对称和非对称加解密、数据签名、数字证书、HTTPS

NacoStack
120 阅读12分钟

一、加密解密

        加密解密是信息安全领域中常用的概念。加密是将原始数据通过特定的算法和密钥转换为看似随机的字符序列,从而隐藏原始数据的内容,使其在传输或存储过程中不易被未经授权的人获取。解密则是将加密后的数据还原为原始数据的过程,需要使用相应的密钥和算法进行操作。

加密和解密在许多场景中都扮演着重要角色,以确保信息的保密性和完整性。一些常见的应用包括:

  1. 通信安全:在互联网传输过程中,加密可以保护敏感信息,如密码、信用卡信息等,使得黑客难以窃取这些数据。
  2. 数据存储:加密可以确保存储在设备或云端的数据不易被未授权的访问者获取,即使设备丢失或被盗。
  3. 身份验证:加密技术可以用于保护用户的身份验证信息,防止恶意者冒充他人身份。

加密解密技术涉及到多种算法和方法,有对称加密和非对称加密两种主要类型。在对称加密中,同一个密钥用于加密和解密数据。而在非对称加密中,有一对密钥,一个用于加密,另一个用于解密,其中一个密钥是公开的,另一个是保密的。

        总之,加密解密是信息安全领域中的重要概念,用于保护数据的机密性和安全性。

1.1 对称加密

        对称加密是一种加密方法,它使用相同的密钥对数据进行加密和解密。在对称加密中,发送者使用密钥将原始数据转换为加密数据,而接收者使用相同的密钥将加密数据还原为原始数据。这个密钥必须保密,因为任何知道该密钥的人都可以解密数据。

对称加密的特点包括:

  1. 快速高效:对称加密通常速度较快,适合用于加密大量数据。
  2. 简单:相对于非对称加密,对称加密的算法相对简单,计算开销较小。
  3. 密钥管理:由于需要共享同一个密钥,密钥管理可能会变得复杂,尤其在多方通信时需要确保密钥的安全传递。
  4. 安全性:密钥的保密性非常重要,如果密钥泄露,攻击者可能能够解密数据。

常见的对称加密算法包括:

  • AES(高级加密标准) :目前广泛使用的对称加密算法之一,安全性和效率都很高。
  • DES(数据加密标准) :早期的对称加密算法,现在已经不再推荐使用,因为它的密钥长度相对较短,容易受到暴力破解。
  • 3DES(三重数据加密算法) :对DES进行了多次迭代来增强安全性,但相对而言速度较慢。

        虽然对称加密在保护数据的机密性方面非常有效,但由于需要共享密钥,密钥管理和分发可能会带来一些挑战。因此,在某些情况下,非对称加密(使用不同的密钥进行加密和解密)和其他安全技术可能会被用来解决这些挑战。

1.2 非对称加密

        非对称加密是一种加密方法,它使用一对密钥(公钥和私钥)来进行加密和解密。与对称加密不同,非对称加密的加密密钥和解密密钥是不同的,且其中一个密钥可以公开共享(公钥),而另一个密钥必须保密(私钥)。

具体而言,非对称加密的公钥用于加密数据,而对应的私钥用于解密数据。这意味着任何人都可以使用公钥来加密消息,但只有持有相应私钥的人才能解密消息。因此,非对称加密提供了更高的安全性,无需在通信过程中共享私钥。

非对称加密的特点包括:

  1. 安全性高:由于私钥是保密的,即使攻击者获得了公钥,也无法轻易解密加密数据。
  2. 密钥分发:相对于对称加密,非对称加密不需要共享密钥,因此密钥分发和管理相对简单。
  3. 数字签名:非对称加密常用于数字签名,用于验证数据的来源和完整性。
  4. 性能较慢:与对称加密相比,非对称加密的计算速度较慢,不适合加密大量数据。

常见的非对称加密算法包括:

  • RSA(Rivest-Shamir-Adleman) :一种常用的非对称加密算法,用于加密和数字签名。
  • DSA(Digital Signature Algorithm) :主要用于数字签名,不适用于加密数据。
  • ECC(Elliptic Curve Cryptography) :通过椭圆曲线运算实现的非对称加密算法,具有较高的安全性和性能。

非对称加密在保护数据安全、数字签名以及身份验证等领域具有重要作用,但由于性能限制,通常会与对称加密结合使用,以平衡安全性和性能要求。

二、数字签名

        数字签名是一种用于验证数字信息完整性、来源和认证性的技术。它使用了非对称加密算法来创建一个加密的数字标记,这个标记与特定的文档或数据相关联,可以用来证明该文档或数据未被篡改,并且确实是由特定的发送者创建或授权的。

数字签名的过程如下:

  1. 生成密钥对:发送者生成一对非对称加密密钥,其中包括一个私钥(保密)和一个公钥(公开)。
  2. HASH运算生成摘要:发送者用hash函数对发送的数据运算得到一个摘要。
  3. 签名发送者使用私钥对摘要进行加密,从而创建一个唯一的数字签名。
  4. 验证接收者使用发送者的公钥对接收到的数字签名进行解密,得到一个哈希值。 然后,接收者会自己计算接收到的数据的哈希值。如果两个哈希值匹配,那么数字签名被验证为有效,这表明数据未被篡改,并且是由发送者创建的。

数字签名在以下场景中发挥重要作用:

  • 数据完整性:接收者可以验证数据是否在传输过程中被篡改,因为任何修改数据的尝试都会使数字签名失效。
  • 认证来源:数字签名能够确保数据的来源是合法的,因为只有拥有私钥的发送者才能创建有效的数字签名。
  • 抗抵赖性:发送者不能否认创建了数字签名,因为只有他们拥有私钥。

数字签名常用于电子文档、软件分发、身份验证、在线交易等领域,以确保数据的安全性和可信度。通过数字签名,接收者可以确认数据的真实性,而发送者则无法否认其行为。

三、数字证书

        数字证书是一种用于在互联网上验证和保护信息传输安全的技术。它是一种电子文件,通常由受信任的第三方机构(称为证书颁发机构或CA)签发。数字证书用于确认在网络通信中的各种实体的身份,如网站、个人或组织。

数字证书包含以下信息:

  1. 主体信息: 这是证书所代表的实体的身份信息,可能是一个网站的域名、个人的电子邮件地址等。
  2. 公钥: 这是与证书主体相关联的公钥,用于加密和解密数据。
  3. 证书颁发机构信息: 这是颁发数字证书的证书颁发机构的信息,包括名称、联系方式等。
  4. 有效期: 证书的有效期限,指明了证书何时过期。
  5. 数字签名: 证书颁发机构使用其私钥对证书信息进行数字签名,以确保证书的完整性和真实性。

在使用数字证书进行安全通信时,以下过程发生:

  1. 客户端访问服务器: 当客户端(例如浏览器)尝试连接到一个使用SSL/TLS(安全套接层/传输层安全)协议的服务器时,服务器会将其数字证书发送给客户端。
  2. 客户端验证证书: 客户端会检查证书的有效性,包括证书是否由受信任的证书颁发机构签发,是否在有效期内等。
  3. 数字签名验证: 客户端使用证书颁发机构的公钥解密数字签名,以验证证书的完整性和真实性。
  4. 建立安全连接: 如果证书有效且经过验证,客户端会生成一个用于加密数据传输的随机密钥,并使用服务器的公钥进行加密,然后将其发送给服务器。服务器可以使用自己的私钥解密该密钥,从而建立安全连接。
  5. 安全通信: 一旦安全连接建立,客户端和服务器之间的数据传输将会加密,从而保护敏感信息免受恶意攻击者的窃听和篡改。

总之,数字证书是一种关键的安全工具,用于确保在网络通信中的身份验证和数据保护。

3.1 数字签名与数字证书的使用过程

数字签名与数字证书的使用过程

四、CA证书颁发机构

        CA证书颁发机构是"Certificate Authority"(证书颁发机构)的缩写。它是一种负责发行、验证和管理数字证书的受信任的机构。CA证书颁发机构在互联网通信中起着至关重要的作用,确保了安全通信和身份验证的过程。

CA证书颁发机构的职责包括:

  1. 证书签发: CA负责生成数字证书,其中包括了一个实体(如网站、个人或组织)的身份信息、公钥和其他相关信息。
  2. 身份验证: 在签发证书之前,CA会对申请证书的实体进行身份验证,以确保其合法性和真实性。
  3. 数字签名: CA会使用其私钥对证书信息进行数字签名,以保证证书的完整性和真实性。
  4. 证书撤销: 如果证书的私钥被泄露或其他安全问题发生,CA可以撤销证书,使其不再有效。
  5. 证书管理: CA负责维护证书的数据库和管理,以及对证书的更新和续期。

网站和应用程序可以通过从受信任的CA证书颁发机构获取数字证书,来确保其通信的安全性和可信度。当用户访问一个使用SSL/TLS协议的网站时,浏览器会检查该网站的数字证书,以确保它是由受信任的CA签发的,从而保障用户数据的安全传输。

总之,CA证书颁发机构在构建安全互联网通信中起着关键作用,帮助确保身份验证、数据加密和信息保护。

四、HTTPS

我们都知道 HTTP 协议都是明文传输内容,为了保证数据传输的安全,HTTPS 协议就应运而生了,但它其实并不是一个全新的协议,而是HTTP 协议基本之上 再加上SSL/TLS 协议。

因此当你访问一个支持 https 的网站时,是需要先进行 SSL/TLS 握手建立连接的。

SSL/TLS 握手的目的是为了 安全 地协商出一份对称加密的密钥,有了这个密钥之后,后续的数据全部使用这个密钥进行加密。

4.1 HTTPS加密过程

        HTTPS在传输的过程中会涉及到三个密钥:

  • 服务器端的公钥和私钥,用来进行非对称加密
  • 客户端生成的随机密钥,用来进行对称加密

        一个HTTPS请求实际上包含了两次HTTP传输,可以细分为8步

  1. 客户端向服务器发起HTTPS请求,连接到服务器的443端口
  2. 服务器端有一个密钥对,即公钥和私钥,是用来进行非对称加密使用的,服务器端保存着私钥,不能将其泄露,公钥可以发送给任何人。
  3. 服务器将自己的公钥发送给客户端。
  4. 客户端收到服务器端的公钥之后,会对公钥进行检查,验证其合法性,如果发现发现公钥有问题,那么HTTPS传输就无法继续。严格的说,这里应该是验证服务器发送的数字证书的合法性,关于客户端如何验证数字证书的合法性,下文会进行说明。如果公钥合格,那么客户端会生成一个随机值,这个随机值就是用于进行对称加密的密钥,我们将该密钥称之为client key,即客户端密钥,这样在概念上和服务器端的密钥容易进行区分。然后用服务器的公钥对客户端密钥进行非对称加密,这样客户端密钥就变成密文了,至此,HTTPS中的第一次HTTP请求结束。
  5. 客户端会发起HTTPS中的第二个HTTP请求,将加密之后的客户端密钥发送给服务器。
  6. 服务器接收到客户端发来的密文之后,会用自己的私钥对其进行非对称解密,解密之后的明文就是客户端密钥,然后用客户端密钥对数据进行对称加密,这样数据就变成了密文。
  7. 然后服务器将加密后的密文发送给客户端。
  8. 客户端收到服务器发送来的密文,用客户端密钥对其进行对称解密,得到服务器发送的数据。这样HTTPS中的第二个HTTP请求结束,整个HTTPS传输完成。
avatar
文章
阅读
粉丝