网站开发工程师发展趋势,遂溪手机网站建设,西安百度推广优化,网店网页制作工具前言
此次不深入源码、不分析原理、只厘清一些易混淆概念及其关联。 本次将从通信演变历史的角度出发#xff0c;一步步阐述概念及其作用。 通过本篇文章#xff0c;你将了解到#xff1a; 1、明文通信 2、密文通信 3、对称加密 4、非对称加密 5、消息摘要 6、数字签名 7、…前言
此次不深入源码、不分析原理、只厘清一些易混淆概念及其关联。 本次将从通信演变历史的角度出发一步步阐述概念及其作用。 通过本篇文章你将了解到 1、明文通信 2、密文通信 3、对称加密 4、非对称加密 5、消息摘要 6、数字签名 7、CA与数字证书 8、总结 1、明文通信
大部分时候咱们交流都是靠嘴对嘴信息完全暴露在他人的耳朵里。
拉拉家常无关紧要但要是涉及重要、私密的信息就不能这样子了。 此时可能想到那我们就说悄悄话吧。
2、密文通信
悄悄话只能是俩人近距离才能实现若是天各一方怎么才能将信息安全送给对方呢 大家或多或少地看过谍战片那会儿卧底如何将信息传给组织呢答案是通过密码本。
双方约定好用一个密码本密码本其实是个映射关系 1、发送方通过密码本将明文信息转为不易被理解的信息称为密文。 2、接收方接收到密文后通过密码本映射关系反推出明文。 此时双方通信是经过加密的我们称为密文通信。第三者想要破解信息就需要拿到密码本或是破译出密码本映射关系从而将密文转为明文。
3、对称加密
随着科学技术的发展人们的交流由书信逐渐过渡为电子通信。
当我们在键盘上敲击一段文字后这段信息会通过网络发送给对方怎么保证这段信息不被别人轻易知道呢 我们想到了加密双方在传输信息前商量好一个密钥发送方用密钥将信息进行加密形成密文后再发送接收方在收到密文后使用之前协商的密钥进行解密。 因为加密明文、解密密文使用同一个密钥我们称此种加密方式为对称加密方式。 举个简单例子
小明现在将信息进行对称加密 1、设定密钥为X。 2、设定加密算法为将每个字符X。 3、假设采用密钥 X1。 那么将明文hello每个字符1得出如下结果 hello—ifmmp
小红拿到密文ifmmp后她知道密钥X1因此她将密文每个字符-1得出如下结果 ifmmp—hello
至此小明和小红成功进行了交流。
此时小刚想知道小明和小红聊了啥于是截获了信息 但是由于小刚拿到的是密文信息ifmmp。因为不知道密钥因此无法反推出明文hello。因此小明和小红的信息交流安全得到了保证。
当然对称加密算法没那么简单常见的对称加密算法有如下几种 1、DES(Data Encryption Standard) 数据加密标准强度比较低容易被破解目前使用比较少。 2、3DES(TDEATriple Data Encryption Algorithm) 三重数据加密算法是DES的增强版对一块数据使用3个不同的密钥加密。 3、AES(Advanced Encryption Standard) 高级加密标准当前主流的对称加密算法。 4、RC4 流加密算法由Ron Rivest 大神设计的。 5、Blowfish 块加密算法由Bruce Schneier 大神设计的。 6、SM4 分组密码算法由我国设计并由国家密码管理局发布。 似乎使用对称加密就可以解决咱们通信安全问题但引入了另一个问题 小明和小红如何约定对称加密的密钥呢 \color{Red}{小明和小红如何约定对称加密的密钥呢} 小明和小红如何约定对称加密的密钥呢
4、非对称加密
是否有种方式可以光明正大地传递信息呢 答案是非对称加密。 1、非对称加密有两个密钥一个是公钥(public key)另一个是私钥(private key)。 2、用公钥加密后的密文只能由私钥来解密。 3、用私钥加密后的密文只能由公钥来解密。 4、公钥可以公布出来供其他人使用而私钥却是需要保密不能被别人获取。 因加密与解密使用的不是同一个密钥故此种公私钥加密方式称为非对称加密。 接着来看看小明和小红如何使用非对称加密来实现安全通信。 小明和小红分别生成自己的公私钥 1、小红将自己的公钥告诉小明。 2、小明使用小红的公钥加密后发送给小红。 3、小红使用自己的私钥来解密得出明文。 由上可知用小红的公钥加密的信息只能由小红的私钥解开只要小红的私钥没有泄漏那么小明和小红的通信是安全的。 当然了真正非对称加密算法并没有那么简单常见的几种非对称加密算法 1、DSA(Digital Signature Algorithm)是 Schnorr 和 ElGamal 签名算法的变种。 2、ECC(Elliptic Curves Cryptography)椭圆曲线密码编码学。 3、DH算法一般用于密钥交换。 4、RSA(Ron RivesAdi ShamirLeonard Adleman三位大神一起提出的命名取姓氏开头字母。RSA 既可以交换密钥也可以用作数字签名是流行最广的非对称加密算法。 5、消息摘要
小明和小红的通信真是安全的吗 此时小刚又来搞事情了 1、因为小红的公钥是公开的意味着小刚也能拿到公钥。 2、小刚截获了小明发送给小红的信息虽然小刚不能解密但是他可以伪造信息。 3、小刚将伪造好的信息用小红的公钥发送小红。 4、此过程中小明和小红都不知道小刚的存在然而小刚背地里暗戳戳地替换了信息。 以上信息表明 1、即使是密文信息也容易被伪造。 2、小刚这种行为是中间人攻击(Man-in-the-MiddleAttack MITM)。 小明和小红一合计想出来了一个办法 1、小明使用Hash算法将明文进行哈希生成消息摘要。 2、小明将明文用小红的公钥加密并和消息摘要一起发给小红。 3、小红收到信息后先用私钥解密解密出来的明文使用Hash算法生成消息摘要并与小明发过来的消息摘要对比若是一致则表明消息没被更改。 消息摘要(Message Digest)特点 1、通过消息摘要算法将一组不定长的源信息生成定长的目标信息。 2、不同的源信息生成的目标信息不一致。 常见的消息摘要算法MD5、SHA1。
6、数字签名
虽然采用了消息摘要但是小刚依然能够自己伪造信息并生成对应的消息摘要小红收到后验证摘要是正确的便认为是小明发的这种做法还是有漏洞。 在前边用到了小红的公钥、私钥而没用到小明的公钥、私钥。 在消息摘要的基础上想办法让小明的公私钥也参与到通信过程中来 1、小明将公钥告诉小红。 2、小明将消息摘要使用自己的私钥加密并使用小红的公钥加密明文两者一并发给小红。 3、小红收到信息后先用自己的私钥解密出明文然后将加密过后的消息摘要使用小明的公钥解密。 4、对比消息摘要是否一致。 与消息摘要过程对比此时多了一个步骤 用小明的私钥加密消息摘要。 用私钥加密的信息的过程我们称之为数字签名 数字签名具有不可抵赖性的特点。根据前面的描述用私钥加密的信息只有对应的公钥才能解开。 因此若是小红使用了小明的公钥解开了密文那么说明该消息肯定是小明发过来的。反之小明使用私钥加密后发出去代表这信息是确认是自己发的这就是他的签名。
常见的数字签名算法RSA、DSA、ECDSA。 老规矩用图来看看小明与小红如何使用数字签名的。
小明发送信息过程
小红处理信息过程
由上可知 数字签名有两个作用 1、证明消息是某个确定的实体发送的。 2、证明消息是没有被串改。 整个流程小明的公私钥、小红的公私钥都参与了。 因为小刚没有小明的私钥所以他无法生成小明的数字签名最终无法通过小红对数字签名的验证。
7、CA与数字证书
这么看来小刚是无能无能为力了非也 回顾一下之前说的对称加密的痛点如何传递对称密钥 实际上非对称加密也存在问题如何传递公钥 可见无论是对称加密还是非对称加密都需要解决密钥传递问题。
若是小刚伪造了小红的公钥情况如下 1、小明在获取小红公钥的时候被小刚替换为自己的公钥。 2、小明用小刚的公钥(他以为是小明的)对信息进行加密并用自己的私钥对摘要做数字签名。 3、小刚收到信息后用自己的私钥解密。 4、小刚用小明的公钥加密并用自己的私钥对摘要进行数字签名。 5、同样的方式小刚也欺骗了小红。 6、最后小刚愉快地当着中间人… 因为公钥被伪造了所以小刚可以为所欲为。 小明如何才能知道自己收到的公钥是小红的呢 这时候就需要引入权威机构CA(Certificate Authority) 证书授权中心
有了CA小红发布公钥的流程变了 1、小红将自己的公钥提交给CA。 2、CA 确认小红的身份信息比如组织机构、姓名、城市等。 3、将以上信息和小红的公钥用CA的私钥进行签名生成数字证书。 4、证书返给小红。 用图表示如下
图上5个步骤有些同学对第4步不太理解 小明验证小红的证书因为证书是CA签过名的那么需要CA的公钥来解密那么CA 的公钥又是如何传给小明的 似乎又回到了原点如何安全传递公钥的问题。 其实信任是有起点的。 CA 不仅为他人生成证书也生成自己的证书CA 为自己生成的证书里包含了CA的公钥。 CA 的证书在电脑、手机等设备出场的时候就会预置在系统里、浏览器里。
因此当小明验证小红的证书时会在系统里寻找能够解开小红证书的CA 公钥若是找到则说明小明证书的颁发机构是可信任的既然信任了该证书那么从证书里取出的公钥小明也认可是小红的。 至此小红的公钥就安全地传给了小明后面就可以愉快地通信了。
系统里找不到对应的证书会有什么影响大家还记得12306网站刚开始运行的时候用浏览器访问时浏览器会提醒说该网站不受信任12306提示用户安装自己的根证书。 这也从侧面说明了咱们不要轻易更改系统里的证书。
8、总结
对称加密存在密钥传送被泄漏的风险非对称加密虽然不需要传递私钥但是需要传递公钥也存在被中间人攻击的风险。 为此引入了CA 生产证书解决了非对称加密公钥传递问题。
然后非对称加密速度慢适合加密数据量少的信息对称加密速度快适合加密数据量大的信息。 如何将对称加密与非对称加密结合起来打造一个安全的通信链路下篇我们将重点分析其中的典型SSL/TLS 的原理与应用。
您若喜欢请点赞、关注您的鼓励是我前进的动力
