探的必要手段。加密可保護的範圍非常廣，例如：您電腦硬碟的檔案、網路銀行的連線階段、雲端儲存的資料、機敏電子郵件，以及許許多多其他應用。除此之外，加密也可提供資料一致性的驗證，以及資料來源的認證。 

加密基本上分成兩大類型：對稱式與非對稱式加密。

• 對稱式加密採用單一金鑰，這把金鑰既用於加密，也用於解密。所以這把金鑰必須與通訊的對方分享才能進行加密通訊。對稱式加密常見的演算法包括：Advanced Encryption Standard (AES)、Blowfish、Triple-DES (Data Encryption Standard) 等等。
• 非對稱式加密採用兩把不同的金鑰，一把是公開金鑰，一把是私密金鑰，兩把配成一對。這一對金鑰屬於某個使用者或服務所有：例如某個網站伺服器。一把金鑰用來加密，另一把用來解密。 
• 使用公開金鑰來將資料加密，可確保資料的機密性。這是因為唯有持有私密金鑰的人才能解開資料。
• 使用私密金鑰來將資料加密，可證明資料來源的真實性。當資料可以用公開金鑰成功解開時，意味著將資料加密的人必定是持有私密金鑰的人。公開金鑰的確是任何人都能公開取得。

第三個議題是雜湊值。儘管這並非加密，但仍有必要將它納入網路防護的探討當中。雜湊值是利用某種雜湊演算法對一段訊息進行運算之後所產生出的一個數值，該數值是從組成該訊息的所有位元產生而來。這些位元可以是資料、語音或視訊。產生雜湊值時並不會改變資料的內容，不像加密會將資料轉換成一種無法讀取的狀態。 

產生雜湊碼的用意是為了證明訊息沒有遭到篡改，進而確保資料的一致性，也就是與原始內容一致。單獨使用雜湊值，可以確保資料沒有意外遭到變更。

如果用非對稱式私密金鑰來將雜湊值加密，那可確保資料沒有被駭客惡意篡改。除非私密金鑰外洩，否則資料不可能遭到惡意修改。

只要金鑰沒有外洩，就代表產生雜湊值的人，必定是持有私密金鑰的人。此金鑰可以是對稱式金鑰 (有時也稱為私密金鑰) 或是非對稱式私密金鑰。

想要保護經由無線網路傳輸的資料、語音或視訊，不是一件容易的事。因為無線傳輸會釋放出訊號，因此駭客只要在訊號的範圍內就可能攔截到傳輸的資料。雖然目前無線傳輸已經有一些加密標準，但絕大部分都或多或少有些問題。

目前的無線加密標準有：WEP、WPA、WPA2 以及最新的 WPA3。

• Wired Equivalent Privacy (WEP) 採用 RC4 對稱式演算法來將無線傳輸加密。但很快就被駭客所破解，現在甚至還出現了一個非常好用的駭客工具叫做「WEP Crack」，專門用來破解 WEP。
• Wi-Fi Protected Access (WPA) 是為了取代 WEP 而生，但仍沿用 RC4 演算法。因此駭客只要對 WEP Crack 做些修改就能用來破解 WPA。
• WPA2 是 WPA 的第二版，共有兩種選擇：
  • 第一種是 WPA2-Personal，它使用了單一共享金鑰 (有時亦稱為安全金鑰)。這基本上是在設定無線連線裝置 (如筆電和手機) 時所輸入的 WPA 無線基地台密碼。駭客在 2017 年首次發現了一個名為「Key Reinstallation AttaCK (KRACK)」的漏洞。
  • 第二種是 WPA2-Enterprise，它透過一台集中的 Remote Authentication Dial-In User Service (RADIUS) 伺服器來認證使用者，藉此增加一道安全防護。此外，也採用 Extensible Authentication Protocol (EAP) 延伸式認證協定在本地端無線連線上傳輸認證資訊。RADIUS 與 EAP 加起來，就是所謂的 IEEE 802.1x 標準。

• WPA3 同樣也有兩種選擇：
  • WPA3-Personal 採用 128 位元加密金鑰來提升使用者的防護等級。如此可讓密碼的認證更加安全，就算使用者的密碼太過簡單而有安全疑慮也無妨。這是因為 WPA3-Personal 採用 Simultaneous Authentication of Equals (SAE) 對等實體同時驗證來取代 WPA2-Personal 使用的單一共享金鑰。   
  • WPA3-Enterprise[SM2] [TA(3] [SM4]  採用 192 位元加密金鑰來提供更好的安全性。這是 WPA2 的進一步強化，能讓整個企業套用一致的資安設定。