ssl、數字簽名、ca 工作原理
對稱加密和非對稱加密介紹和區別
對稱加密採用了對稱密碼編碼技術,它的特點是檔案加密和解密使用相同的金鑰,即加密金鑰也可以用作解密金鑰,這種方法在密碼學中叫做對稱加密演算法,對稱加密演算法使用起來簡單快捷,金鑰較短,且破譯困難,除了資料加密標準(des),另乙個對稱金鑰加密系統是國際資料加密演算法(idea),它比des的加密性好,而且對計算機功能要求也沒有那麼高。idea加密標準由pgp(pretty good privacy)系統使用。
對稱加密演算法在電子商務交易過程中存在幾個問題:
1、要求提供一條安全的渠道使通訊雙方在首次通訊時協商乙個共同的金鑰。直接的面對面協商可能是不現實而且難於實施的,所以雙方可能需要借助於郵件和**等其它相對不夠安全的手段來進行協商;
2、金鑰的數目難於管理。因為對於每乙個合作者都需要使用不同的金鑰,很難適應開放社會中大量的資訊交流;
3、對稱加密演算法一般不能提供資訊完整性的鑑別。它無法驗證傳送者和接受者的身份;
4、對稱金鑰的管理和分發工作是一件具有潛在危險的和煩瑣的過程。對稱加密是基於共同保守秘密來實現的,採用對稱加密技術的**雙方必須保證採用的是相同的金鑰,保證彼此金鑰的交換是安全可靠的,同時還要設定防止金鑰洩密和更改金鑰的程式。
假設兩個使用者需要使用對稱加密方法加密然後交換資料,則使用者最少需要2個金鑰並交換使用,如果企業內使用者有n個,則整個企業共需要n×(n-1) 個金鑰,金鑰的生成和分發將成為企業資訊部門的惡夢。
2023年,美國學者dime和henman為解決資訊公開傳送和金鑰管理問題,提出一種新的金鑰交換協議,允許在不安全的**上的通訊雙方交換資訊,安全地達成一致的金鑰,這就是「公開金鑰系統」。相對於「對稱加密演算法」這種方法也叫做「非對稱加密演算法」。
與對稱加密演算法不同,非對稱加密演算法需要兩個金鑰:公開金鑰(publickey)和私有金鑰(privatekey)。公開金鑰與私有金鑰是一對,如果用公開金鑰對資料進行加密,只有用對應的私有金鑰才能解密;如果用私有金鑰對資料進行加密,那麼只有用對應的公開金鑰才能解密。因為加密和解密使用的是兩個不同的金鑰,所以這種演算法叫作非對稱加密演算法。
非對稱加密演算法實現機密資訊交換的基本過程是:甲方生成一對金鑰並將其中的一把作為公用金鑰向其它方公開;得到該公用金鑰的乙方使用該金鑰對機密資訊進行加密後再傳送給甲方;甲方再用自己儲存的另一把專用金鑰對加密後的資訊進行解密。甲方只能用其專用金鑰解密由其公用金鑰加密後的任何資訊。
非對稱加密演算法的保密性比較好,它消除了終端使用者交換金鑰的需要,但加密和解密花費時間長、速度慢,它不適合於對檔案加密而只適用於對少量資料進行加密。
如果企業中有n個使用者,企業需要生成n對金鑰,並分發n個公鑰。由於公鑰是可以公開的,使用者只要保管好自己的私鑰即可(企業分發後一般儲存的是私鑰,使用者拿的是公鑰),因此加密金鑰的分發將變得十分簡單。同時,由於每個使用者的私鑰是唯一的,其他使用者除了可以可以通過資訊傳送者的公鑰來驗證資訊的**是否真實,還可以確保傳送者無法否認曾傳送過該資訊。非對稱加密的缺點是加解密速度要遠遠慢於對稱加密,在某些極端情況下,甚至能比非對稱加密慢上1000倍。
ssl(secure socket layer) 是一種加密技術,可以提供對稱加密和非對稱加密。由於它在協議層裡正好是在傳輸層與應用層之間,這就決定了上層應用必須經過它,這就是它廣泛流行和易於實現的原因。
對稱加密有md5,sha1。由於md5已被學者證明可以計算出加密衝突,即它有一定的不安全性,所以建議用sha1加密。
非對稱性加密有rsa,即密碼有一對,乙個私鑰,乙個公鑰,公鑰可以讓所有人知道,私鑰只有自己知道。
這樣理解,伺服器產生一對金鑰,公鑰給別人即客戶端,客戶端用它來加密,加密後發給服務端,服務端用自己的私鑰解密後得到資料。
數字簽名就和上面的過程相反,即資料由服務端用私鑰加密,客戶端用服務端的公鑰解密,解得出來就說明這資料報的確是出服務端發過來的。數字簽名是由服務端自己籤的,但沒人去驗證這個服務端是不是你所要訪問的真實的,所以需要第三方來幫忙檢驗,就和支付寶處於第三方來協調的位置一樣。這個第三方就叫ca。
所以伺服器產生的公鑰就交給ca,ca用ca自己的私鑰加密,即數字簽名,加密生會生成證書,證書還是要交給服務端,放在服務端那邊。當客戶端訪問服務端時,服務端就會把這個證書安裝到客戶端上。
客戶端就會用ca提供的ca自己的公鑰來解密這個證書,(當然這個ca是瀏覽器預裝時嵌入的可信的ca,如果不是預裝時嵌入的ca,此時就沒有ca的公鑰,就解不了,就會彈出告警。)解得開就說明這個證書是某個ca認證過了的,是可信的,解開後就會得到資料,而這個資料就是服務端的公鑰,此時用這個公鑰與服務端進行資料傳輸。
資料傳輸過程中,由於rsa方式加解密速度非常慢,所以會把對稱與非對稱兩者結合起來用,即用rsa把對稱加密的密碼進行加密傳輸,再用對稱密碼進行加解密,這樣就可以提高效率,且是安全的。
SSL 數字簽名 CA 工作原理通俗描述
ssl secure socket layer 是一種加密技術,可以提供對稱加密和非對稱加密。由於它在協議層裡正好是在傳輸層與應用層之間,這就決定了上層應用必須經過它,這就是它廣泛流行和易於實現的原因。對稱加密有md5,sha1。由於md5已被學者證明可以計算出加密衝突,即它有一定的不安全性,所以建...
CA證書數字簽名
數字簽名是什麼?1.鮑勃有兩把鑰匙,一把是公鑰,另一把是私鑰。2.鮑勃把公鑰送給他的朋友們 帕蒂 道格 蘇珊 每人一把。3.蘇珊要給鮑勃寫一封保密的信。她寫完後用鮑勃的公鑰加密,就可以達到保密的效果。4.鮑勃收信後,用私鑰解密,就看到了信件內容。這裡要強調的是,只要鮑勃的私鑰不洩露,這封信就是安全的...
數字簽名的工作原理
數字簽名是公鑰基礎結構的基礎部分。當我們說pki時,一般想到的是數字證書,證書頒發機構 ca 銀行使用的key,以及ssl通訊等等。數字證書,一般都是成對存在的,包含證書的公鑰,和證書對應的私鑰,公鑰本身有一定的身份標識功能 如ssl證書中的網域名稱資訊,郵件客戶端證書的郵箱位址等 對於數字證書的應...