基础 | 安全 - [加密]

INDEX

      • [§1 加密类型](#§1 加密类型)
        • [§1.1 对称加密](#§1.1 对称加密)
        • [§1.2 非对称加密](#§1.2 非对称加密)
        • [§1.3 混合加密](#§1.3 混合加密)
        • [§1.4 摘要算法](#§1.4 摘要算法)
        • [§1.5 数据证书](#§1.5 数据证书)

§1 加密类型

§1.1 对称加密

即加密解密的秘钥是一样的,报文用什么加密就需要用什么解密
优点:快,模型简单
缺点:安全性查,秘钥需要通讯双方公有,若秘钥泄漏,等同于不加密:

  • 报文因为有秘钥加密,所以安全了
  • 但是秘钥本身的传输并不安全
  • 而有了秘钥就能解密所以报文也不安全
§1.2 非对称加密

即加密、解密使用的秘钥是不一样的

  • 秘钥分为两把:公钥、私钥
  • 两把秘钥成对出现
  • 每对秘钥中,公钥加密私钥可解,私钥加密公钥可解

优点:安全,即使秘钥泄露也
缺点:运算速度慢

用法:

  • 信息加密:用 A 的公钥加密消息,只有 A 的私钥可以解密,A 的私钥一定在自己手上,解密成功说明消息就是发给 A 的。则 B -> A 的消息相当于做了加密
  • 身份认证:用 A 的私钥加密消息,只有对应的 A 的公钥可以解密,如果解密成功,说明消息是 A 发出的,相当于 A 给消息做了签名:这消息我发的

实际使用过程中,以 A->B 发消息为例,需要保证下面个事才是一定安全

  • 消息是 A 发出的
  • 消息是发给 B 的

过程如下

  • A 持有自己的私钥和 B 的公钥
  • B 持有自己的私钥和 A 的公钥
  • A 用自己的私钥做加密,只有 A 的公钥可解,保证的消息是 A 发的
  • A 用 B 的公钥加密,只有 B 的私钥可解,保证消息是发给 B 的
§1.3 混合加密

用非对称加密的方式加密对称加密的秘钥,以同时获取对称加密的快速以及非对称加密的安全性

§1.4 摘要算法

将消息经过摘要算法得到一个字符串,即数据指纹

  • 一般是 hash 算法
  • 得到一个固定长度的 hash 串,无论报文长度,此串长度固定
  • 更改任意一点报文后,得到的 hash 串的内容一般都会有很大的差别
  • 上述过程是不可逆的(但可以通过暴力映射,所谓的破解一部分)

如果传输前后,数据指纹不一致,说明传输后得到的内容和期望的不同

  • 可能是数据在网络传输的过程中出现了错误
  • 可能是数据在网络传输的过程中被拦截并被伪造

优点:简单,可以保证传输前后数据一致(但注意这里的传输只是保证了网络传输本身)
缺点:单独使用安全性差,需要结合其他加密方式

用法(数据签名):

  • A 需要发送 123 给 B

  • 123 经过摘要算法得到数据指纹,比如 202CB962AC59075B964B07152D234B70

  • 原报文和数据指纹组成完整报文,并发送给 B

    复制代码
    123
    202CB962AC59075B964B07152D234B70
  • B 得到报文,拆出数据指纹和原始报文 123

  • 用同样的摘要算法计算原始报文,结果与数据指纹比较,一致说明传输过程没有问题

上面的用法中,若有人拦截了通信,修改了报文与签名是依然可以通过的。因此摘要算法需要结合其他加密方式使用:

  • A 需要发送 123 给 B

  • 123 经过摘要算法得到数据指纹,比如 202CB962AC59075B964B07152D234B70

  • 数据指纹使用非对称加密得到密文,比如 abc

  • 原报文和数据指纹的密文组成完整报文,并发送给 B

    复制代码
    123
    abc
  • B 得到报文,拆出数据指纹的密文 abc 和原始报文 123

  • B 对 abc 进行非对称解密得到数据指纹 202CB962AC59075B964B07152D234B70

  • 用同样的摘要算法计算原始报文,结果与数据指纹比较,一致说明传输过程没有问题

§1.5 数据证书

非对称加密中存在另一个问题,公钥私钥是成堆出现的,公钥是公开的,主要用于解决"消息是发给谁的"问题

但公开的公钥安全性本身是由漏洞的,在于公钥的伪造,以 A -> B 通信为例:

  • A 要给 B 发信息,需要获取 B 的公钥
  • A 从网络上获取 B 的公钥
    • 获取公钥的请求被拦截
    • 拦截的请求里返回了 C 的公钥
    • A 把 C 的公钥当做了 B 的公钥
  • A 用 B 的公钥(实际是 C 的公钥)加密信息,发送给 B
  • 此请求被 C 拦截
    • C 用自己的私钥解密,得到了原始信息
    • C 用 B 的公钥加密,发送给 B
    • 于是 A -> B 的通信确实完成了,但通信内容被 C 所知,同时 AB 双方无感

为解决此问题需要引入数据证书,数据证书就是为了解决 公钥的信任 的问题

数据证书由证书认证机构(CA,Certificate Authority)颁发

在完整的传输过程中,数据签名和数据证书是都需要携带的

相关推荐
浩浩测试一下3 分钟前
SQL注入高级绕过手法汇总 重点
数据库·sql·安全·web安全·网络安全·oracle·安全架构
极小狐4 小时前
极狐GitLab 项目功能和权限解读
运维·git·安全·gitlab·极狐gitlab
国科安芯5 小时前
面向高性能运动控制的MCU:架构创新、算法优化与应用分析
单片机·嵌入式硬件·安全·架构·机器人·汽车·risc-v
迷路的小绅士7 小时前
常见网络安全攻击类型深度剖析(四):跨站脚本攻击(XSS)——分类、漏洞利用与前端安全防护
前端·安全·web安全
自由鬼7 小时前
开源漏洞扫描器:OpenVAS
运维·服务器·安全·网络安全·开源·漏洞管理
Python_金钱豹8 小时前
Text2SQL零代码实战!RAGFlow 实现自然语言转 SQL 的终极指南
前端·数据库·sql·安全·ui·langchain·机器人
广东航连科技8 小时前
银行网点款箱交接权限认证开锁与密钥时效双重监控
物联网·安全·银行·精细化管理·锁控·智能锁·款箱
迷路的小绅士8 小时前
网络安全概述:定义、重要性与发展历程
网络·安全·web安全
胡八一11 小时前
如何在 Dialog 中安全初始化 ECharts 并自动监听容器大小变化
前端·安全·echarts
virelin_Y.lin13 小时前
系统与网络安全------弹性交换网络(2)
网络·安全·web安全·链路聚合·lacp·eth-trunk