密碼學在電腦科學中使用非常廣泛,https 就是建立在密碼學基礎之上的一種安全的通訊協議。https 早在 1994 年由網景公司首次提出,而如今在眾多網際網路廠商的推廣之下 https 已經被廣泛使用在各種大小**中。在完全理解 https 之前,有必要弄清楚一些密碼學相關的概念,比如:明文、密文、密碼、金鑰、對稱加密、非對稱加密、摘要、數字簽名、數字證書。
密碼學中的密碼cipher和我們日常生活中所說的密碼不太一樣,計算機術語『密碼cipher』是一種用於加密或者解密的演算法,而我們日常所使用的『密碼password』是一種口令,它是用於認證用途的一組文字字串。這裡我們要討論的是前者:cipher。
金鑰是一種引數,它是在使用密碼cipher演算法過程中輸入的引數。同乙個明文在相同的密碼演算法和不同的金鑰計算下會產生不同的密文。很多知名的密碼演算法都是公開的,金鑰才是決定密文是否安全的重要引數,通常金鑰越長,破解的難度越大,比如乙個 8 位的金鑰最多有 256 種情況,使用窮舉法,能非常輕易的破解。知名的 des 演算法使用 56 位的金鑰,目前已經不是一種安全的加密演算法了,主要還是因為 56 位的金鑰太短,在數小時內就可以被破解。金鑰分為對稱金鑰與非對稱金鑰。
明文plaintext是加密之前的原始資料,密文是通過密碼cipher運算後得到的結果成為密文ciphertext。
cipher
對稱金鑰symmetric-key algorithm又稱為共享金鑰加密,對稱金鑰在加密和解密的過程中使用的金鑰是相同的,常見的對稱加密演算法有des、3des、aes、rc5、rc6。對稱金鑰的優點是計算速度快,但是它也有缺點,金鑰需要在通訊的兩端共享,讓彼此知道金鑰是什麼對方才能正確解密,如果所有客戶端都共享同乙個金鑰,那麼這個金鑰就像****一樣,可以憑藉乙個金鑰破解所有人的密文了,如果每個客戶端與服務端單獨維護乙個金鑰,那麼服務端需要管理的金鑰將是成千上萬,這會給服務端帶來噩夢。下面就是乙個簡單的對稱加密,將明文加密成 ascii。
#
加密的方式:在
ascii
的基礎上
+金鑰的值
def
encipher
(plain_text
,key
):
#加密cipher_text
=
forc
inplain_text
:cipher_text.(
str(
ord(c)
+key
))
return
' '.
join
(cipher_text
)def
decipher
(cipher_text
,key
):
#解密plain_text
=
forc
incipher_text
.split
(" "
):plain_text.(
chr(
int(c)+
key))
return"".
join
(plain_text
)if
__name__
=='__main__'
:
"cipher_text:"
,encipher
("abcdef",0
)
"plain_text:"
,decipher
("97 98 99 100 101 102",0
)非對稱金鑰public-key cryptography,又稱為公開金鑰加密。服務端會生成一對金鑰,乙個私鑰儲存在服務端,僅自己知道,另乙個是公鑰,公鑰可以自由發布供任何人使用。客戶端的明文通過公鑰加密後的密文需要用私鑰解密。非對稱金鑰在加密和解密的過程的使用的金鑰是不同的金鑰,加密和解密是不對稱的,所以稱之為非對稱加密。與對稱金鑰加密相比,非對稱加密無需在客戶端和服務端之間共享金鑰,只要私鑰不發給任何使用者,即使公鑰在網上被截獲,也無法被解密,僅有被竊取的公鑰是沒有任何用處的。常見的非對稱加密有 rsa,非對稱加解密的過程:
服務端生成配對的公鑰和私鑰
私鑰儲存在服務端,公鑰傳送給客戶端
客戶端使用公鑰加密明文傳輸給服務端
服務端使用私鑰解密密文得到明文
資料在瀏覽器和伺服器之間傳輸時,有可能在傳輸過程中被冒充的盜賊把內容替換了,那麼如何保證資料是真實伺服器傳送的而不被調包呢,同時如何保證傳輸的資料沒有被人篡改呢?要解決這兩個問題就必須用到數字簽名,數字簽名就如同日常生活的中的簽名一樣,一旦在合同書上落下了你的大名,從法律意義上就確定是你本人籤的字兒,這是任何人都沒法仿造的,因為這是你專有的手跡,任何人是造不出來的。那麼在計算機中的數字簽名怎麼回事呢?數字簽名就是用於驗證傳輸的內容是不是真實伺服器傳送的資料,傳送的資料有沒有被篡改過,它就幹這兩件事,是非對稱加密的一種應用場景。不過他是反過來用私鑰來加密,通過與之配對的公鑰來解密。
第一步:服務端把報文經過 hash 處理後生成摘要資訊digest,摘要資訊使用私鑰private-key加密之後就生成簽名,伺服器把簽名連同報文一起傳送給客戶端。
signature1
第二步:客戶端接收到資料後,把簽名提取出來用公鑰public-key解密,如果能正常的解密出來 digest2,那麼就能確認是對方發的。
第三步:客戶端把報文 tex t提取出來做同樣的 hash 處理,得到的摘要資訊 digest1,再與之前解密出來的 digist2 對比,如果兩者相等,就表示內容沒有被篡改,否則內容就是被人改過了。因為只要文字內容哪怕有任何一點點改動都會 hash 出乙個完全不一樣的摘要資訊出來。
signature2
數字證書簡稱 ca,它由權威機構給某**頒發的一種認可憑證,這個憑證是被大家(瀏覽器)所認可的。為什麼需要用數字證書呢,難道有了數字簽名還不夠安全嗎?有這樣一種情況,就是瀏覽器無法確定所有的真實伺服器是不是真的是真實的,舉乙個簡單的例子:
a 廠家給你們家安裝鎖,同時把鑰匙也交給你,只要鑰匙能開啟鎖,你就可以確定鑰匙和鎖是配對的,如果有人把鑰匙換了或者把鎖換了,你是打不開門的,你就知道肯定被竊取了,但是如果有人把鎖和鑰匙替換成另一套表面看起來差不多的,但質量差很多的,雖然鑰匙和鎖配套,但是你卻不能確定這是否真的是 a 廠家給你的,那麼這時候,你可以找質檢部門來檢驗一下,這套鎖是不是真的來自於 a 廠家,質檢部門是權威機構,他說的話是可以被公眾認可的(呵呵)。那麼如何保證你現在使用的公鑰就是真實伺服器發給你的呢?我們就用數字證書來解決這個問題。數字證書一般由數字證書認證機構certificate authority頒發,證書裡面包含了真實伺服器的公鑰和**的一些其他資訊,數字證書機構用自己的私鑰加密後發給瀏覽器,瀏覽器使用數字證書機構的公鑰解密後得到真實伺服器的公鑰。這個過程是建立在被大家所認可的證書機構之上得到的公鑰,所以這是一種安全的方式。同樣的, 因為如果有人(張三)用自己的公鑰把真實伺服器傳送給瀏覽器的公鑰替換了,於是張三用自己的私鑰執行相同的步驟對文字 hash、數字簽名,最後得到的結果都沒什麼問題,但事實上瀏覽器看到的東西卻不是真實伺服器給的,而是被張三從裡到外(公鑰到私鑰)換了一通。
原文發布時間為:2017-11-15
HTTPS中的加密演算法相關概念
密碼學在電腦科學中使用非常廣泛,https就是建立在密碼學基礎之上的一種安全的通訊協議。https早在1994年由網景公司首次提出,而如今在眾多網際網路廠商的推廣之下https已經被廣泛使用在各種大小 中。在完全理解https之前,有必要弄清楚一些密碼學相關的概念,比如 明文 密文 密碼 金鑰 對稱...
https相關(證書,握手過程,加密演算法)
我們知道 https 其實就是 http ssl tls 的合體,它其實還是 http 協議,只是在外面加了一層,ssl 是一種加密安全協議,引入 ssl 的目的是為了解決 http 協議在不可信網路中使用明文傳輸資料導致的安全性問題。可以說,整個網際網路的通訊安全,都是建立在 ssl tls 的安...
演算法相關概念解釋
演算法 演算法是解決特定問題求解步驟的描述,在計算機中表現為指令的有限序列,並且每條指令表示乙個或多個操作。演算法的特性 有窮性,確定性,可行性,輸入,輸出。演算法的設計要求 正確性,可讀性,健壯性,高效率和低儲存。演算法的度量方法 事後統計法 不科學,不準確 事前分析估計法。輸入輸出 演算法有零個...