加密技術是壹種對信息進行編碼和解碼的技術。編碼是將原本可讀的信息(也稱明文)翻譯成代碼形式(也稱密文),其逆過程是解碼(解密)。加密技術的關鍵點是加密算法,加密算法可分為對稱加密、非對稱加密和不可逆加密三種。
對稱加密算法對稱加密算法是早期的加密算法,技術比較成熟。在對稱加密算法中,數據發送方用特殊的加密算法將明文(原始數據)和加密密鑰壹起處理,變成復雜的加密密文發送出去。接收方收到密文後,如果要解讀原文,需要用加密密鑰和同壹算法的逆算法對密文進行解密,從而還原成可讀的明文。在對稱加密算法中,只使用壹個密鑰,發送方和接收方都使用這個密鑰對數據進行加密和解密,這就要求解密器事先知道加密密鑰。對稱加密算法的特點是算法開放,計算量小,加密速度快,加密效率高。缺點是交易雙方使用同壹個密鑰,安全性無法保證。另外,每對用戶每次使用對稱加密算法都需要使用壹個別人不知道的唯壹密鑰,這將使得發送方和接收方擁有的密鑰數量呈幾何級數增長,密鑰管理成為用戶的負擔。對稱加密算法在分布式網絡系統中難以使用,主要是因為密鑰管理困難和使用成本高。計算機專用網絡系統中廣泛使用的對稱加密算法有DES和IDEA。美國國家標準局倡導的AES將很快取代DES成為新標準。
非對稱加密算法非對稱加密算法使用兩種完全不同但完全匹配的密鑰——公鑰和私鑰。使用非對稱加密算法加密文件時,只需要壹對匹配的公鑰和私鑰就可以完成明文的加密和解密過程。用公鑰加密明文,用私鑰解密密文。而且,發送方(加密器)知道接收方的公鑰,只有接收方(解密器)才知道自己的私鑰。非對稱加密算法的基本原理是,如果發送方要發送只有接收方才能解讀的加密信息,發送方必須先知道接收方的公鑰,然後用接收方的公鑰加密原文;接收到加密的密文後,接收者只能用自己的私鑰解密密文。顯然,使用非對稱加密算法,在發送方和接收方進行通信之前,接收方必須將自己隨機生成的公鑰發送給發送方,而私鑰則由自己保管。由於非對稱算法有兩個密鑰,所以特別適用於分布式系統中的數據加密。廣泛使用的非對稱加密算法有RSA算法和美國國家標準局提出的DSA算法。基於非對稱加密算法的加密技術被廣泛應用。
不可逆加密算法不可逆加密算法的特點是在加密過程中不需要使用密鑰。明文輸入後,直接被系統通過加密算法處理成密文。此加密數據無法解密。只有當明文被重新輸入,用同樣的不可逆加密算法處理,得到同樣的加密密文,並被系統重新識別,才能真正被解密。很明顯,在這種加密過程中,加密是自己的,解密也得是自己的,而所謂的解密其實就是重新加密,應用的“密碼”就是輸入的明文。不可逆加密算法不存在密鑰存儲和分發的問題,非常適合在分布式網絡系統中使用。但由於加密計算復雜,工作量大,通常只在數據有限的情況下使用,如計算機系統中廣泛使用的密碼加密,采用的是不可逆加密算法。近年來,隨著計算機系統性能的不斷提高,不可逆加密的應用領域正在逐步增加。計算機網絡中使用的不可逆加密算法有很多,如RSA公司發明的MD5算法,美國國家標準局提出的SHS(安全哈希標準)。
加密技術
加密算法是加密技術的基礎,任何成熟的加密技術都是基於多種加密算法的組合或者加密算法與其他應用軟件的有機結合。下面我們介紹幾種在計算機網絡應用中廣泛使用的加密技術。
不可否認技術該技術的核心是非對稱加密算法的公鑰技術,通過生成壹個與用戶認證數據相關的數字簽名來完成。當用戶執行交易時,這種簽名可以保證用戶不能否認交易在未來發生的事實。由於不可否認技術操作過程簡單,並且直接包含在用戶的壹些正常電子交易中,因此成為當前用戶進行電子商務和獲得商業信任的重要保障。
PGP(Pretty Good Privacy)技術PGP技術是壹種基於RSA公鑰體制的郵件加密技術,也是壹種操作簡單、使用方便、普及度高的加密軟件。PGP技術不僅可以加密電子郵件,防止未經授權的人閱讀信件;還可以在電子郵件中附加數字簽名,這樣收件人可以清楚地了解發件人的真實身份;它還可以使人們在不通過任何秘密渠道傳遞密鑰的情況下進行安全通信。PGP技術創造性地將RSA非對稱加密算法的便捷性與傳統加密系統相結合,采用數字簽名與密鑰認證管理機制無縫結合的巧妙設計,使其幾乎成為最受歡迎的公鑰加密軟件包。
數字簽名技術數字簽名技術是非對稱加密算法的典型應用。數字簽名的應用過程是,數據源的發送方用自己的私鑰加密數據校驗和或其他與數據內容相關的變量,完成數據的合法“簽名”,數據的接收方用對方的公鑰對接收到的“數字簽名”進行解釋,並利用解釋結果檢查數據的完整性,以確認簽名的合法性。數字簽名技術是網絡系統虛擬環境中確認身份的重要技術,完全可以替代現實過程中的“親筆簽名”,並得到技術和法律上的保障。在公鑰和私鑰的管理中,數字簽名的應用正好與加密郵件的PGP技術相反。在數字簽名的應用中,發送者的公鑰很容易獲得,但他的私鑰需要嚴格保密。
PKI(公鑰基礎設施)技術PKI技術是以非對稱加密技術為核心的公鑰基礎設施,能夠為網絡提供安全服務。起初,PKI技術主要應用於互聯網環境,為復雜的互聯網系統提供統壹的身份認證、數據加密和完整性保障機制。由於PKI技術在網絡安全領域的巨大優勢,受到銀行、證券、政府等核心應用系統的青睞。PKI技術不僅是信息安全技術的核心,也是電子商務的關鍵和基礎技術。由於通過網絡進行的電子商務和電子政務活動缺乏物理接觸,因此通過電子手段驗證信任關系非常重要。PKI技術可以有效解決電子商務應用中的機密性、真實性、完整性、不可否認性和訪問控制等安全問題。壹個實用的PKI系統還必須充分考慮互操作性和可擴展性。PKI系統的功能模塊,如認證中心(CA)、註冊中心(RA)、策略管理、密鑰和證書管理、密鑰備份和恢復、撤銷系統等,應該有機地結合起來。
加密的未來趨勢
雖然雙密鑰密碼系統比單密鑰密碼系統更可靠,但由於計算的復雜性,雙密鑰密碼系統的加密率與單密鑰密碼系統相比只有1/1000,甚至是1/1000。正是因為不同系統的加密算法各有千秋,所以在未來很長壹段時間內,各種加密系統會共同發展。但在1996年IBM等公司聯合推出的電子商務協議標準集(安全電子交易)和1992年多國聯合開發的PGP技術中,采用了包括單密鑰密碼、雙密鑰密碼、單向哈希算法和隨機數生成算法在內的混合密碼體系,似乎從壹個側面展示了密碼技術應用的未來。
在單密鑰密碼領域,壹次壹個秘密被認為是最可靠的機制,但流密碼中的密鑰流生成器由於在算法上沒有突破有限循環,壹直沒有得到廣泛應用。如果找到算法上接近無限循環的密鑰流生成器,系統會有質的飛躍。近年來,混沌理論的研究給這壹方向的突破帶來了曙光。此外,高能量子密碼術由於建立在光學和量子力學的基礎上,被認為是壹個潛在的發展方向。這壹理論對於加強光纖通信中的信息安全和用量子計算能力處理解碼無疑是壹個理想的解決方案。
由於電子商務等民用系統的應用需求,認證和加密算法也將有很大發展。另外,在傳統的密碼系統中,會出現壹個像IDEA這樣的新成員。新成員的壹個主要特點是在算法上的創新和突破,而不僅僅是對傳統算法的修改或改進。密碼學是壹門正在發展的年輕學科,任何未知的加密/解密機制都可能在其中占據壹席之地。
對於信息系統或電子郵件的安全問題,目前還沒有非常有效的解決方案。主要原因是由於互聯網固有的異構性,沒有單壹的信任機構可以滿足互聯網整體異構的所有需求,也沒有單壹的協議可以適用於互聯網整體異構的所有情況。唯壹的解決辦法就是依靠軟件代理,即自動管理用戶持有的證書(即用戶所屬的信任結構)以及用戶的所有行為。每當用戶想要發送消息或電子郵件時,代理將自動與對方的代理協商,以找到可信任的機構或共同的協議來進行通信。在互聯網環境下,下壹代安全信息系統將自動向用戶發送加密電子郵件。同樣,當用戶想給某人發郵件時,他們的本地代理會先與對方的代理進行交互,協商壹個適合雙方的認證機構。當然,電子郵件也需要不同的技術支持,因為電子郵件不是端到端的通信,而是通過多個中介傳遞到各自的通信機器上,最終到達目的地。