常見的密鑰加密算法類型大致可以分為三類:對稱加密、非對稱加密和單向加密。先來了解壹下相關的算法原理及其常用算法。
在加密傳輸中,最初采用的是對稱密鑰法,即加密和解密都使用同壹個密鑰。
1.對稱加密算法采用單密鑰加密。在通信過程中,數據發送方將原始數據分成固定大小的塊,用密鑰和加密算法逐壹加密,發送給接收方。
2.接收方收到加密消息後,使用相同的密鑰用解密算法對組合進行解密,得到原始數據。
插圖:
非對稱加密算法使用兩種不同的密碼(公鑰和私鑰)進行加密和解密。公鑰和私鑰成對存在。公鑰是從私鑰中提取出來的,並對所有人公開。如果數據是用公鑰加密的,只有對應的私鑰(不能公開)可以解密,反之亦然。n個用戶需要2N個密鑰進行通信。
非對稱密鑰加密適用於加密密鑰或身份信息等敏感信息,以滿足用戶在安全方面的需求。
1.a使用B的公鑰結合相應的非對稱算法對明文進行加密並發送給B,並將密文發送給B..
2.B收到密文後,用自己的私鑰和非對稱算法解密得到明文,得到原明文。
插圖:
單向加密算法只能用來加密數據,不能解密。其特點是定長輸出和雪崩效應(少量的報文比特會改變報文摘要中的很多比特)。
單向加密算法常用於提取數據指紋、驗證數據完整性、數字摘要、數字簽名等。
1.發送方用單向加密算法對明文進行加密,生成固定長度的密文串,然後傳輸給接收方。
2.接收方使用相同的單向加密算法對用於比較驗證的明文進行加密,得到加密後的密文串。
3.將其與發送方發送的密文字符串進行比較。如果發送前後的密文串壹致,說明數據在傳輸過程中沒有被破壞;如果它們不壹致,則意味著數據在傳輸過程中丟失。
插圖:
MD5、sha1、sha224等。
IKE(互聯網密鑰交換)通常是指雙方可以通過交換密鑰來加密和解密數據。
有兩種常見的密鑰交換方法:
公鑰加密後通過網絡傳輸給對方解密。這種方式的缺點是很可能被攔截破解,所以不常用。
DH算法是壹種密鑰交換算法,既不用於加密,也不用於數字簽名。
DH算法是用雙方都有的* * *的參數、私有參數和算法信息進行加密,然後雙方交換計算結果。交換完成後,它們用自己的私有參數執行壹種特殊的算法。雙方計算的結果是壹樣的,這個結果是關鍵。
比如:
安全
在整個過程中,第三方人員只能得到P和G兩個值,AB交換計算結果,所以這種方法非常安全。
回答:使用公鑰證書。
公鑰基礎設施是硬件、軟件、人員、策略和程序的集合。
它用於實現基於公鑰密碼的密鑰和證書的生成、管理、存儲、分發和撤銷等功能。
證書頒發機構CA、註冊機構RA、證書吊銷列表CRL和證書訪問庫CB。
公鑰證書由數字簽名聲明,數字簽名將公鑰的值綁定到持有相應私鑰的個人、設備或服務的身份。公鑰證書的生成遵循X.509協議的規定,其內容包括:證書名稱、證書版本、序列號、算法標識、頒發者、有效期、有效開始日期、有效結束日期、公鑰、證書簽名等。
1.客戶A準備要傳輸的數字信息(純文本)。(準備純文本)
2.客戶A對數字信息進行散列處理以獲得信息摘要。(準備摘要)
3.客戶端A使用CA的私鑰(SK)對信息摘要進行加密,以獲得客戶端A的數字簽名,並將其附加到數字信息中。(用私鑰對數字信息進行數字簽名)
4.客戶端A隨機生成壹個加密密鑰(DES key),用這個密鑰對要發送的信息進行加密,形成密文。(生成密文)
5.客戶端A用雙方的公鑰(PK)對剛才隨機生成的加密密鑰進行加密,並將加密後的DES密鑰連同密文壹起發送給乙方。(非對稱加密,其中DES密鑰用公鑰加密)
6.B銀行收到客戶A發送的密文和加密的DES密鑰,用自己的私鑰(SK)解密加密的DES密鑰,得到DES密鑰。(用私鑰解密DES密鑰)
7.B銀行再用DES密鑰對接收到的密文進行解密,得到明文數字信息,然後丟棄DES密鑰(即DES密鑰無效)。(解密文本)
8.B銀行用雙方擁有的公鑰(PK)解密客戶A的數字簽名,得到信息摘要。銀行B使用相同的哈希算法對接收到的明文再次進行哈希運算,以獲得新的消息摘要。(用公鑰解密數字簽名)
9.B銀行將收到的信息摘要與新生成的信息摘要進行比較,如果壹致,則說明收到的信息沒有被修改。(比較信息摘要和信息)
答案是不能保證CA的公鑰沒有被篡改。通常,操作系統和瀏覽器會在本地預制壹些CA證書。因此,發送者應該去那些認證的CA申請數字證書。這是有保證的。
但是,如果在系統中插入惡意的CA證書,仍然可以通過假的數字證書發送假的發送者的公鑰,以驗證假的文本信息。因此,安全的前提是非法的CA證書不能插入系統。
結束