共享密匙加密演算法

㈠ 公開密鑰基本原理

公開密鑰加密技術基本原理

現代加密技術中的加密演算法都是公開的，而密鑰是私有的。我們首先要對數據用加密演算法進行加密，讓接受方使用密鑰進行解密，這樣實現數據的安全傳輸。

加密和解密都會用到密鑰，如果沒有密鑰就無法對加密的文件進行解密，也就是說任何人只要持有了密鑰就可以解密，所以如果密鑰被攻擊者獲得加密就失去了意義。

共享密鑰加密方式 ：加密和解密用同一個密鑰的方式稱為 共享密鑰加密 (Common Key crypto system), 也被叫做 對稱密鑰加密 。

採用對稱密鑰加密的方式，必須將密鑰也發給對方，不然對方無法解密。可究竟怎樣才能安全的將密鑰轉交給對方呢？在互聯網上傳播時，如果通訊被監聽，密鑰落入攻擊者之手，那加密就失去了意義。另外還得要有個辦法安全的保存收的密鑰。 

發送密鑰就有被竊聽的風險，但是不發送密鑰，對方又無法解密。如果密鑰能夠可靠傳遞，那數據為什麼不能可靠傳遞呢？

公開密鑰加密方式 ：公開密鑰加密使用了兩把 非對稱 的密鑰，一把叫做 私有密鑰 (private key) ，另一把叫做 公開密鑰 (public key).

在公開密鑰加密方法中，發送方使用接受方發布的公開密鑰進行加密處理，然後發送給接受方，接受方收到加密信息後，再使用自己的私有密鑰進行解密。這種方式不需要發送用來解密的密鑰，也就不用擔心密鑰被攻擊者盜走的情況。

另外，要根據秘文和公開密鑰把信息回復到原文是異常困難的。目前技術而言，不太現實。

㈡ wpa加密演算法選哪個不被破解

WPA-PSK/WPA2-PSK這種最好，最不容易被破解。
WPA-PSK（WPA-Preshared Key,WPA預共享密鑰）：是指WEP預分配共享密鑰的認證方式，在加密方式和密鑰的驗證方式上作了修改，使其安全性更高。

㈢ 什麽是WEP加密

WEP加密是最早在無線加密中使用的技術.

WEP 加密

WEP 加密使用共享密鑰和 RC4 加密演算法。訪問點（AP）和連接到該訪問點的所有工作站必須使用同樣的共享密鑰。對於往任一方向發送的數據包，傳輸程序都將數據包的內容與數據包的檢查和組合在一起。然後，WEP 標准要求傳輸程序創建一個特定於數據包的初始化向量（IV），後者與密鑰相組合在一起，用於對數據包進行加密。接收器生成自己的匹配數據包密鑰並用之對數據包進行解密。在理論上，這種方法優於單獨使用共享私鑰的顯式策略，因為這樣增加了一些特定於數據包的數據，應該使對方更難於破解

http://www.cpluse.com/cn/FAQ/JargonDetail.aspx?ID=539&Kind=1&CategoryID=&ProClassID=&Key=&Sort=&Page=0

㈣ SSH的工作原理

傳統的網路服務程序，比如 FTP ， POP ， Telnet ，本質上都是不安全的，因為它們在網路上用明文傳送數據、用戶賬號和用戶口令，很容易受到 中間人 攻擊方式的攻擊，攻擊者會冒充真正的伺服器接收用戶傳給伺服器的數據，然後再冒充用戶把數據傳給真正的伺服器。

為了滿足安全性的需求， IETF 的網路工作小組制定了 Secure Shell （縮寫為 SSH ），這是一項創建在 應用層 和 傳輸層 基礎上的安全協議，為計算機上的 Shell 提供安全的傳輸和使用環境。

SSH 是目前較可靠，專為遠程登錄會話和其他網路服務提供安全性的協議。利用 SSH 協議可以有效防止遠程管理過程中的信息泄漏問題。通過 SSH 可以對所有傳輸的數據進行加密，也能夠防止DNS欺騙和IP欺騙。

本文將會重點討論 SSH 中用到的加密演算法和建立安全連接的過程。

為了保證信息傳輸的安全性， SSH 使用了對稱加密、非對稱加密和散列等技術。

對稱密鑰加密又稱為對稱加密、私鑰加密、共享密鑰加密，是密碼學中一類加密演算法。這類演算法在加密和解密時使用相同的密鑰，或是使用兩個可以簡單地相互推算的密鑰。

SSH 使用對稱密鑰加密整個連接過程中傳輸的信息。值得注意的是，用戶自己創建的public/private密鑰對僅僅用於驗證，不會用在加密連接上。對稱加密允許對密碼進行身份驗證，以防止第三方窺探。

共享密鑰通過密鑰交換演算法生成，它可以讓雙方在完全沒有對方任何預先信息的條件下通過不安全信道創建起一個密鑰。客戶端和服務端都參與了這個過程，過程的細節將在後面闡述。

生成的密鑰將用來加密這次會話過程中客戶端和服務端傳輸的數據。這個過程會在驗證客戶身份之前完成。

SSH 支持多種對稱密鑰演算法，包括AES，Blowfish，3DES，CAST128和Arcfour。客戶端和服務端可以配置採用演算法的列表。客戶端列表中第一個能被服務端支持的演算法將被採用。

比如在Ubuntu 14.04上，客戶端和服務端默認的配置如下： aes128-ctr , aes192-ctr , aes256-ctr , arcfour256 , arcfour128 , [email protected] , [email protected] , [email protected] , aes128-cbc , blowfish-cbc , cast128-cbc , aes192-cbc , aes256-cbc , arcfour 。
也就是說，如果兩台Ubuntu 14.04採用默認配置，它們總是會採用 aes128-ctr 演算法來加密連接。

在非對稱加密方法中，需要一對密鑰，一個是私鑰，一個是公鑰。這兩個密鑰數學相關。用公鑰加密後所得的信息，只能用私鑰才能解密。如果知道了其中一個，並不能計算另外一個。因此，如果公開了一對密鑰中的一個，並不會危害到另外一個的秘密性質。

SSH 在一些地方使用了非對稱加密。

在密鑰交換過程中使用到了非對稱加密。在這個階段，客戶端和服務端生成臨時密鑰對，並且交換公鑰來生成共享密鑰。

在身份驗證的過程中也使用了非對稱加密。 SSH 密鑰對用來向服務端驗證客戶端身份。客戶端創建一對密鑰，然後將公鑰上傳到遠程伺服器上，寫入文件 ~/.ssh/authorized_keys 。

在創建共享密鑰後，客戶端必須向服務端證明身份。服務端會使用文件中的公鑰加密一段信息，並將加密後的信息發送給客戶端。如果客戶端可以能夠破解這段信息，那麼就能夠證明自己擁有相關的私鑰。之後服務端會為客戶端設置shell環境。

散列是電腦科學中一種對資料的處理方法，它通過某種特定的演算法將要檢索的項與涌來檢索的索引關聯起來，生成一種便於搜索的數據結構（散列表）。它也常用做一種資訊安全的方法，由一串資料中經過散列演算法計算出來的資料指紋，來識別檔案和資料是否有被篡改。

SSH 主要使用了散列消息認證碼（Keyed-hash message authentication code，縮寫為HMAC)，來確認消息沒有被篡改。

上面提到的對稱加密協商過程中，會使用消息認證碼（MAC）演算法。這個演算法會從客戶端支持的演算法中選出。

在密鑰協商完成後，所有的消息都必須攜帶MAC，用於通信雙方驗證消息的一致性。MAC值由共享密鑰，消息的分組序列和實際消息內容計算得到。

在對稱加密區域之外，MAC本身作為分組的最後部分被發送。研究者通常建議先機密數據，然後計算MAC

SSH 協議採用客戶端-服務端模型對兩方進行身份驗證，並對它們之間的數據進行加密。

服務端在指定埠監聽連接請求。它負責協商安全連接，認證連接方，並為客戶端生成正確的shell環境。

客戶端負責協商安全連接，驗證伺服器的身份是否與以前記錄的信息相匹配，並提供憑證進行身份驗證。

SSH會話分為兩個階段。第一個是同意和建立加密來保護未來的溝通。第二個階段是對用戶進行身份驗證，並發現是否應該授予對伺服器的訪問許可權。

當客戶端發起請求後，服務端返回支持的協議版本。如果客戶端可以匹配其中一個協議版本，則連接繼續。服務端會提供它的公共主機密鑰，客戶端可以用這個密鑰來驗證服務端是否合法。

此時，通信雙方採用迪菲-赫爾曼演算法來協商會話密鑰。

該演算法的大致過程如下：

用於其餘連接的共享密鑰加密被稱為二進制數據包協議。上述過程允許雙方平等地參與生成共享密鑰。

生成的密鑰是對稱密鑰，這意味著用於加密消息的密鑰也可以用於解密。其目的是將後面的通信包裝在不能被外部人員解密的加密隧道中。

在生成會話密鑰後，就開始進行用戶身份驗證。

根據伺服器接受的方式，有幾種不同的方法可用於身份驗證。

最簡單的方法是密碼驗證，其中伺服器要求客戶端輸入嘗試登陸賬號的密碼。密碼是通過協商加密發送的。

雖然密碼被加密，但由於密碼的復雜性受到限制，因此通常不建議使用此方法。與其他身份驗證的方法相比，自動腳本相對容易攻破正常長度的密碼。

最為推薦的選擇是使用SSH密鑰對。SSH密鑰對是非對稱密鑰。

公鑰用於加密只能用私鑰解密的數據。公鑰可以自由共享，因為沒有從公鑰中導出私鑰的方法。

驗證流程如下：

可以看到，密鑰的不對稱性允許服務端使用公鑰加密消息給客戶端。然後，客戶端可以通過正確解密消息來證明它擁有私鑰。

筆者本科專業是信息安全，不過畢業後並沒有從事安全行業，工作4年課堂上學習的知識基本忘的差不多了。
而SSH算是工作中最常用到的東西之一，其工作原理涉及不少密碼學的東西。
寫這篇博文，一是希望能幫助讀者了解SSH，二也是希望自己能撿起一些專業知識。在互聯網／軟體相關行業里，不論是否從事安全工作，了解這些東西都是很有必要的。

㈤ 常用的加密演算法有哪些

對稱密鑰加密

對稱密鑰加密 Symmetric Key Algorithm 又稱為對稱加密、私鑰加密、共享密鑰加密：這類演算法在加密和解密時使用相同的密鑰，或是使用兩個可以簡單的相互推算的密鑰，對稱加密的速度一般都很快。

• 分組密碼

分組密碼 Block Cipher 又稱為「分塊加密」或「塊加密」，將明文分成多個等長的模塊，使用確定的演算法和對稱密鑰對每組分別加密解密。這也就意味著分組密碼的一個優點在於可以實現同步加密，因為各分組間可以相對獨立。

與此相對應的是流密碼：利用密鑰由密鑰流發生器產生密鑰流，對明文串進行加密。與分組密碼的不同之處在於加密輸出的結果不僅與單獨明文相關，而是與一組明文相關。

• DES、3DES

數據加密標准 DES Data Encryption Standard 是由IBM在美國國家安全局NSA授權下研製的一種使用56位密鑰的分組密碼演算法，並於1977年被美國國家標准局NBS公布成為美國商用加密標准。但是因為DES固定的密鑰長度，漸漸不再符合在開放式網路中的安全要求，已經於1998年被移出商用加密標准，被更安全的AES標准替代。

DES使用的Feistel Network網路屬於對稱的密碼結構，對信息的加密和解密的過程極為相似或趨同，使得相應的編碼量和線路傳輸的要求也減半。

DES是塊加密演算法，將消息分成64位，即16個十六進制數為一組進行加密，加密後返回相同大小的密碼塊，這樣，從數學上來說，64位0或1組合，就有2^64種可能排列。DES密鑰的長度同樣為64位，但在加密演算法中，每逢第8位，相應位會被用於奇偶校驗而被演算法丟棄，所以DES的密鑰強度實為56位。

3DES Triple DES，使用不同Key重復三次DES加密，加密強度更高，當然速度也就相應的降低。

• AES

高級加密標准 AES Advanced Encryption Standard 為新一代數據加密標准，速度快，安全級別高。由美國國家標准技術研究所NIST選取Rijndael於2000年成為新一代的數據加密標准。

AES的區塊長度固定為128位，密鑰長度可以是128位、192位或256位。AES演算法基於Substitution Permutation Network代換置列網路，將明文塊和密鑰塊作為輸入，並通過交錯的若干輪代換"Substitution"和置換"Permutation"操作產生密文塊。

AES加密過程是在一個4*4的位元組矩陣（或稱為體State）上運作，初始值為一個明文區塊，其中一個元素大小就是明文區塊中的一個Byte，加密時，基本上各輪加密循環均包含這四個步驟：



• ECC

ECC即 Elliptic Curve Cryptography 橢圓曲線密碼學，是基於橢圓曲線數學建立公開密鑰加密的演算法。ECC的主要優勢是在提供相當的安全等級情況下，密鑰長度更小。

ECC的原理是根據有限域上的橢圓曲線上的點群中的離散對數問題ECDLP，而ECDLP是比因式分解問題更難的問題，是指數級的難度。而ECDLP定義為：給定素數p和橢圓曲線E，對Q＝kP，在已知P，Q 的情況下求出小於p的正整數k。可以證明由k和P計算Q比較容易，而由Q和P計算k則比較困難。

• 數字簽名

數字簽名 Digital Signature 又稱公鑰數字簽名是一種用來確保數字消息或文檔真實性的數學方案。一個有效的數字簽名需要給接收者充足的理由來信任消息的可靠來源，而發送者也無法否認這個簽名，並且這個消息在傳輸過程中確保沒有發生變動。

數字簽名的原理在於利用公鑰加密技術，簽名者將消息用私鑰加密，然後公布公鑰，驗證者就使用這個公鑰將加密信息解密並對比消息。一般而言，會使用消息的散列值來作為簽名對象。

㈥ 路由器密鑰哪種加密好

WEP（Wired Equivalent Privacy，有線等效加密）用來保護無線區域網中的授權用戶所交換的數據的機密性，防止這些數據被隨機竊聽。WEP使用RC4加密演算法來保證數據的保密性，通過共享密鑰來實現認證，理論上增加了網路偵聽，會話截獲等的攻擊難度，雖然WEP104在一定程度上提高了WEP加密的安全性，但是受到RC4加密演算法、過短的初始向量和靜態配置密鑰的限制，WEP加密還是存在比較大的安全隱患。

WEP加密方式可以分別和Open system、Shared key鏈路認證方式使用。

1.採用Open system authentication方式：此時WEP密鑰只做加密，即使密鑰配的不一致，用戶也是可以上線，但上線後傳輸的數據會因為密鑰不一致被接收端丟棄。

2.採用Shared key authentication方式：此時如果雙方密鑰不一致，客戶端就不能通過Shared key認證，無法上線。也就是說，當WEP和Shared key認證方式配合使用時，WEP也可以作為一種認證方法。

<1> open authentication比 shared-key authentication安全 <2> WEP open authentication是通過比較CRC值來判斷數據的合法性。

就目前來說WPA2-PSK 安全性交高，但還是會被破解的
要加了MAC限制 SSID 不要廣播

㈦ 對稱加密演算法的加密演算法主要有哪些

1、3DES演算法

3DES（即Triple DES）是DES向AES過渡的加密演算法（1999年，NIST將3-DES指定為過渡的加密標准），加密演算法，其具體實現如下：設Ek()和Dk()代表DES演算法的加密和解密過程，K代表DES演算法使用的密鑰，M代表明文，C代表密文，這樣：

3DES加密過程為：C=Ek3(Dk2(Ek1(M)))

3DES解密過程為：M=Dk1(EK2(Dk3(C)))

2、Blowfish演算法

BlowFish演算法用來加密64Bit長度的字元串。

BlowFish演算法使用兩個「盒」——unsignedlongpbox[18]和unsignedlongsbox[4,256]。

BlowFish演算法中，有一個核心加密函數:BF_En(後文詳細介紹）。該函數輸入64位信息，運算後，以64位密文的形式輸出。用BlowFish演算法加密信息，需要兩個過程：密鑰預處理和信息加密。

分別說明如下：

密鑰預處理：

BlowFish演算法的源密鑰——pbox和sbox是固定的。我們要加密一個信息，需要自己選擇一個key，用這個key對pbox和sbox進行變換，得到下一步信息加密所要用的key_pbox和key_sbox。具體的變化演算法如下：

1)用sbox填充key_sbox

2)用自己選擇的key8個一組地去異或pbox，用異或的結果填充key_pbox。key可以循環使用。

比如說：選的key是"abcdefghijklmn"。則異或過程為：

key_pbox[0]=pbox[0]abcdefgh；

key_pbox[1]=pbox[1]ijklmnab；

…………

…………

如此循環，直到key_pbox填充完畢。

3)用BF_En加密一個全0的64位信息，用輸出的結果替換key_pbox[0]和key_pbox[1],i=0；

4)用BF_En加密替換後的key_pbox,key_pbox[i+1]，用輸出替代key_pbox[i+2]和key_pbox[i+3]；

5)i+2，繼續第4步，直到key_pbox全部被替換；

6)用key_pbox[16]和key_pbox[17]做首次輸入（相當於上面的全0的輸入），用類似的方法，替換key_sbox信息加密。

信息加密就是用函數把待加密信息x分成32位的兩部分:xL,xRBF_En對輸入信息進行變換。

3、RC5演算法

RC5是種比較新的演算法，Rivest設計了RC5的一種特殊的實現方式，因此RC5演算法有一個面向字的結構：RC5-w/r/b，這里w是字長其值可以是16、32或64對於不同的字長明文和密文塊的分組長度為2w位，r是加密輪數，b是密鑰位元組長度。

(7)共享密匙加密演算法擴展閱讀：

普遍而言，有3個獨立密鑰的3DES（密鑰選項1）的密鑰長度為168位（三個56位的DES密鑰），但由於中途相遇攻擊，它的有效安全性僅為112位。密鑰選項2將密鑰長度縮短到了112位，但該選項對特定的選擇明文攻擊和已知明文攻擊的強度較弱，因此NIST認定它只有80位的安全性。

對密鑰選項1的已知最佳攻擊需要約2組已知明文，2部，2次DES加密以及2位內存（該論文提到了時間和內存的其它分配方案）。

這在現在是不現實的，因此NIST認為密鑰選項1可以使用到2030年。若攻擊者試圖在一些可能的（而不是全部的）密鑰中找到正確的，有一種在內存效率上較高的攻擊方法可以用每個密鑰對應的少數選擇明文和約2次加密操作找到2個目標密鑰中的一個。