https加密,你必须要知道的那些事

Running_C
106 阅读7分钟

哈喽,今天咱们来好好聊聊HTTPS里的对称加密和非对称加密。这也是前端面试大概率会问到的一个面试题。这东西听起来有点高深,但其实就像咱们平时寄快递、锁箱子的小技巧,听完你肯定能明白。

先说说HTTPS为啥需要加密?

咱们平时上网,比如登录微信、逛淘宝,发的消息、输的密码都是通过网络传的。如果不加密,就像寄快递不打包,谁都能拆开看里面的东西——这就很危险,黑客可能会偷你的信息。

HTTPS就是给这些信息“打包上锁”的技术,而对称加密非对称加密,就是两把不同的“锁”,各有各的用法。

一、对称加密:一把钥匙开一把锁,快!

先想个场景:你和朋友约定好,以后寄东西都用同一把钥匙锁箱子,收到后也用这把钥匙打开。这就是“对称加密”的思路。

  • 原理:加密和解密用的是同一把钥匙(专业名叫“密钥”)。比如你用密钥A把“我爱你”加密成“#%@*”,朋友收到后,用同样的密钥A就能解密回“我爱你”。
  • 优点:速度特别快!就像用钥匙开锁,咔嚓一下就好。网络上数据传输量很大(比如刷视频、传文件),用对称加密效率高,不耽误事儿。
  • 问题来了:这把钥匙怎么交给对方?
    比如你和朋友第一次通信,你得先把密钥A发给对方吧?但发的时候如果没加密,黑客就能截胡这把钥匙,以后你们的所有消息他都能解开——等于白加密了。

二、非对称加密:两把钥匙配套用,安全!

为了解决“钥匙传递”的问题,非对称加密登场了。它有两把钥匙,就像“锁”和“备用钥匙”:

  • 公钥:可以随便发给别人,就像你把“锁”分给所有人,谁都能用这个锁把箱子锁起来。
  • 私钥:只有你自己留着,就像“备用钥匙”,只有这把钥匙能打开用公钥锁上的箱子。

举个例子:
你生成一对密钥——公钥A和私钥A,把公钥A发给朋友。
朋友想给你发消息,就用公钥A把“今晚吃饭吗”加密成乱码,发给你。
你收到后,用自己的私钥A一解密,就能看到原文。
这时候就算黑客截到了加密后的乱码,没有你的私钥A,也解不开。

  • 优点:安全!公钥随便发,私钥自己藏好,不用担心钥匙被偷。
  • 问题来了:速度慢!非对称加密的计算方式很复杂,就像用密码锁,输密码要按半天。如果所有数据都用它加密,刷个网页可能要等半天,体验太差。

三、HTTPS:把两把“锁”结合起来用

HTTPS特别聪明,它不单独用某一种加密,而是把两者结合,取各自的优点:

  1. 先用非对称加密传递“对称加密的钥匙”
    你打开一个HTTPS网站(比如淘宝),网站会先给你发它的公钥
    你的浏览器生成一个对称加密的密钥(就叫它“会话密钥”吧,专门用于这次聊天),然后用网站的公钥把“会话密钥”加密,发给网站。
    网站用自己的私钥解密,拿到“会话密钥”。
    这一步用非对称加密,确保“会话密钥”安全传递,黑客截不到能用的钥匙。

  2. 接下来全用对称加密传数据
    既然双方都有了“会话密钥”,后面你发的密码、浏览的商品、下单的信息,都用这把钥匙加密解密。
    因为对称加密速度快,所以刷网页、发消息都很流畅。

总结一下:

  • 对称加密:一把钥匙,速度快,但钥匙不好传。
  • 非对称加密:两把钥匙(公钥+私钥),安全,但速度慢。
  • HTTPS:先用非对称加密“安全地把对称钥匙传过去”,再用对称加密“快速传数据”,既安全又高效。

就像咱们先通过快递寄一把“安全的锁”(非对称),拿到锁后,平时就用同一把钥匙(对称)快速开锁——是不是很巧妙?下次上网看到HTTPS的小锁图标,就知道它背后藏着这么一套“双保险”啦~

咱们接着聊HTTPS,上面说了对称加密和非对称加密这两把“锁”,但其实光有锁还不够,还得有个“身份证”来证明这把锁是不是真的——这就是CA证书的作用。咱们把它加进来,整个HTTPS的加密逻辑就更完整了。

先补个小漏洞:非对称加密也有“冒牌货”问题

上面说非对称加密时,提到网站会给你发“公钥”。但这里有个隐患:如果黑客假装成淘宝,给你发了一个假的“公钥”,你信以为真,用这个假公钥加密了密码发过去,黑客拿着自己的私钥一解密,你的信息不就被他偷走了?

就像有人冒充你朋友,给你一把假锁,你用这把锁锁了箱子寄过去,结果被冒充者用假钥匙打开了——这就麻烦了。
所以,咱们得想办法证明:“这个公钥真的是淘宝发的,不是黑客伪造的”。这时候,CA证书就派上用场了。

四、CA证书:给公钥发一张“身份证”

CA(Certificate Authority)就是“证书颁发机构”,相当于网络世界里的“公证处”。它的作用是给网站的公钥“盖章认证”,证明这个公钥确实属于某个网站。

  • CA证书里有啥?
    证书里不只有网站的公钥,还包含网站的域名(比如www.taobao.com)、证书的有效期、以及CA机构用自己的私钥给这些信息加的“签名”。

  • 签名是啥意思?
    就像公证处盖章:CA机构会用一种算法,把网站的公钥、域名等信息压缩成一段“指纹”,再用CA自己的私钥给这段指纹加密——这就是“签名”。
    别人拿到证书后,用CA的公钥(这个公钥是预装在浏览器和操作系统里的,大家都信任)解密“签名”,得到一段指纹;再自己算一遍证书里信息的指纹,如果两个指纹一致,就说明证书没被改过,公钥是真的。

五、HTTPS完整流程:加密+认证,一步都不能少

现在把CA证书加进来,咱们再走一遍HTTPS的通信过程,就全明白了:

  1. 你打开HTTPS网站(比如淘宝)
    淘宝服务器会先给你发一个CA证书(里面包含淘宝的公钥、域名、CA签名等)。

  2. 你的浏览器验证证书真假
    浏览器调出内置的CA公钥,解密证书里的“签名”,检查指纹是否一致。

    • 如果一致:证明这是淘宝的真公钥,放心用!
    • 如果不一致:浏览器会弹出警告“此网站证书有问题,可能不安全”,这时候你就得小心了,可能是黑客在搞鬼。

  3. 用非对称加密传递“对称密钥”
    验证通过后,你的浏览器生成一个会话密钥(对称加密用的钥匙),用淘宝的公钥加密后发给淘宝。

  4. 淘宝用私钥解密,拿到会话密钥
    现在双方都有了会话密钥,接下来的所有数据(你的登录密码、购物车信息等),都用对称加密快速传输。

为啥CA证书这么重要?

它就像网络世界的“权威介绍信”。比如你去银行办业务,得出示身份证证明你是你;网站要证明“我是真的淘宝,不是假的”,就得靠CA证书。
如果没有CA证书,非对称加密的“公钥传递”环节就可能被黑客冒充,整个加密体系就会崩塌。而有了CA证书,咱们才能放心:“哦,这个公钥确实是我要访问的网站发的,没问题”。

再总结一下完整逻辑:

HTTPS就像一场“安全快递”服务:

  • CA证书是“快递员的身份证”,证明对方身份真实可信;
  • 非对称加密是“安全传递钥匙的方法”,确保对称加密的钥匙不会被黑客截胡;
  • 对称加密是“高效开锁的工具”,让大量数据能快速传输。

这三者配合起来,既解决了“信息被偷”的问题,又解决了“身份被冒充”的问题,还保证了上网的速度——所以咱们平时看到网址栏里的小锁图标,才能安心地输入密码、买买买呀~

avatar
文章
阅读
粉丝