Fotografie, dokumenty, hesla i firemní komunikace dnes ukládáme do počítačů, telefonů a cloudových služeb. Jak ale zajistit, aby se k citlivým datům nedostal nikdo nepovolaný, ani když zařízení ztratíte nebo dojde k úniku dat? Řešením je šifrování. V článku si vysvětlíme, jak funguje šifrování dat na disku, v e-mailové komunikaci i v mobilních telefonech, jaké technologie se používají a proč patří mezi základní pilíře moderní kybernetické bezpečnosti.
Díky šifrování jsou data spolehlivě chráněná před neoprávněným přístupem a zneužitím, a to jak při jejich ukládání do zařízení, tak při jejich přenosu po internetu. Jindy normálně čitelná data se totiž prostřednictvím šifrování převedou na šifrovaný text, který je bez dešifrovacího klíče nepoužitelný.
Pro firmy je šifrování výrazně důležitější, než je tomu v případě jednotlivých uživatelů. Z pohledu kybernetických útočníků totiž představují mnohem atraktivnější cíl. Firemní systémy často obsahují databáze zákazníků, platební údaje, obchodní tajemství, smlouvy, interní komunikaci nebo přístupy k dalším službám. Úspěšný útok tak může útočníkovi přinést výrazně vyšší finanční zisk než napadení běžného uživatele.
Šifrování samozřejmě samo o sobě není zcela všespásné. Dokáže však spolehlivě zabezpečit data v následujících konkrétních situacích.
Přestože se jedná o robustní bezpečnostní nástroj, ani šifrování není všemohoucí, a i jeho ochrana má své limity. V následujících situacích vaše data už ochránit nedokáže.
Jeho princip vychází z převodu čitelného textu, který je též známý jako prostý text (anglicky plaintext, což v podstatě označuje nejjednodušší podobu daného textu před jeho zašifrováním), na zašifrovaný nečitelný text (opět jej označuje anglický termín, tentokrát ciphertext). Plaintext se převádí na ciphertext pomocí šifrovacího klíče (nejčastěji matematické operace známé jako algoritmus).
Tyto šifrovací algoritmy k zakódování textu využívají kryptografický klíč nebo určitou sadu sdílených matematických hodnot (nejčastěji eliptické křivky nebo třeba prvočísla). Bez odpovídajícího klíče pak nelze ciphertext dešifrovat zpět do původní podoby. Každému uživateli bez tohoto klíče se tak bude jevit jenom jako změť náhodných dat.
Šifrování dat můžeme obecně rozdělit do dvou skupin: šifrování v klidu a šifrování při přenosu. Oba sice mají stejný cíl, tedy ochranu citlivých informací před neoprávněným přístupem, liší se však situacemi, ve kterých data chrání.
Šifrování dat v klidu chrání data uložená v zařízení nebo na úložišti. Typicky se jedná například o obsah pevného disku v notebooku, soubory na serveru, firemní databáze, externí disky nebo cloudová úložiště. Tento typ šifrování chrání data zejména v případě fyzické ztráty zařízení, krádeže nebo neoprávněného přístupu k uloženým souborům.
V praxi se nejčastěji využívá jako:
Šifrování dat při přenosu chrání informace během jejich přenosu mezi zařízeními, aplikacemi nebo servery. Jeho cílem je zabránit tomu, aby někdo komunikaci odposlouchával, zachytával nebo pozměňoval.
Tento typ šifrování se využívá například při prohlížení webových stránek pomocí protokolu HTTPS, odesílání e-mailů, online videohovorech a chatové komunikaci, vzdáleném připojení do firemní sítě přes VPN nebo při přenosu dat mezi cloudovými službami.
Šifrování dat při přenosu je důležité zejména při používání veřejných nebo nedůvěryhodných sítí, například veřejných Wi-Fi připojení. Bez něho by totiž mohl útočník komunikaci relativně snadno odposlouchávat a získávat z ní citlivé informace.
Samotné šifrování uložených dat nestačí, pokud nejsou chráněna také během přenosu po Internetu. A naopak ani zabezpečený přenos neochrání data uložená v zařízení při jeho ztrátě nebo krádeži. Právě proto musí firmy kombinovat oba přístupy současně. Citlivá data tak zůstávají chráněná po celou dobu svého životního cyklu. Tento přístup je také součástí moderních bezpečnostních konceptů, jako je Zero Trust Architecture, kde se se předpokládá, že žádná část sítě není automaticky důvěryhodná.
Šifrování dat se dělí na 2 základní typy, kterými jsou symetrické a asymetrické šifrování. Oba přístupy fungují odlišným způsobem a každý z nich se hodí pro jiné situace. V praxi se navíc velmi často kombinují prostřednictvím takzvaného hybridního šifrování, které spojuje výhody obou metod.
Symetrické šifrování funguje na principu jednoho společného klíče, který slouží jak k zašifrování, tak následnému dešifrování dat. Odesílatel i příjemce tedy musí používat stejný tajný klíč a bezpečně si jej mezi sebou předat.
Hlavní výhodou symetrického šifrování je vysoká rychlost a nízká výpočetní náročnost. Díky tomu se velmi často používá pro šifrování velkých objemů dat nebo pro ochranu dat uložených na discích, serverech či v databázích.
Typicky se symetrické šifrování využívá v těchto situacích:
Nevýhodou tohoto přístupu je nutnost bezpečně sdílet šifrovací klíč mezi komunikujícími stranami. Pokud by útočník tento klíč získal, mohl by všechna data bez problémů dešifrovat.
Asymetrické šifrování využívá dvojici odlišných klíčů, a to veřejný klíč a soukromý klíč. Veřejný klíč lze bezpečně sdílet s ostatními uživateli a slouží k zašifrování dat. Dešifrování je následně možné pouze pomocí odpovídajícího soukromého klíče, který zůstává tajný.
Velkou výhodou asymetrického šifrování je proto právě skutečnost, že není potřeba bezpečně předávat jeden společný tajný klíč. Tento princip výrazně zvyšuje bezpečnost komunikace mezi uživateli, kteří se navzájem neznají nebo spolu komunikují přes internet.
Asymetrické šifrování se využívá například při:
Nevýhodou asymetrického šifrování je vyšší výpočetní náročnost. Ve srovnání se symetrickým šifrováním je pomalejší, a proto se pro šifrování velkých objemů dat běžně nepoužívá.
V současnosti se často využívá i hybridní šifrování, které kombinuje výhody obou předchozích přístupů. Asymetrické šifrování zde slouží především k bezpečné výměně šifrovacích klíčů, zatímco samotná data se následně šifrují rychlejším symetrickým algoritmem.
Právě tento princip dnes využívá většina moderních bezpečnostních technologií, například HTTPS, VPN připojení, zabezpečené komunikační aplikace nebo internetové bankovnictví.
Šifrovací algoritmy představují matematické postupy, které převádějí čitelná data na zašifrovanou podobu. Právě ony určují, jakým způsobem se data šifrují, dešifrují a jak vysokou úroveň zabezpečení dané šifrování poskytuje.
Jednotlivé algoritmy se pak od sebe liší především způsobem práce s klíči, rychlostí šifrování, výpočetní náročností i oblastmi použití. Obecně se opět rozdělují na symetrické a asymetrické algoritmy.
Mezi nejznámější symetrické algoritmy patří:
AES šifrování je dnes nejrozšířenějším standardem, který se používá například při šifrování disků, cloudových úložišť, VPN nebo Wi-Fi sítí.
Je moderní a velmi rychlý algoritmus optimalizovaný zejména pro mobilní zařízení a systémy s nižším výkonem.
Všeobecně pro oba tyto symetrické algoritmy platí, že se používají především tam, kde je potřeba efektivně a rychle chránit samotný obsah dat.
V současnosti nejpoužívanějšími asymetrickými algoritmy jsou následující.
Dlouhodobě jde o jeden z nejpoužívanějších algoritmů pro zabezpečenou komunikaci, digitální podpisy a výměnu klíčů.
Elliptic Curve Cryptography je modernější alternativa k RSA využívající eliptické křivky. Nabízí vysokou úroveň zabezpečení při menší velikosti klíčů a nižší výpočetní náročnosti.
Všeobecně se pak v praxi asymetrické algoritmy využívají hlavně pro digitální podpisy, ověřování identity, bezpečnou výměnu klíčů, PKI (Public Key Infrastructure) či zabezpečení HTTPS komunikace a certifikátů.
U mnoha šifrovacích algoritmů existuje více variant, které se od sebe liší především délkou šifrovacího klíče. Obecně platí, že čím delší klíč algoritmus používá, tím vyšší úroveň zabezpečení nabízí. Zároveň však obvykle roste také jeho výpočetní náročnost. Typickým příkladem je algoritmus AES a jeho varianty.
Jednotlivé varianty AES se liší primárně délkou klíče. Např. AES-128 používá 128bitový klíč, AES-256 zase 256 bitový a tak dále. Delší klíč znamená větší počet možných kombinací, a tedy i vyšší odolnost vůči pokusům o prolomení hrubou silou (takzvaným brute force útokům). Díky tomu AES-256 nabízí výrazně vyšší bezpečnostní rezervu než AES-128.
V praxi jsou však všechny 3 varianty dnes považovány za velmi bezpečné a jejich prolomení je při správné implementaci prakticky nereálné. Rozdíl mezi nimi proto nespočívá pouze v bezpečnosti, ale také ve výkonu a konkrétním případu použití:
Firmy a organizace proto obvykle volí konkrétní variantu podle citlivosti dat, regulatorních požadavků nebo výkonových možností infrastruktury.
Kromě délky klíče se mohou jednotlivé implementace AES lišit také takzvaným režimem šifrování. Jedním z nejpoužívanějších moderních režimů je AES-GCM (Galois/Counter Mode). Ten kromě samotného šifrování zajišťuje také ověření integrity dat. To znamená, že dokáže rozpoznat, zda byla data během přenosu nebo ukládání nějak změněna či poškozena.
Právě díky těmto výhodám se AES-GCM dnes velmi často využívá například v HTTPS komunikaci, VPN připojeních, cloudových službách nebo zabezpečených firemních systémech.
Postkvantová kryptografie (anglicky post-quantum cryptography, často označovaná zkratkou PQC) představuje novou generaci šifrovacích algoritmů navržených tak, aby odolaly i budoucím kvantovým počítačům. Ty by totiž v budoucnu mohly prolomit některé dnes běžně používané algoritmy, zejména RSA nebo ECC.
Mezi nejvýznamnější algoritmy tohoto typu v současnosti patří například Kyber (označovaný jako ML-KEM), který je určený pro bezpečnou výměnu klíčů, nebo Dilithium (ML-DSA), který slouží hlavně pro digitální podpisy a ověřování identity. Na rozdíl od současných metod, jako jsou RSA nebo ECC, jsou tyto algoritmy založené na odlišných matematických principech, které jsou považované za odolnější vůči útokům kvantových počítačů.
Přestože prakticky použitelný kvantový počítač zatím neexistuje, firmy i státní instituce se na tento přechod již postupně připravují. Např. americký úřad NIST (National Institute of Standards and Technology) v roce 2024 zveřejnil první oficiální postkvantové standardy a očekává se, že se tyto algoritmy budou v následujících letech postupně nasazovat do běžných bezpečnostních technologií, například HTTPS komunikace, VPN či digitálních certifikátů.
Šifrování není však pouze softwarovou záležitostí, významnou roli hraje také hardware zařízení. Ten může výrazně ovlivnit jak bezpečnost, tak i rychlost šifrovacích operací. Moderní počítače, servery i mobilní zařízení proto často obsahují specializované komponenty nebo instrukční sady, které šifrování urychlují a zároveň zvyšují jeho bezpečnost. Podívejme se na ty nejoblíbenější.
TPM (Trusted Platform Module) je speciální bezpečnostní čip na základní desce, který je navržený pro bezpečné ukládání kryptografických klíčů a citlivých dat. Klíče jsou v něm uložené tak, aby je nebylo možné jednoduše vyčíst ani při fyzickém přístupu k zařízení. Jednoduše řečeno tedy funguje jako trezor pro vaše hesla, dešifrovací klíče a digitální certifikáty. Díky tomu výrazně zvyšuje odolnost zařízení proti útokům spojeným s fyzickým přístupem.
Bezpečnost tohoto šifrování je ale úzce propojená i s důkladným zabezpečením firmwaru zařízení, jelikož kompromitovaný firmware by mohl ohrozit i samotné kryptografické operace.
Hardware Security Module je specializované hardwarové zařízení určené pro velmi bezpečnou správu kryptografických klíčů a provádění šifrovacích operací. Oproti TPM se používá především v enterprise prostředí, například v bankách, datových centrech nebo cloudových službách. Představuje totiž nejvyšší stupeň zabezpečení citlivých dat a digitální identity před neoprávněnou manipulací nebo krádeží.
AES-NI je sada instrukcí zabudovaná v procesorech Intel a AMD, která urychluje výpočty spojené s algoritmem AES. Hlavním přínosem této technologie je výrazně rychlejší šifrování a dešifrování dat při nižším zatížení procesoru.
ARM TrustZone je hardwarová technologie, která rozděluje zařízení na 2 oddělená prostředí, a to na bezpečnou a běžnou část systému. V praxi to znamená, že všechny citlivé operace (například práce s klíči) probíhají v izolovaném prostředí a zbytek systému k nim nemá přímý přístup. Tím se zvyšuje odolnost zařízení před malwarovými útoky a útoky na operační systém. Nejčastěji se technologie TrustZone používá v mobilních telefonech a tabletech.
Pro běžné firemní šifrování dnes není potřeba speciální hardware navíc, protože většina moderních zařízení už požadované technologie obsahuje. V praxi to však znamená, že si jejich přítomnost musíte pohlídat už při výběru, abyste je v počítači či jiném zařízení opravdu měli. Důležité je například:
V případě serverů či kritické infrastruktury zvážit pořízení HSM pro bezpečný key management.
Možnosti šifrování i konkrétní postup pro jeho zapnutí ve Windows závisí především na konkrétní edici Windows, kterou používáte. Od verze Windows 11 24H2 je sice šifrování zařízení (Device Encryption) fungující na principu BitLockeru již automaticky aktivní i na edici Home při čisté instalaci s účtem Microsoft. Uživatelé edice Home však nemají přístup k pokročilé správě BitLockeru, například ke skupinovým zásadám nebo šifrování vyměnitelných disků.
Po přepnutí se na obrazovce objeví upozornění o probíhajícím šifrování. Po ukončení tohoto procesu bude vaše zařízení zašifrováno.
Pokud ani tento základní postup není pro vaše zařízení dostupný, pravděpodobně v něm nemáte TPM čip nebo tento čip není povolený v BIOSu.
Poté zvolte možnost budoucího odemknutí disku a zazálohujte si obnovovací klíč.
Nyní se spustí proces šifrování disku, který chvilku zabere. Poté už je vybraný disk zašifrovaný.
Pokud nepotřebujete zašifrovat celé interní či externí disky, ale pouze určitý citlivý soubor nebo složku, i to je ve Windows možné. Opět to ale platí pouze pro vyšší edice (Pro, Enterprise a Education). V základní edici Windows Home následující postup nefunguje, protože jí chybí vestavěný nástroj Encrypting File System.
Složka nebo soubor je nyní zašifrovaná.
Přestože bývají často zaměňované, zaheslování a zašifrování dat jsou 2 odlišné věci. Rozdíl přitom spočívá nejen ve způsobu ochrany dat, ale i v úrovni zabezpečení.
Zaheslování totiž znamená pouze omezení přístupu k souboru nebo složce pomocí hesla. Samotná data však stále zůstávají uložená v čitelné podobě a při použití specializovaných nástrojů, uhodnutí či obejití hesla k nim může být stále možné získat přístup.
Naopak šifrování souborů data skutečně převádí do nečitelné podoby pomocí kryptografického algoritmu a šifrovacího klíče. Bez správného klíče pak není možné obsah souboru přečíst, a to ani v případě fyzického přístupu k disku nebo zařízení.
Jednoduše řečeno tedy zaheslování chrání pouze přístup k datům, zatímco šifrování složek „maskuje“ jejich datový obsah do jiné, nepoužitelné podoby. Právě proto je pro ochranu citlivých firemních informací šifrování výrazně bezpečnější variantou než pouhé zaheslování souborů, složek či zaheslování celého externího disku. Šifrování externího disku bude vždy vyšším stupněm jeho ochrany.
Šifrování mobilního telefonu většinou není potřeba aktivně řešit, protože většina moderních mobilních telefonů jej dnes využívá automaticky už z výroby. Platí to jak pro zařízení s Androidem, tak pro Apple iPhone s iOS. Uživatel proto ve většině případů nemusí šifrování nijak ručně zapínat. Důležité je ale používat bezpečný zámek obrazovky (PIN, heslo nebo biometriku).
Moderní telefony s Androidem využívají tzv. file-based encryption (FBE), tedy šifrování jednotlivých souborů pomocí oddělených kryptografických klíčů. Šifrovací klíče jsou obvykle chráněné specializovaným bezpečnostním prostředím v čipu zařízení, například pomocí ARM TrustZone nebo Trusted Execution Environment (TEE). Android zároveň využívá hardware-backed keystore, tedy hardwarově chráněné úložiště kryptografických klíčů.
Šifrování zařízení je standardní součástí operačního systému iOS. Ochrana dat je úzce propojená s technologií Secure Enclave, což je oddělený bezpečnostní subsystém integrovaný přímo v čipu zařízení. Ten uchovává kryptografické klíče odděleně od hlavního systému a zajišťuje, že se k nim nedostane ani samotný operační systém. Díky tomu jsou data chráněná i v případě kompromitace části zařízení.
U většiny moderních Android telefonů i všech aktuálních iPhonů je šifrování aktivní automaticky už po prvním nastavení zařízení. Podmínkou bývá aktivace zámku obrazovky pomocí PINu, hesla nebo biometrického ověření. V praxi to znamená, že data uložená v telefonu jsou při vypnutém nebo uzamčeném zařízení zašifrovaná a bez správného odemykacího údaje k nim nelze jednoduše získat přístup.
Pokud dojde ke ztrátě nebo odcizení telefonu, šifrování výrazně komplikuje přístup k uloženým datům. Útočník sice může zařízení fyzicky držet, bez správného PINu, hesla nebo biometrického ověření však zpravidla nedokáže získat přístup k obsahu interního úložiště.
Moderní mobilní zařízení navíc váží šifrovací klíče přímo na konkrétní hardware telefonu. To znamená, že k přečtení dat nestačí ani vyjmutí paměťového čipu nebo pokus o připojení úložiště k jinému zařízení.
Pro bezpečnou firemní i soukromou komunikaci je dnes důležité používat aplikace podporující end-to-end šifrování (E2E). Právě tento typ ochrany zajišťuje, že obsah zpráv vidí pouze komunikující strany a nikdo další, a to ani poskytovatel služby.
Mezi nejznámější aplikace využívající end-to-end šifrování patří například Signal nebo WhatsApp. Za bezpečnější variantu je přitom často považovaný právě Signal, který klade výrazný důraz na soukromí uživatelů a minimalizaci sběru metadat.
End-to-end šifrování znamená, že se zpráva zašifruje přímo na zařízení odesílatele a dešifruje se až na zařízení příjemce. Během přenosu po internetu zůstává obsah komunikace nečitelný pro kohokoli dalšího.
Naproti tomu u client-to-server šifrování je komunikace šifrovaná pouze mezi uživatelem a serverem poskytovatele služby. Server tedy zprávy přijme v dešifrované podobě a následně je znovu odešle příjemci. Tento model sice chrání komunikaci například proti odposlechu na veřejné Wi-Fi síti, provozovatel služby však stále může mít k obsahu zpráv přístup.
Rozdíl mezi těmito typy šifrování je proto zásadní, protože client-to-server sice chrání přenos dat, ale end-to-endchrání obsah komunikace i před samotným poskytovatelem služby.
Aplikace využívající E2E šifrování generují kryptografické klíče přímo v zařízení uživatele. Při odeslání zprávy se obsah zašifruje veřejným klíčem příjemce a dešifrovat jej lze pouze odpovídajícím soukromým klíčem uloženým v jeho zařízení.
V praxi tak nejenže nikdo nepřečte vaše zprávy během přenosu, ale ani případná kompromitace celého serveru automaticky neznamená únik vaší komunikace. Přesto je ale důležité myslet na to, že ani end-to-end šifrování nechrání například před malwarem v telefonu, odcizením odemčeného zařízení nebo phishingovými útoky.
Běžný e-mail sám o sobě není automaticky end-to-end šifrovaný. Přestože většina moderních e-mailových služeb dnes používá šifrování během přenosu (nejčastěji pomocí protokolu TLS), např. poskytovatel služby může mít k obsahu zpráv stále přístup.
Pokud tedy chcete zajistit vyšší úroveň soukromí a ochrany citlivé komunikace, musíte využít specializované služby zaměřené na šifrovaný e-mail. Příkladem může být Proton Mail.
Proton Mail využívá end-to-end šifrování, díky kterému jsou zprávy zašifrované přímo v zařízení uživatele a dešifrují se až u příjemce. Poskytovatel služby tak běžně nemá přístup k obsahu e-mailů ani k šifrovacím klíčům.
Velkou výhodou je, že většina šifrování probíhá automaticky na pozadí a vy díky tomu nemusíte ručně nastavovat kryptografické klíče ani certifikáty. Nesmíte ale zapomenout na to, že automatické šifrování typu end-to-end funguje pouze v případě, kdy z ProtonMailu posíláte e-mail jinému uživateli ProtonMailu.
Při komunikaci s běžnými e-mailovými službami se standardně během přenosu využívá TLS šifrování, které takto vysoký stupeň ochrany nenabízí (maily mohou být viditelné pro poskytovatele služeb a v tomto případě tedy pro ProtonMail a mailovou službu příjemce zprávy).
Velmi citlivé zprávy pro příjemce, který nepoužívá ProtonMail, je proto potřeba poslat alespoň jako šifrovaný e-mail chráněný heslem. V tomto případě je použito AES šifrování, díky čemu zprávu může přečíst pouze uživatel, který má správné heslo (tato funkce je standardní součástí služby ProtonMail).
Takový e-mail můžete poslat tak, že po napsání zprávy před jejím odesláním kliknete na ikonu zámku a nastavíte ke zprávě heslo.
Poté už stačí kliknout na Nastavit šifrování a zašifrovaný e-mail odeslat.
V praxi se šifrování Wi-Fi nastavuje už při prvotní konfiguraci routeru. Součástí tohoto nastavení je výběr typu zabezpečení a nastavení přístupového hesla k síti. Šifrování Wi-Fi představuje základní bezpečnostní opatření, které chrání bezdrátovou komunikaci před odposlechem a neoprávněným přístupem. Bez zapnutého šifrování by totiž mohl kdokoli v dosahu sítě zachytávat přenášená data nebo se k síti připojit bez oprávnění.
V současnosti se pro zabezpečení Wi-Fi sítě doporučuje používat minimálně šifrovací standard WPA2 či WPA2-PSK v kombinaci s algoritmem AES. Stále více se ale dostává do popředí také modernější standard WPA3, který byl představen v roce 2018. Jeho úkolem je reagovat na velký nárůst chytrých zařízení připojených do sítě a vylepšit ochranu citlivých dat či zabezpečení práce na dálku přes vzdálenou plochu. Naopak, starší protokoly WEP či WPA jsou dnes již považované za zastaralé a pro šifrování Wi-Fi byste je proto neměli používat.
Pokud tedy při výběru routeru do firmy zjistíte, že nabízí už i šifrovací standard WPA3, určitě nebude na škodu. Je ale nutné mít na paměti, že ne všechna zařízení v současné době tento standard podporují. Proto byste určitě měli od routeru chtít podporu smíšeného režimu WPA2/WPA3. Takto se všechna moderní zařízení s WPA3 budou moci připojit k tomuto standardu pro maximální zabezpečení a starší zařízení se připojí k WPA2, díky čemuž zůstanou s vaší sítí kompatibilní (router nastavený čistě na WPA3 by připojení těchto zařízení blokoval).
TLS je bezpečnostní protokol, který slouží k šifrování komunikace mezi 2 zařízeními, typicky internetovým prohlížečem uživatele a webovým serverem. Jeho úkolem je zajistit, aby data přenášená po internetu nebylo možné jednoduše odposlouchávat, měnit nebo zneužít. V praxi doplňuje další bezpečnostní vrstvy, například firewall, který zase kontroluje síťový provoz a zabraňuje neoprávněným připojením k síti.
Zkratka SSL pak označuje starší technologii, ze které dnešní TLS vychází. Přestože se dnes technicky používá především TLS, označení SSL se stále běžně používá například u SSL certifikátů nebo SSL zabezpečení webu.
Když uživatel otevře zabezpečený web, například internetové bankovnictví nebo firemní portál, prohlížeč a server mezi sebou nejprve ověří identitu serveru pomocí digitálního certifikátu. Následně si bezpečně vymění kryptografické klíče a vytvoří šifrované spojení. Od této chvíle pak probíhá veškerá webová komunikace v zašifrované podobě. Právě TLS dnes stojí za zabezpečením protokolu HTTPS, který využívá většina moderních webových stránek.
TLS šifrování dnes představuje základní ochranu při používání internetu. Chrání vás při přihlašování do účtů a zadávání hesel, online platbách, práci s firemními systémy, přenášení citlivých dokumentů nebo používání veřejných Wi-Fi sítí.
Bez správně nastaveného TLS zabezpečení by mohli útočníci komunikaci zachytávat nebo podvrhovat webové stránky s cílem získat vaše přihlašovací údaje. Je proto potřeba si ověřovat, zda je stránka zabezpečena či nikoliv.
Zabezpečené webové spojení poznáte podle několika znaků. V první řadě podle prefixu https:// v adresním řádku, ikony zámku před ním a platného digitálního certifikátu webu. Pokud web naopak používá pouze nezabezpečený protokol HTTP, komunikace není šifrovaná a přenášená data mohou být snadněji odposlouchávána nebo upravována.
Přesto je však důležité myslet na to, že ani samotné HTTPS automaticky nezaručuje důvěryhodnost webu. I podvodné stránky dnes mohou používat platný TLS certifikát, proto je vždy potřeba kontrolovat také samotnou doménu a myslet i na důvěryhodnost služby.
Přestože šifrování představuje jeden z nejdůležitějších bezpečnostních mechanismů současnosti, ani ono není bez omezení. Jeho účinnost totiž závisí nejen na kvalitě použité technologie, ale také na správném nastavení, správě klíčů či chování samotných uživatelů.
Jedním z největších rizik je ztráta šifrovacího klíče nebo přístupového hesla. Pokud totiž neexistuje záložní kopie klíče nebo jiný mechanismus obnovy, mohou být zašifrovaná data nenávratně ztracená. V takové situaci je pak důležité myslet i na bezpečné smazání dat z disku, protože samotné šifrování neřeší životní cyklus dat po jejich ukončení.
Šifrování může do určité míry zvyšovat výpočetní zátěž na zařízení, protože procesor musí průběžně provádět kryptografické operace. U moderních počítačů, telefonů a serverů je však tento dopad většinou minimální díky hardwarové akceleraci (například zmíněné AES-NI u procesorů Intel/AMD nebo bezpečnostním modulům v mobilních telefonech). Výraznější zpomalení se tak dnes objeví spíše u starších nebo výkonnostně slabších zařízení.
Ani silné šifrovací algoritmy nepomohou, pokud uživatel používá slabé heslo nebo nevhodně spravuje šifrovací klíče. Útočníci se totiž v praxi často nesnaží prolomit samotné šifrování, ale zaměřují se právě na kompromitaci hesel, recovery klíčů či jiných přístupových údajů.
Pokud je počítač nebo telefon napadený malwarem, spywarem nebo keyloggerem, může útočník získat přístup k datům ještě před jejich zašifrováním nebo až po jejich dešifrování. Šifrování samo o sobě proto nikdy nedokáže nahradit komplexní zabezpečení počítače.
Šifrování dat je dnes základním prvkem kybernetické bezpečnosti, který chrání citlivé informace při jejich ukládání i přenosu - ať už jde o firemní soubory na discích, komunikaci v e-mailech, chatovacích aplikacích nebo provoz na internetu. Využívá přitom matematické algoritmy a kryptografické klíče k tomu, aby byla data bez oprávnění nečitelná, přičemž moderní přístupy kombinují symetrické i asymetrické metody včetně hybridního šifrování.
Pro firmy je klíčové chápat, že samotné šifrování je nutná, ale nikoliv dostačující ochrana. Jeho účinnost závisí na správné implementaci, silných heslech, bezpečné správě klíčů a doplnění o další bezpečnostní opatření, jako je ochrana proti malwaru, phishingu či ransomwaru. Správně nastavené šifrování však výrazně snižuje riziko úniku dat při krádeži zařízení, útocích na infrastrukturu nebo při přenosu přes nedůvěryhodné sítě, a proto je dnes nezbytnou součástí moderní firemní kybernetické obrany.
Fotografie, dokumenty, hesla i firemní komunikace dnes ukládáme do počítačů, telefonů a cloudových služeb. Jak ale zajistit, aby se k citlivým datům nedostal nikdo nepovolaný, ani když zařízení ztratíte nebo dojde k úniku dat? Řešením je šifrování. Číst celý článek
VPN připojení dnes patří mezi základní nástroje kybernetické bezpečnosti. Umožňuje bezpečně přistupovat k firemním systémům na dálku, chrání citlivá data při práci mimo kancelář a snižuje rizika spojená s používáním veřejných či nedostatečně zabezpečených sítí. Číst celý článek
Barvy, kontrast i jemné detaily mohou na různých monitorech vypadat překvapivě odlišně. Zatímco běžný displej často stačí pro kancelářskou práci nebo sledování videí, při úpravě fotografií, grafice či tvorbě tiskových podkladů už nedostačuje. Číst celý článek
Celní orgány v České republice v průběhu let 2025 a 2026 zabavily přibližně 7 200 padělaných tonerových kazet pro laserové tiskárny HP. Kazety mířily na evropský trh a mohly skončit i ve vaší tiskárně. Jak se to stalo, proč je to nebezpečné a jak se chránit? Číst celý článek
Při nákupu stolního počítače je snadné přeplatit za výkon, který nikdy nevyužijete. Rozdíl mezi rozumnou a zbytečnou investicí přitom často tkví v jediné komponentě. Podívejte se, jak se orientovat v cenách procesorů, grafických karet, pamětí i úložišť. Číst celý článek
Firewall rozhoduje o tom, jaká komunikace se do vašeho zařízení dostane a co naopak zůstane zablokované. V článku se proto podíváme na to, jak firewall funguje, kde se s ním běžně setkáte a proč je lepší jej nechat většinou zapnutý. Číst celý článek
