數字簽名與數字證書技術簡介(一)
數字簽名與數字證書技術簡介(二)
數字簽名與數字證書技術簡介(三)
密碼:分以下兩種1.對稱加密過程圖1.登入各個系統的使用者密碼口令,是便於使用者記憶的一類金鑰;
2.密碼學中的密碼,包含了資訊加密編碼、密文解密解碼、資料完整性驗證等一系列資訊變換過程
金鑰:secret key 是一種引數,具體來說,金鑰是一組資訊編碼,它參與密碼的「運算」,並對密碼的「運算」起特定的控制作用
資訊摘要:(資訊指紋/數字摘要/訊息摘要/數字指紋)將任意長度的訊息變成固定長度的短訊息
加密演算法:
加密:具備三要素,資料來源+金鑰+加密演算法
對稱加密:a使用金鑰k進行加密,b使用金鑰k進行解密。常用的對稱加密演算法: des,3des,aes
非對稱加密:使用一對金鑰,分公鑰和私鑰,兩者可互為加密和解密,如私鑰加密公鑰解密,或者公鑰加密私鑰解密,常用加密演算法:rsa
公鑰:publickey 一段固定長度的字串。一般金鑰會用於傳輸,交給遠端客戶,
私鑰:privatekey 存放在本地,不對外傳播的金鑰
hash演算法:任意長度內容p通過雜湊演算法變成固定長度的雜湊值h,單向不可逆(即h不能反推回p)
pki:public key infrastructure
ca:certficate authority 數字證書認證中心
數字簽名:
簽名結果:原始檔案和摘要密文的形成稱為簽名結果
pkcs10資料報:包含公鑰,演算法(rsa),公鑰的所有者(主題),該公鑰的有效期等一系列屬性
數字證書:為了給客戶端傳輸公鑰而存在的安全機制。pkcs10資料報經過ca簽名後生成數字證書
服務端s:
客戶端c:
2.對稱加密流程解說
1)明文內容p 加上金鑰k,通過對稱加密演算法,如des,形成密文m3.不足點2)(通過網際網路)傳輸密文m給客戶c
3)客戶c通過金鑰k和演算法des將密文m進行解密,得到明文內容p
1)安全性方面有洩密風險1.非對稱加密過程圖2)可用性方面低
如果有100個客戶要與服務端通訊,每個客戶之間不能使用相同密碼(增加洩密可能),使用100個不同密碼(可用性降低)
2.非對稱加密流程解說
1)服務端s使用本地私鑰pri+明文內容p,通過非對稱加密演算法rsa,得到密文m3.不足點2)(通過網際網路)傳輸密文m給客戶c
3)客戶c獲得服務端s的公鑰pub(通過網際網路,第三方,u盤....)
4)客戶c用公鑰pub和演算法rsa,將密文m解密後,得到明文內容p
1)不知道伺服器身份是否可靠1.數字簽名過程圖(比如你要訪問建行**,被攻擊者重定向到了釣魚**,頁面跟真實建行一模一樣,使用者在不知情的情況下,輸入了賬號密碼,就會被惡意盜取)
2)演算法效率低
服務端s:
客戶端c:
2.數字簽名流程解說
1)服務端將明文內容p進行hash演算法(如sha1),轉化成固定長度的唯一雜湊值h,h稱為資訊摘要i3.不足點2)服務端使用本地私鑰pri通過rsa演算法,將資訊摘要i轉化成密文m
3)服務端將原始內容p和密文m一起傳送給客戶端
4)客戶端接收到服務端原始內容p和密文m
5)客戶端使用服務端的公鑰pub對密文m,採用rsa演算法進行解密得到資訊摘要i
6)客戶端將收到的原始內容p,進行hash演算法(與步驟1演算法一致,如sha1),轉化成固定長度的雜湊值h』,h『稱為資訊摘要i』
7)客戶端比對資訊摘要i和資訊摘要i'
是否一致,一致則代表資料未被篡改,5,6,7這個過程稱為驗籤
1)防止不了釣魚**1.服務端s公鑰與ca機構傳輸過程圖2)服務端身份合法性無法驗證
2.服務端s公鑰與ca機構傳輸流程解說
1)服務端將自己的公鑰附加一系列資訊,形成pkcs10資料報,傳送給ca進行簽名1.過程圖2)ca機構通過技術手段,認可了服務端發來的pkcs10資料報合法
3)ca使用自己本地私鑰priv02 對pkcs10資料報(有時ca會簡單修改pkcs10的一些內容,將本地公鑰pub02記錄到數字證書),採用rsa演算法進行簽名,生成數字證書d(數字證書遵循x509標準)
服務端s(數字證書獲取參考上面"六、基於非對稱加密演算法服務端s公鑰傳輸前過程"):
客戶端c:
2.流程解說
1)服務端s將明文內容p進行hash演算法(如sha1),轉化成固定長度的唯一雜湊值h,h稱為資訊摘要i2)服務端s使用本地私鑰pri通過rsa演算法,將資訊摘要i轉化成密文m
3)服務端s將自己的公鑰附加一系列資訊,形成pkcs10資料報,傳送給ca進行簽名
4)ca機構通過技術手段,認可了服務端發來的pkcs10資料報合法
5)ca使用自己本地私鑰priv2 對pkcs10資料報(有時ca會簡單修改pkcs10的一些內容,將本地公鑰pub02記錄到數字證書),採用rsa演算法進行簽名,生成數字證書d(數字證書遵循x509標準)
6)服務端s獲得數字證書d
7)服務端s將明文內容p、密文m、數字證書d傳送給客戶端c
8)客戶端c將從數字證書裡提取ca的公鑰pub02,對數字證書進行驗籤後,得到服務端s的公鑰pub
9)客戶端c使用服務端s的公鑰pub對密文m,採用rsa演算法進行解密得到資訊摘要i
10)客戶端將收到的原始內容p,進行hash演算法(與步驟1演算法一致,如sha1),轉化成固定長度的雜湊值h』,h『稱為資訊摘要i』
11)客戶端比對資訊摘要i和資訊摘要i'
是否一致,一致則代表資料未被篡改,9,10,11這個過程稱為驗籤
12)此為行業解決目前主流解決方案
對稱加密 非對稱加密 數字簽名 數字證書
下面假設有a和b兩個人,其中b要給a傳送資訊。對稱加密 des aes 對稱加密是指加密和解密使用同乙個秘鑰。如果a和b兩個人想要通訊,就需要先約定好乙個秘鑰,只有他們兩個知道這個秘鑰,這樣自然能夠保證資料安全。對稱加密優點是加密解密效率高,缺點是秘鑰管理困難,a與任何乙個人通訊都需要各自約定秘鑰,...
理解對稱加密 非對稱加密 數字簽名 數字證書
參考文件 對稱加密 資料保密性 演算法 des 3des rc5 aes 特點 加密和解密使用相同的金鑰 加密原文 非對稱加密 資料保密性 演算法 dh rsa 特點 需要兩個秘鑰公鑰和私鑰 加密速度慢,只可用其加密小資料 如對稱金鑰 訊息摘要 加密後密文會變長 數字簽名 資料完整性和驗證傳送方身份...
對稱 非對稱加密,數字簽名,數字證書
現代密碼學中,加密演算法包括兩部分 先介紹下對稱加密與非對稱加密的概念。對稱加密相對於非對稱加密,速度更加快捷,因此對於大量內容進行加密傳輸時,一般使用對稱加密進行加密通訊。但是對稱加密的金鑰如何安全的讓對方知道是乙個問題。因此使用對稱加密進行通訊之前,往往需要使用非對稱加密交換金鑰,然後再使用對稱...