偽隨機數生成器。混合密鑰加密演算法系統綜合使用了偽隨機數生成器,對稱密碼和公鑰密碼這三種技術組合而成。常見的混合加密演算法主要是指RSA加解密演算法和DES加解密演算法這兩種加解密演算法。
『貳』 HTTPS加密(握手)過程
第一步散弊純:客戶端會發起一個hello client請求,請求中會攜帶TLS版本信息、加密套件候選列表、壓縮演算法候選列表以及一個隨機數。
第二步:服務端收到請求以後也會給客戶端發一個server hello請求,請求中會告訴客戶端它選擇的協議版本、加密套件、壓縮演算法以及一個隨機數。
第三步:服務端會給客戶端發一個server certificate請求,裡麵包含服務端的數字證書,用於客戶端進行校驗。
第四步:服務端會給客戶端發一個server hello done告訴客戶端信息已發送完畢。
第五步:客戶端收到證書以後進行校驗獲取到服務端的公鑰。
第六步:客戶端會將自己的數字證書發給服務端用於校驗。
第七步:客戶端計算出一個隨機數pre-master,然後用公鑰進行加密發送給伺服器端。
第八步:服務端和客卜模戶端都根據自己的隨機數+對端的隨機數+pre-master算出對稱密沖咐鑰,然後再根據對稱密鑰進行通信。
『叄』 在混合加密方式下,( )用來加解密通信過程中所傳輸的數據
取對稱密碼和公鑰密碼的優勢。公鑰密碼處理速度較為受限,並且對中間人防禦力較弱。這兩項問題可以用對稱密碼來解決。
具體步驟:
1:用對稱密碼加密消息。
2:通過偽隨機數生成器生成對稱密碼加密中使用的會話密李握鑰。
3:用公鑰密碼加密會話密鑰。
4:從混哪禪慶合密碼系統外部賦予公鑰密碼加密時使用的密鑰。
也就是說數襲擾據加密本身為對稱演算法密鑰進行加密, 同時用公鑰加密對稱演算法。
『肆』 密碼技術(六)之混合密碼
混合密碼用對稱密碼來加密明文,用公鑰密碼來加密對稱密碼中所使用密鑰。通過使用混合密碼系統,就能夠在通信中將對稱密碼和公鑰密碼的優勢結合起來。
通過使用對稱密碼,我們就能夠在通信中確保機密性。然而要在實際中運用對稱密碼,就必須解決密鑰配送問題,而通過前面介紹的公鑰密碼,解決了配送問題,但是公鑰密碼還有兩個很大的問題:
混合密碼系統(hybrid cryptosystem)是將對稱密碼和公鑰密碼的優勢相結合的方法。一般情況下,將兩種不同的方式相結合的做法就稱為混合(hybrid)。
混合密碼系統中會先用快速的對稱密碼來對消息進行加密,這樣消息就被轉換為了密文,從而保證了消息的機密性。然後我們只要保證對稱密碼的密鑰的機密性就可以了。這里就輪到公鑰密碼出場了,我們可以同公鑰密碼對加密消息時使用的對稱密碼的密鑰進行加密。由於對稱密碼的密鑰一般比消息本身要端,因此公鑰密碼速度慢的問題就可以忽略了。
將消息通過對稱密碼來加密,將加密消息時使用的密鑰通過公鑰公鑰密碼來加密,這樣的兩步密碼機制就是混合密碼系統的本質。
下面羅列一下混合密碼系統的組成機制。
混合密碼系統解決了公鑰密碼速度慢的問題,並通過公鑰密碼解決了對稱密碼的密鑰配送問題。
著名的密碼軟體PGP,以及網路上的密碼通信所使用的SSL/TLS都運用了混合密碼系統。
PGP的處理除了這里介紹的混合密碼系統之外,還包括數字簽名、數字簽名認證以及私鑰管理等處理。PGP處理的流程圖比混合密碼系統要復雜的很多。
怎樣才算是高強度的混合密碼系統呢?混合密碼系統運用了偽隨機數、對稱密碼和公鑰乎激密碼,因此其中每一種技術要素強度都必須很高。然後實際上不僅如此,這些技術要素之間的強度平衡也非常重要。
混合密碼系統中,偽隨機數生成器被用戶產生會話密碼。如果偽隨機數生成器演算法很差,生成的會話密碼要就有可能被攻擊者推測出來。
會話密鑰中那跑只有部分比特被推測出來也是很危險的,因為會話秒的密鑰空間不打很容易通過暴力破解來發動攻擊。
混合密碼系統中,對稱密碼被用於加密消息,當然,我腔橋們需要使用高強度的對稱密碼演算法,並確保密鑰具有足夠的長度。此外,我們還需要選擇使用何時的分組密碼模式。
混合密碼系統中,公鑰密碼被用於加密會話密鑰。我們需要使用高強度的公鑰密碼演算法,並確保密鑰具有足夠的長度。
混合密碼系統中運用了對稱密碼和公鑰密碼兩歲圓襪種密碼方式,無論其中任何一方的密鑰過短,都可能遭到集中攻擊,因此對稱密碼和公鑰密碼的密鑰長度必須具備同等的強度。
然而考慮到長期運用的情況,公鑰密碼的強度應該要高於對稱密碼,因為對稱密碼的會話密鑰被破解只會影響本次通信內容,而公鑰密碼一旦被破譯,從過去到未來的所有通信內容就能夠被破譯了。
該系列的主要內容來自《圖解密碼技術第三版》
我只是知識的搬運工
文章中的插圖來源於原著
『伍』 求高手做題:電子商務安全
ADABC
1.認證機構(CA):為用戶在電子商務交易活動及相關活動提供一個中立、公正、值得信賴的第三方認證服務的機構。
2.數字信封: 包含被加密的內容和被加密的用於加密該內容的密鑰的安全數據包
3.密鑰管理的任務做槐: 包括,從密鑰的產生到密鑰的銷毀的各個方面。主要表現於管理體制、管理協議和密鑰的產生、分配、更換和注入等。
密鑰生命周期: 分為初始化—頒發—取消三個階段
4.不可否認機制:在電子交易的過程中,交易雙方的整個交易過程都由一個雙方信賴第三方進行監管,當發生糾紛時由第三方出面進行公證,維護交易的公正性;
不可否認機制有三種:來源不可否認,接受不可否認和提交不否認。
5.在安全電子交易SET中,持卡人購物時需要向供貨商發送兩個信息,訂貨單信息OI和加密的支付卡信息PI,其中OI是發給供貨商的,而加密後的PI要經過供貨商轉交給支付網關銀行,同一交易的OI和PI事相互關聯的,利用雙重簽名對二者的報文摘要進行簽名,可以分別向供貨商和銀行證明OI和PI的真實性
1.混合加密: 加密方法可分為兩大類:軟加密和硬加密。軟加密用純軟體的方法來實現加密,主要有密碼,軟體校驗碼等;硬加密則是軟體和硬體結合起來的一種加密手段,加密後軟冊胡搭件執行時需要訪問相應的硬體,其加密強度大,成本也高。混合加密是指利用數據加密技術DES和RSA演算法、機器硬體指紋、鑰匙盤等技術對軟體進行混合加密
2.SSL叫安全套接層協議,是國際上最早用的,已成工業標准,但它的基點是商家對客戶信息保密的承諾,因此有利於商家而不利於客戶。
SET叫安全州拿電子交易協議,是為了在互聯網上進行在線交易時保證信用卡支付的安全而設立的一個開放的規范。因它的對象包括消費者、商家、發卡銀行、收單銀行、支付網關、認證中心,所以對消費者與商家同樣有利。它越來越得到眾人認同,將會成為未來電子商務的規范
『陸』 一篇文章搞定密碼學基礎
密碼技術是網路安全的基礎,也是核心。現在對隱私保護、敏感信息尤其重視,所以不論是系統開發還是App開發,只要有網路通信,很多信息都需要進行加密,以防止被截取篡改,雖然很多人每天都在用密碼學的知識,但並不是人人都知道,謹以此篇科普一下~~~
PS:2016.7.10 補充 散列函數與消息摘要
明文M:原始數據,待加密的數據
密文C:對明文進行某種偽裝或變換後的輸出
密鑰K:加密或解密中所使用的專門工具
加密E:用某種方法將明文變成密文的過程
解密D:將密文恢復成明文的過程
一個密碼系統由五元組(M、C、K、E、D)組成,如圖所示
對稱密碼體制 :對信息進行明/密文變換時,加解和解密使用相同密鑰的密碼體制
非對稱密碼體制 :對信息進行明/密文變換時,加密和解密密鑰不相同的密碼體制
在非對稱密碼體制中,每個用戶都具有一對密鑰,一個用於加密,一個用於解密,其中加密密鑰可以公開,稱之為公鑰,解密密鑰屬於秘密,稱之為私鑰,只有用戶一人知道。
混合加密體制 :同時使用對稱密碼和非對稱密碼的體制
對稱加密的一個很大問題就是通信雙方如何將密鑰傳輸給對方,為了安全,一般採取帶外傳輸,也就是說如果加密通信是在網路,那麼密鑰的傳輸需要通過其他途徑,如簡訊,即使如此,也很難保證密鑰傳輸的安全性。非對稱加密加解最大的優點是事先不需要傳輸密鑰,但速度慢,因此實際應用中,經常採取混合密碼體制。假設A與B要實現保密通信,工作過程如下:
Hash函則腔數也稱為 散列函數 ,它能夠對不同長度的輸入信息,產生固定長度的輸出。這種固定長度的輸出稱之為原消息的散列或者 消息摘要 ,消息摘要長度固定且比原始信息小得多,一般情況下,消息摘要是不可逆的,即從消息摘要無法還原原文,為什麼說一般情況下呢,中國出了個牛人王小雲,感興趣的自行Google~~~
散列演算法:散列演算法就是產生信息散列值的演算法,它有一個特性,就是在輸入信息中如果發生細微的改變,比如給變了二進制的一位,都可以改變散列值中每個比特的特性賀洞,導致最後的輸出結果大相徑庭,所以它對於檢測消息或者密鑰等信息對象中的任何微小的變化非常有用。
一個安全的散列演算法H需要滿足:
數字簽名是指發送方以電子形式簽名一個消息或文件,簽名後的消息或文件能在網路中傳輸,並表示簽名人對該消禪盯枯息或文件的內容負有責任。數字簽名綜合使用了消息摘要和非對稱加密技術,可以保證接受者能夠核實發送者對報文的簽名,發送者事後不抵賴報文的簽名,接受者不能篡改報文內容和偽造對報文的簽名。
數字簽名需要做到兩點:
數字簽名的過程與示意圖:
數字證書是一種權威的電子文檔,由權威公正的第三方認證機構(CA)簽發,廣泛用於涉及需要身份認證和數據安全的領域。
數字證書種類:
數字證書功能:
1、信息保密
2、身份確認
3、不可否認性
4、數據完整性
數字證書的格式:
最簡單的可以是:公鑰、名稱和證書授權中心的數字簽名,目前 X.509 是一種通用的證書格式,它的第三個版本目前使用廣泛,證書內容包括:版本、序列號、簽名演算法標識、簽發者、有效期、主體、主體公開密鑰、CA的數字簽名、可選型等等
『柒』 密碼學中的對稱加密和非對稱加密
一、對稱加密
概念:加密和解密用同一對密鑰的加密技術,叫對稱加密。
加密方式:DES、3DES、AES,安全性依次從低到高。
示意圖:
二、非對稱加密,也稱公開密鑰
概念:加密和解密用 不同的密鑰 的加密技術,叫非對稱加密。
典型的加密方式:RSA演算法
加密步驟:
三、兩種方式各自的缺點:
四銷迅模、混合密碼系統
概念:將對稱密碼和公鑰密碼的優勢相結合的方法
優點:解決了公鑰密碼速度慢的問題;通過公鑰密碼解決昌彎了對稱密碼的密鑰配送問題。
應用:網路上的密碼通信所用的SSL/TSL都運用了混合密碼系統。
會話密鑰的生成:
加密步驟:
最終,發出去的消息包括兩部分:
解密步驟:
示意圖:
1. 為什麼加密消息主體要用對稱加密?
因為消息主體信息量大,發送頻繁,而對稱加密速度快,效率高。
2. 為什麼加密會話密鑰要用非對稱加密?
因為會話密鑰一般比較短,而且通常只需要發送一次即可,所虧緩以對速度要求不高,但對安全性要求很高,非對稱加密滿足這個要求。
『捌』 混合密碼系統→對稱密碼、公鑰密碼
混合密碼系統用對稱密碼來加密明文,用公鑰密碼來加密對稱密碼中所使用的密鑰。通過使用混合密碼系統,就能夠在通信中將對稱密碼和公鑰密碼的優勢結合起來。
混合密碼系統能夠解決上述處理速度慢的,但是如果要解決中間人攻擊的問題,則需要對公鑰進行認證(後面的文章會陸續更新)
將消息通過對稱密碼來加密,將加密消息使用的密鑰通過公鑰密碼來加密,這樣的兩步密碼機制就是混合密碼系統的本質。
混合密碼的組成機制
此圖中,右半部分是加密消息的態大部分(對稱密碼),左半部分是加密會話密鑰的部分(公鑰密碼)
消息的加密方法和對稱密碼的一般加密方法相同,當消息很長時,則需要使用分組密碼的模式(後續文章更新會講到),即便非常長的消息,也可以通過對稱密碼快速完成加密,這就是右半部分所進行的處理。
左半部分進行的是會話密鑰的生成和加密操作。
會話密鑰 是指為本次通信而生成的臨時密鑰,它一般是通過偽隨機數生成器產生的,偽隨機數生成器所產生的會話密鑰同時也會被傳遞給右半部分,作為對稱密碼的密鑰使用。
會話密鑰是對稱密碼的密鑰,同時也是公帆雀豎鑰密碼的明文
混合密碼系統的密文是由「用公鑰密碼加密的會話密鑰」和「用對稱密碼加密的消息」組合而成的,因此首先需要將兩者分離(發送者和接收事先約定好密文的結構)
混合密碼系統中運用歲判了對稱密碼和公鑰密碼兩種密碼方式,無論其中任何一方的密鑰過短,都可能遭到集中攻擊,因此對稱密碼和公鑰密碼的密鑰長度必須具備同等的強度。
然而,考慮到長期運用的情況,公鑰密碼的強度應該高於對稱密碼,因為對稱密碼的會話密鑰被破譯只會影響本次通信的內容,而公鑰密碼一旦被破譯,從過去到未來的(用相同的公鑰加密的)所有通信內容就都能夠被破譯了。
『玖』 混合密碼系統
對稱密碼演算法 可以解悶老決機密性問題,加解密速度比公鑰密碼速度快,但是存在密鑰配送問題。
公鑰密碼演算法 可以解決密鑰配送問題,但是直接使用公鑰密碼演算法存塌模在加解密速度慢,浪費計算資源的問題,大概是對稱密碼演算法速度的百分之一。
混合密碼系統(hybird cryptosystem)將 對稱密碼演算法 與 公鑰密碼演算法 配合使用,用 對稱密碼演算法 作為 會話密鑰 來加密明文,提高加密解密速度。用 公鑰密碼團罩緩演算法 來加密對稱密碼演算法中所使用的密鑰,以保護 會話密鑰 。
混合密碼系統通過 對稱密碼演算法 解決通信中的 機密性 問題,通過 對稱密碼演算法 解決 密鑰配送 問題,充分發揮了兩者的優勢,而且彌補了兩者的短板。
將消息通過對稱密碼來加密,將加密消息時使用的密鑰通過公鑰密碼來加密,這樣的兩步密碼機制就是混合密碼系統的本質。
混合密碼系統運用的三種密碼技術:
如圖所示:
會話密鑰 (session key):為本次通信而生成的臨時密鑰,它一般是通過偽隨機數生成器生成的。偽隨機數生成器生成的會話密鑰被傳遞到右半部分,作為對稱密碼的密鑰使用。
如圖所示:
『拾』 混合加密系統的過程
本問題所要求的加密,以此為前提:在發送方向接受方發送信息,或接收方向發送方請求信息時,發送方和接收方會在信道上傳遞信息而不希望第三者知道該信息的真正意義。發送方和接收方留存的、不放在信道的傳播的信息是安全的,不會為第三者所知的;放在信道上傳播的信息是不安全的,會被第三者截獲的。
「混合」加密系統,是混合了對稱加密方法和非對稱加密方法的加密通信手段。要解釋混合加密系統,必須以理解對稱加密和非對稱加密為前提。
混合加密系統融合了對稱加密和非對稱加密的優勢,並補足了兩者的缺點。對稱加密速度快,但安全性難以保證;非對稱加密安全性高,但速度慢,無法滿足大量信息的加密傳送。對於兩者的詳述,請參考網路的解釋。為防止喧賓奪主,這里不展開描述。
對稱加密非對稱加密
在此處首先定義三個概念以方便闡述:
1.對稱密鑰:即可用於加密明文,又可用於解密密文。
2.非對稱私鑰:可用於解密密文。
3.非對稱公鑰:可用於加密明文,但無法用於解密密文。
混合加密系統的工作流程,以乙向單方面甲要求信息為例,至於雙向信息交流由同理易得,不做贅述。
1.乙向甲發送請求,希望得到信息。
2.乙創建非對稱私鑰和非對稱公鑰,將非對稱公鑰發送給甲。
3.甲創建明文、對稱公鑰,以對稱公鑰加密明文得到密文,再用非對稱公鑰加密對稱公鑰得到加密後的對稱公鑰。甲再將加密後的對稱公鑰和密文發送給乙。
4.乙用非對稱私鑰解密加密後的對稱公鑰,得到對稱公鑰。乙再用對稱公鑰解密密文,得到所要的明文。
在斜體加粗所標明的,在傳播過程中被第三者截獲的信息有:非對稱公鑰、加密後的對稱公鑰、密文。第三者欲破解密文,必須有對稱公鑰;欲破解加密後的對稱公鑰,必須有非對稱私鑰。而私鑰被乙方保留,第三者無從獲得。故第三者無法得到明文。至此,乙得到了向甲要求的信息,而第三者無從得到信息的真正含義。
這種做法既具有非對稱加密的安全性,因為非對稱密鑰是保密的;又具有對稱加密的高效率,因為用非對稱加密方法加密的是相對短小的對稱密鑰而非要傳輸的大量信息。
從其他角度進行的,更加詳盡的表述請參閱其他文章:
混合加密1混合加密2混合加密3混合加密4
混合加密5