加密演算法03期

❶ 誰幫我介紹下加密對稱演算法

A．對稱加密技術 a. 描述 對稱演算法（symmetric algorithm），有時又叫傳統密碼演算法，就是加密密鑰能夠從解密密鑰中推算出來，同時解密密鑰也可以從加密密鑰中推算出來。而在大多數的對稱演算法中，加密密鑰和解密密鑰是相同的。所以也稱這種加密演算法為秘密密鑰演算法或單密鑰演算法。它要求發送方和接收方在安全通信之前，商定一個密鑰。對稱演算法的安全性依賴於密鑰，泄漏密鑰就意味著任何人都可以對他們發送或接收的消息解密，所以密鑰的保密性對通信性至關重要。 b．特點分析 對稱加密的優點在於演算法實現後的效率高、速度快。 對稱加密的缺點在於密鑰的管理過於復雜。如果任何一對發送方和接收方都有他們各自商議的密鑰的話，那麼很明顯，假設有N個用戶進行對稱加密通信，如果按照上述方法，則他們要產生N(N-1)把密鑰，每一個用戶要記住或保留N-1把密鑰，當N很大時，記住是不可能的，而保留起來又會引起密鑰泄漏可能性的增加。常用的對稱加密演算法有DES，DEA等。 B．非對稱加密技術 a.描述 非對稱加密（dissymmetrical encryption），有時又叫公開密鑰演算法（public key algorithm）。這種加密演算法是這樣設計的：用作加密的密鑰不同於用作解密的密鑰，而且解密密鑰不能根據加密密鑰計算出來（至少在合理假定的長時間內）。之所以又叫做公開密鑰演算法是由於加密密鑰可以公開，即陌生人可以得到它並用來加密信息，但只有用相應的解密密鑰才能解密信息。在這種加密演算法中，加密密鑰被叫做公開密鑰（public key）,而解密密鑰被叫做私有密鑰（private key）。 b.特點分析 非對稱加密的缺點在於演算法實現後的效率低、速度慢。 非對稱加密的優點在於用戶不必記憶大量的提前商定好的密鑰，因為發送方和接收方事先根本不必商定密鑰，發放方只要可以得到可靠的接收方的公開密鑰就可以給他發送信息了，而且即使雙方根本互不相識。但為了保證可靠性，非對稱加密演算法需要一種與之相配合使用的公開密鑰管理機制，這種公開密鑰管理機制還要解決其他一些公開密鑰所帶來的問題。常用的非對稱加密演算法有RSA等。 (3) 關於密碼技術 密碼技術包括加密技術和密碼分析技術，也即加密和解密技術兩個方面。在一個新的加密演算法的研發需要有相應的數學理論證明，證明這個演算法的安全性有多高，同時還要從密碼分析的角度對這個演算法進行安全證明，說明這個演算法對於所知的分析方法來說是有防範作用的。 三、對稱加密演算法分析 對稱加密演算法的分類 對稱加密演算法可以分成兩類：一類為序列演算法（stream algorithm）：一次只對明文中單個位（有時為位元組）加密或解密運算。另一類為分組演算法（block algorithm）：一次明文的一組固定長度的位元組加密或解密運算。 現代計算機密碼演算法一般採用的都是分組演算法，而且一般分組的長度為64位，之所以如此是由於這個長度大到足以防止分析破譯，但又小到足以方便使用。 1．DES加密演算法 （Data Encryption Standard ）
(1) 演算法簡介
1973 年 5 月 15 日，美國國家標准局 (NBS) 在「聯邦注冊」上發布了一條通知，徵求密碼演算法，用於在傳輸和存儲期間保護數據。IBM 提交了一個候選演算法，它是 IBM 內部開發的，名為 LUCIFER。在美國國家安全局 (NSA) 的「指導」下完成了演算法評估之後，在 1977 年 7 月 15 日，NBS 採納了 LUCIFER 演算法的修正版作為新的數據加密標准。
原先規定使用10年，但由於新的加密標准還沒有完成，所以DES演算法及其的變形演算法一直廣泛的應用於信息加密方面。 (2) 演算法描述 (包括加密和解密)
Feistel結構（畫圖說明）。

DES 的工作方式：可怕的細節
DES 將消息分成 64 位（即 16 個十六進制數）一組進行加密。DES 使用「密鑰」進行加密，從符號的角度來看，「密鑰」的長度是 16 個十六進制數（或 64 位）。但是，由於某些原因（可能是因為 NSA 給 NBS 的「指引」），DES 演算法中每逢第 8 位就被忽略。這造成密鑰的實際大小變成 56 位。編碼系統對「強行」或「野蠻」攻擊的抵抗力與其密鑰空間或者系統可能有多少密鑰有直接關系。使用的位數越多轉換出的密鑰也越多。密鑰越多，就意味著強行攻擊中計算密鑰空間中可能的密鑰范圍所需的時間就越長。從總長度中切除 8 位就會在很大程度上限制了密鑰空間，這樣系統就更容易受到破壞。
DES 是塊加密演算法。這表示它處理特定大小的純文本塊（通常是 64 位），然後返回相同大小的密碼塊。這樣，64 位（每位不是 0 就是 1）有 264 種可能排列，DES 將生成其中的一種排列。每個 64 位的塊都被分成 L、R 左右兩塊，每塊 32 位。
DES 演算法使用以下步驟：
1. 創建 16 個子密鑰，每個長度是 48 位。根據指定的順序或「表」置換 64 位的密鑰。如果表中的第一項是 "27"，這表示原始密鑰 K 中的第 27 位將變成置換後的密鑰 K+ 的第一位。如果表的第二項是 36，則這表示原始密鑰中的第 36 位將變成置換後密鑰的第二位，以此類推。這是一個線性替換方法，它創建了一種線性排列。置換後的密鑰中只出現了原始密鑰中的 56 位。
2. 接著，將這個密鑰分成左右兩半，C0 和 D0，每一半 28 位。定義了 C0 和 D0 之後，創建 16 個 Cn 和 Dn 塊，其中 1<=n<=16。每一對 Cn 和 Dn 塊都通過使用標識「左移位」的表分別從前一對 Cn-1 和 Dn-1 形成，n = 1, 2, ..., 16，而「左移位」表說明了要對哪一位進行操作。在所有情況下，單一左移位表示這些位輪流向左移動一個位置。在一次左移位之後，28 個位置中的這些位分別是以前的第 2、3……28 位。
通過將另一個置換表應用於每一個 CnDn 連接對，從而形成密鑰 Kn，1<=n<=16。每一對有 56 位，而置換表只使用其中的 48 位，因為每逢第 8 位都將被忽略。
3. 編碼每個 64 位的數據塊。
64 位的消息數據 M 有一個初始置換 IP。這將根據置換表重新排列這些位，置換表中的項按這些位的初始順序描述了它們新的排列。我們以前見過這種線性表結構。
使用函數 f 來生成一個 32 位的塊，函數 f 對兩個塊進行操作，一個是 32 位的數據塊，一個是 48 位的密鑰 Kn，連續迭代 16 次，其中 1<=n<=16。用 + 表示 XOR 加法（逐位相加，模除 2）。然後，n 從 1 到 16，計算 Ln = Rn-1 Rn = Ln-1 + f(Rn-1,Kn)。即在每次迭代中，我們用前一結果的右邊 32 位，並使它們成為當前步驟中的左邊 32 位。對於當前步驟中的右邊 32 位，我們用演算法 f XOR 前一步驟中的左邊 32 位。
要計算 f，首先將每一塊 Rn-1 從 32 位擴展到 48 位。可以使用選擇表來重復 Rn-1 中的一些位來完成這一操作。這個選擇表的使用就成了函數 f。因此 f(Rn-1) 的輸入塊是 32 位，輸出塊是 48 位。f 的輸出是 48 位，寫成 8 塊，每塊 6 位，這是通過根據已知表按順序選擇輸入中的位來實現的。
我們已經使用選擇表將 Rn-1 從 32 位擴展成 48 位，並將結果 XOR 密鑰 Kn。現在有 48 位，或者是 8 組，每組 6 位。每組中的 6 位現在將經歷一次變換，該變換是演算法的核心部分：在叫做「S 盒」的表中，我們將這些位當作地址使用。每組 6 位在不同的 S 盒中表示不同的地址。該地址中是一個 4 位數字，它將替換原來的 6 位。最終結果是 8 組，每組 6 位變換成 8 組，每組 4 位（S 盒的 4 位輸出），總共 32 位。
f 計算的最後階段是對 S 盒輸出執行置換 P，以得到 f 的最終值。f 的形式是 f = P(S1(B1)S2(B2)...S8(B8))。置換 P 根據 32 位輸入，在以上的過程中通過置換輸入塊中的位，生成 32 位輸出。

解密只是加密的逆過程，使用以上相同的步驟，但要逆轉應用子密鑰的順序。DES 演算法是可逆的
(2) 演算法的安全性分析
在知道一些明文和密文分組的條件下，從理論上講很容易知道對DES進行一次窮舉攻擊的復雜程度：密鑰的長度是56位，所以會有 種的可能的密鑰。
在1993年的一年一度的世界密碼大會上，加拿大北方電信公司貝爾實驗室的 Michael Wiener 描述了如何構造一台專用的機器破譯DES，該機器利用一種每秒能搜索5000萬個密鑰的專用晶元。而且此機器的擴展性很好，投入的經費越多則效率越高。用100萬美元構造的機器平均3.5小時就可以破譯密碼。
如果不用專用的機器，破譯DES也有其他的方法。在1994年的世界密碼大會上，M.Matsui 提出一種攻克DES的新方法--"線性密碼分析"法。它可使用平均 個明文及其密文，在12台HP9000/735工作站上用此方法的軟體實現，花費50天時間完成對DES的攻擊。
如前所述DES作為加密演算法的標准已經二十多年了，可以說是一個很老的演算法，而在新的加密演算法的國際標准出現之前，許多DES的加固性改進演算法仍有實用價值，在本文的3.4節詳細的描述，同時考慮的以上所述DES的安全性已受到了威脅。
(4) 演算法的變體 三重DES（TDEA），使用3個密鑰，執行3次DES演算法：
加密：C = Ek3[Dk2[Ek1[P]]] 解密：P = Dk1[Ek2[Dk3[C]]]
特點：安全性得到增強，但是速度變慢。
2.AES
自 20 世紀 70 年代以來一直廣泛使用的「數據加密標准」(DES) 日益顯出衰老的痕跡，而一種新的演算法 -- Rijndael -- 正順利地逐漸變成新標准。這里，Larry Loeb 詳細說明了每一種演算法，並提供了關於為什麼會發生這種變化的內幕信息。
DES 演算法是全世界最廣泛使用的加密演算法。最近，就在 2000 年 10 月，它在其初期就取得的硬體方面的優勢已經阻礙了其發展，作為政府加密技術的基礎，它已由「高級加密標准」(AES) 中包含的另一種加密演算法代替了。AES 是指定的標准密碼系統，未來將由政府和銀行業用戶使用。AES 用來實際編碼數據的加密演算法與以前的 DES 標准不同。我們將討論這是如何發生的，以及 AES 中的 Rijndael 演算法是如何取代 DES 的演算法的。
「高級加密標准」成就
但直到 1997 年，美國國家標准技術局 (NIST) 才開始打著 AES 項目的旗幟徵集其接任者。1997 年 4 月的一個 AES 研討會宣布了以下 AES 成就的最初目標：
• 可供政府和商業使用的功能強大的加密演算法
• 支持標准密碼本方式
• 要明顯比 DES 3 有效
• 密鑰大小可變，這樣就可在必要時增加安全性
• 以公正和公開的方式進行選擇
• 可以公開定義
• 可以公開評估
AES 的草案中最低可接受要求和評估標準是：
A.1 AES 應該可以公開定義。
A.2 AES 應該是對稱的塊密碼。
A.3 AES 應該設計成密鑰長度可以根據需要增加。
A.4 AES 應該可以在硬體和軟體中實現。
A.5 AES 應該 a) 可免費獲得。
A.6 將根據以下要素評價符合上述要求的演算法：
1. 安全性（密碼分析所需的努力）
2. 計算效率
3. 內存需求
4. 硬體和軟體可適用性
5. 簡易性
6. 靈活性
7. 許可證需求（見上面的 A5）
Rijndael：AES 演算法獲勝者
1998年8月20日NIST召開了第一次AES侯選會議，並公布了15個AES侯選演算法。經過一年的考察，MARS，RC6，Rijndael，Serpent，Twofish共5種演算法通過了第二輪的選拔。2000 年 10 月，NIST 選擇 Rijndael（發音為 "Rhine dale"）作為 AES 演算法。它目前還不會代替 DES 3 成為政府日常加密的方法，因為它還須通過測試過程，「使用者」將在該測試過程後發表他們的看法。但相信它可以順利過關。
Rijndael 是帶有可變塊長和可變密鑰長度的迭代塊密碼。塊長和密鑰長度可以分別指定成 128、192 或 256 位。
Rijndael 中的某些操作是在位元組級上定義的，位元組表示有限欄位 GF(28) 中的元素，一個位元組中有 8 位。其它操作都根據 4 位元組字定義。
加法照例對應於位元組級的簡單逐位 EXOR。
在多項式表示中，GF(28) 的乘法對應於多項式乘法模除階數為 8 的不可約分二進制多項式。（如果一個多項式除了 1 和它本身之外沒有其它約數，則稱它為不可約分的。）對於 Rijndael，這個多項式叫做 m(x)，其中：m(x) = (x8 + x4 + x3 + x + 1) 或者十六進製表示為 '11B'。其結果是一個階數低於 8 的二進制多項式。不像加法，它沒有位元組級的簡單操作。
不使用 Feistel 結構！
在大多數加密演算法中，輪回變換都使用著名的 Feistel 結構。在這個結構中，中間 State 的位部分通常不做更改調換到另一個位置。（這種線性結構的示例是我們在 DES 部分中討論的那些表，即使用固定表的形式交換位。）Rijndael 的輪回變換不使用這個古老的 Feistel 結構。輪回變換由三個不同的可逆一致變換組成，叫做層。（「一致」在這里表示以類似方法處理 State 中的位。）
線性混合層保證了在多個輪回後的高度擴散。非線性層使用 S 盒的並行應用，該應用程序有期望的（因此是最佳的）最差非線性特性。S 盒是非線性的。依我看來，這就 DES 和 Rijndael 之間的密鑰概念差異。密鑰加法層是對中間 State 的輪回密鑰 (Round Key) 的簡單 EXOR，如以下所注。

Rijndael演算法

加密演算法
Rijndael演算法是一個由可變數據塊長和可變密鑰長的迭代分組加密演算法，數據塊長和密鑰長可分別為128，192或256比特。
數據塊要經過多次數據變換操作，每一次變換操作產生一個中間結果，這個中間結果叫做狀態。狀態可表示為二維位元組數組，它有4行，Nb列，且Nb等於數據塊長除32。如表2-3所示。

a0,0 a0,1 a0,2 a0,3 a0,4 a0,5
a1,0 a1,1 a1,2 a1,3 a1,4 a1,5
a2,0 a2,1 a2,2 a2,3 a2,4 a2,5
a3,0 a3,1 a3,2 a3,3 a3,4 a3,5

數據塊按a0,0 , a1,0 , a2,0 , a3,0 , a0,1 , a1,1 , a2,1 , a3,1 , a0,2…的順序映射為狀態中的位元組。在加密操作結束時，密文按同樣的順序從狀態中抽取。
密鑰也可類似地表示為二維位元組數組，它有4行，Nk列，且Nk等於密鑰塊長除32。演算法變換的圈數Nr由Nb和Nk共同決定，具體值列在表2-4中。
表3-2 Nb和Nk決定的Nr的值
Nr Nb = 4 Nb = 6 Nb = 8
Nk = 4 10 12 14
Nk = 6 12 12 14
Nk = 8 14 14 14

3.2.1圈變換
加密演算法的圈變換由4個不同的變換組成，定義成：
Round(State,RoundKey)
{
ByteSub(State);
ShiftRow(State);
MixColumn(State);
AddRoundKey(State,RoundKey); (EXORing a Round Key to the State)
}
加密演算法的最後一圈變換與上面的略有不同，定義如下：
FinalRound(State,RoundKey)
{
ByteSub(State);
ShiftRow(State);
AddRoundKey(State,RoundKey);
}

ByteSub變換
ByteSub變換是作用在狀態中每個位元組上的一種非線形位元組變換。這個S盒子是可逆的且由以下兩部分組成：
把位元組的值用它的乘法逆替代，其中『00』的逆就是它自己。
經（1）處理後的位元組值進行如下定義的仿射變換：

y0 1 1 1 1 1 0 0 0 x0 0
y1 0 1 1 1 1 1 0 0 x1 1
y2 0 0 1 1 1 1 1 0 x2 1
y3 0 0 0 1 1 1 1 1 x3 0
y4 = 1 0 0 0 1 1 1 1 x4 + 0
y5 1 1 0 0 0 1 1 1 x5 0
y6 1 1 1 0 0 0 1 1 x6 1
y7 1 1 1 1 0 0 0 1 x7 1

ShiftRow變換
在ShiftRow變換中，狀態的後3行以不同的移位值循環右移，行1移C1位元組，行2移C2位元組，行3移C3位元組。
移位值C1，C2和C3與加密塊長Nb有關，具體列在表2-5中：
表3-3 不同塊長的移位值
Nb C1 C2 C3
4 1 2 3

MixColumn變換
在MixColumn變換中，把狀態中的每一列看作GF（28）上的多項式與一固定多項式c(x)相乘然後模多項式x4+1，其中c(x)為：
c(x) =『03』x3 + 『01』x2 + 『01』x + 『02』
圈密鑰加法
在這個操作中，圈密鑰被簡單地使用異或操作按位應用到狀態中。圈密鑰通過密鑰編製得到，圈密鑰長等於數據塊長Nb。

在這個表示法中，「函數」(Round, ByteSub, ShiftRow,...) 對那些被提供指針 (State, RoundKey) 的數組進行操作。ByteSub 變換是非線性位元組交換，各自作用於每個 State 位元組上。在 ShiftRow 中，State 的行按不同的偏移量循環移位。在 MixColumn 中，將 State 的列視為 GF(28) 多項式，然後乘以固定多項式 c( x ) 並模除 x4 + 1，其中 c( x ) = '03' x3 + '01' x2+ '01' x + '02'。這個多項式與 x4 + 1 互質，因此是可逆的。
輪回密鑰通過密鑰計劃方式從密碼密鑰 (Cipher Key) 派生而出。它有兩個組件：密鑰擴展 (Key Expansion) 和輪回密鑰選擇 (Round Key Selection)。輪回密鑰的總位數等於塊長度乘以輪回次數加 1（例如，塊長度等於 128 位，10 次輪回，那麼就需要 1408 個輪回密鑰位）。
密碼密鑰擴充成擴展密鑰 (Expanded Key)。輪回密鑰是通過以下方法從這個擴展密鑰中派生的：第一個輪回密鑰由前 Nb（Nb = 塊長度）個字組成，第二個由接著的 Nb 個字組成，以此類推。
加密演算法由以下部分組成：初始輪回密鑰加法、Nr-1 個輪回和最後一個輪回。在偽 C 代碼中：
Rijndael(State,CipherKey)
{
KeyExpansion(CipherKey,ExpandedKey);
AddRoundKey(State,ExpandedKey);
For( i=1 ; i<Nr ; i++ ) Round(State,ExpandedKey + Nb*i);
FinalRound(State,ExpandedKey + Nb*Nr).
}
如果已經預先執行了密鑰擴展，則可以根據擴展密鑰指定加密演算法。
Rijndael(State,ExpandedKey)
{
AddRoundKey(State,ExpandedKey);
For( i=1 ; i<Nr ; i++ ) Round(State,ExpandedKey + Nb*i);
FinalRound(State,ExpandedKey + Nb*Nr);
}
由於 Rijndael 是可逆的，解密過程只是顛倒上述的步驟。
最後，開發者將仔細考慮如何集成這種安全性進展，使之成為繼 Rijndael 之後又一個得到廣泛使用的加密演算法。AES 將很快應一般商業團體的要求取代 DES 成為標准，而該領域的發展進步無疑將追隨其後。

3．IDEA加密演算法 (1) 演算法簡介 IDEA演算法是International Data Encryption Algorithmic 的縮寫，意為國際數據加密演算法。是由中國學者朱學嘉博士和著名密碼學家James Massey 於1990年聯合提出的，當時被叫作PES（Proposed Encryption Standard）演算法，後為了加強抵抗差分密碼分，經修改於1992年最後完成，並命名為IDEA演算法。 (2) 演算法描述 這個部分參見論文上的圖 (3) 演算法的安全性分析 安全性：IDEA的密鑰長度是128位，比DES長了2倍多。所以如果用窮舉強行攻擊的話， 么，為了獲得密鑰需要 次搜索，如果可以設計一種每秒能搜索十億把密鑰的晶元，並且 採用十億個晶元來並行處理的話，也要用上 年。而對於其他攻擊方式來說，由於此演算法 比較的新，在設計時已經考慮到了如差分攻擊等密碼分析的威脅，所以還未有關於有誰 發現了能比較成功的攻擊IDEA方法的結果。從這點來看，IDEA還是很安全的。
4．總結
幾種演算法的性能對比
演算法 密鑰長度 分組長度 循環次數
DES 56 64 16
三重DES 112、168 64 48
AES 128、192、256 128 10、12、14
IDEA 128 64 8

速度：在200MHz的奔騰機上的對比。
C＋＋ DJGP(++pgcc101)
AES 30.2Mbps 68.275Mbps
DES(RSAREF) 10.6Mbps 16.7Mbps
3DES 4.4Mbps 7.3Mbps

Celeron 1GHz的機器上AES的速度,加密內存中的數據
128bits密鑰：
C/C++ (Mbps) 匯編(Mbps)
linux 2.4.7 93 170
Windows2K 107 154
256bits密鑰：
C/C++ (Mbps) 匯編(Mbps)
Linux 2.4.7 76 148
Windows2K 92 135

安全性
1990年以來，特製的"DES Cracker"的機器可在幾個小時內找出一個DES密鑰。換句話說，通過測試所有可能的密鑰值，此硬體可以確定用於加密信息的是哪個密鑰。假設一台一秒內可找出DES密鑰的機器(如，每秒試255個密鑰)，如果用它來找出128-bit AES的密鑰，大約需要149萬億年。

四、對稱加密應用 在保密通信中的應用。（保密電話） 附加內容
安全哈希演算法（SHA）
由NIST開發出來的。
此演算法以最大長度不超過264位的消息為輸入，生成160位的消息摘要輸出。主要步驟：
1． 附加填充位
2． 附加長度
3． 初始化MD緩沖區，為160位的數據
A=67452301
B=EFCDAB89
C=89BADCFE
D=10325476
E=C3D2E1F0
4． 處理512位消息塊，將緩沖虛數據和消息塊共同計算出下一個輸出
5． 輸出160位摘要
此外還有其他哈希演算法，如MD5（128位摘要），RIPEMD-160（160位摘要）等。

❷ 哈希碼值是什麼 什麼是哈希碼 轉 詳細03麻煩告訴我

哈希碼值是什麼 什麼是哈希碼 轉 哈希碼值是什麼?什麼事哈希碼?哈希值，私鑰加密和公鑰加密1.哈希值哈希演算法將任意長度的二進制值映射為固定長度的較小二進制值，這個小的二進制值稱為哈希值。哈希值是一段數據唯一且極其緊湊的數值表示形式。如果散列一段明文而且哪怕只更改該段落的一個字母，隨後的哈希都將產生不同的值。要找到散列為同一個值的兩個不同的輸入，在計算上是不可能的。消息身份驗證代碼(MAC)哈希函數通常與數字簽名一起用於對數據進行簽名，而消息檢測代碼(MDC)哈希函數則用於數據完整性。小紅和小明可按下面的方式使用哈希函數以確保數據完整性。如果小紅對小明編寫一條消息並創建該消息的哈希，則小明可以在稍後散列該消息並將他的哈希與原始哈希進行比較。如果兩個哈希值相同，則該消息沒有被更改；但是，如果值不相同，則該消息在小紅編寫它之後已被更改。為了使此系統運行，小紅必須對除小明外的所有人保密原始的哈希值。.NET Framework 提供以下實現數字簽名演算法的類：HMACSHA1 MACTripleDES MD5CryptoServiceProvider SHA1Managed SHA256Managed SHA384Managed SHA512Managed 隨機數生成隨機數生成是許多加密操作不可分割的組成部分。例如，加密密鑰需要盡可能地隨機，以便使生成的密鑰很難再現。加密隨機數生成器必須生成無法以計算方法推算出(低於p.05 的概率)的輸出；即，任何推算下一個輸出位的方法不得比隨機猜測具有更高的成功概率。.NET Framework 中的類使用隨機數生成器生成加密密鑰。 RNGCryptoServiceProvider 是隨機數生成器演算法的實現。2.私鑰加密私鑰加密演算法使用單個私鑰來加密和解密數據。由於具有密鑰的任意一方都可以使用該密鑰解密數據，因此必須保護密鑰不被未經授權的代理得到。私鑰加密又稱為對稱加密，因為同一密鑰既用於加密又用於解密。私鑰加密演算法非常快(與公鑰演算法相比)，特別適用於對較大的數據流執行加密轉換。通常，私鑰演算法(稱為塊密碼)用於一次加密一個數據塊。塊密碼(如RC2、DES、TrippleDES 和 Rijndael)通過加密將n 位元組的輸入塊轉換為加密位元組的輸出塊。如果要加密或解密位元組序列，必須逐塊進行。由於n 的大小很小(對於RC2、DES 和 TripleDES，n=8 位元組；n=16[默認值]；n=24；對於Rijndael，n=32)，因此必須對大於n 位元組的值一次加密一個塊。基類庫中提供的塊密碼類使用稱作密碼塊鏈(CBC)的鏈模式，它使用一個密鑰和一個初始化向量(IV)對數據執行加密轉 換。對於給定的私鑰k，一個未使用初始化向量的簡單塊密碼將把相同的明文輸入塊加密為同樣的密文輸出塊。如果在明文流內有重復的塊，那麼在密文流內也會有重復的塊。如果未經授權的用戶知道有關明文塊的結構的所有信息，就可以使用該信息解密已知的密文塊並有可能獲得您的密鑰。若要克服這個問題，可將上一個塊中的信息混合到加密下一個塊的過程中。這樣，兩個相同的明文塊的輸出就會不同。由於該技術使用上一個塊加密下一個塊，因此使用了一個IV 來加密數據的第一個塊。使用該系統，未經授權的用戶有可能知道的公共消息標頭將無法用於對密鑰進行反向工程。可以危及用此類型密碼加密的數據的一個方法是，對每個可能的密鑰執行窮舉搜索。根據用於執行加密的密鑰大小，即使使用最快的計算機執行這種搜索，也極其耗時，因此難以實施。使用較大的密鑰大小將使解密更加困難。雖然從理論上說加密不會使對手無法檢索加密的數據，但它確實極大增加了這樣做的成本。如果執行徹底搜索來檢索只在幾天內有意義的數據需要花費三個月的時間，那麼窮舉搜索的方法是不實用的。私鑰加密的缺點是它假定雙方已就密鑰和IV 達成協議，並且互相傳達了密鑰和IV 的值。並且，密鑰必須對未經授權的用戶保密。由於存在這些問題，私鑰加密通常與公鑰加密一起使用，來秘密地傳達密鑰和IV 的值。假設小紅和小明是要在不安全的信道上進行通信的雙方，他們可能按以下方式使用私鑰加密。小紅和小明都同意使用一種具有特定密鑰和 IV 的特定演算法(如 Rijndael)。小紅撰寫一條消息並創建要在其上發送該消息的網路流。接下來，她使用該密鑰和IV 加密該文本，並通過Internet 發送該文本。她沒有將密鑰和IV 發送給小明。小明收到該加密文本並使用預先商定的密鑰和IV 對它進行解密。如果該傳輸被截獲，截獲者將無法恢復原始消息，原因是截獲者不知道密鑰或IV。在這個方案中，密鑰必須保密，但IV 不需要保密。在一個實際方案中，將由小紅或小明生成私鑰並使用公鑰(不對稱)加密將該私鑰(對稱)傳遞給對方。有關更多信息，請參見"公鑰加密"。.NET Framework 提供以下實現私鑰加密演算法的類： DESCryptoServiceProvider RC2CryptoServiceProvider RijndaelManaged 3.公鑰加密公鑰加密使用一個必須對未經授權的用戶保密的私鑰和一個可以對任何人公開的公鑰。公鑰和私鑰都在數學上相關聯；用公鑰加密的數據只能用私鑰解密，而用私鑰簽名的數據只能用公鑰驗證。公鑰可以被任何人使用；該密鑰用於加密要發送到私鑰持有者的數據。兩個密鑰對於通信會話都是唯一的。公鑰加密演算法也稱為不對稱演算法，原因是需要用一個密鑰加密數據而需要用另一個密鑰來解密數據。公鑰加密演算法使用 固定的緩沖區大小，而私鑰加密演算法使用長度可變的緩沖區。公鑰演算法無法像私鑰演算法那樣將數據鏈接起來成為流，原因是它只可以加密少量數據。因此，不對稱操作不使用與對稱操作相同的流模型。雙方(小紅和小明)可以按照下列方式使用公鑰加密。首先，小紅生成一個公鑰/私鑰對。如果小明想要給小紅發送一條加密的消息，他將向她索要她的公鑰。小紅通過不安全的網路將她的公鑰發送給小明，小明接著使用該密鑰加密消息。(如果小明在不安全的信道如公共網路上收到小紅的密鑰，則小明必須同小紅驗證他具有她的公鑰的正確副本。)小明將加密的消息發送給小紅，而小紅使用她的私鑰解密該消息。但是，在傳輸小紅的公鑰期間，未經授權的代理可能截獲該密鑰。而且，同一代理可能截獲來自小明的加密消息。但是，該代理無法用公鑰解密該消息。該消息只能用小紅的私鑰解密，而該私鑰沒有被傳輸。小紅不使用她的私鑰加密給小明的答復消息，原因是任何具有該公鑰的人都可以解密該消息。如果小紅想要將消息發送回小明，她將向小明索要他的公鑰並使用該公鑰加密她的消息。然後，小明使用與他相關聯的私鑰來解密該消息。在一個實際方案中，小紅和小明使用公鑰(不對稱)加密來傳輸私(對稱)鑰，而對他們的會話的其餘部分使用私鑰加密。公鑰加密具有更大的密鑰空間(或密鑰的可能值范圍)，因此不大容易受到對每個可能密鑰都進行嘗試的窮舉攻擊的影響。由於不必保護公鑰，因此它易於分發。公鑰演算法可用於創建數字簽名以驗證數據發送方的標識。但是，公鑰演算法非常緩慢(與私鑰演算法相比)，不適合用來加密大量數據。公鑰演算法僅對傳輸很少量的數據有用。

❸ HTTPS的前世今生和原理詳解

HTTPS網路：

HTTP是明文傳輸的協議，數據很容易被竊聽和篡改，並且攻擊者很容易冒充客戶端和服務端，HTTPS可以解決這兩個的安全問題。HTTS仍是HTTP協議，只是在HTTP與TCP之間添加了用於加密數據的TSL/SSL協議。很多其它應用層的協議也採用在傳輸層之上添加TSL/SSL協議來保證安全，如FTPS、IMAPS。

加密和解密使用的是同一個密鑰。加密和解密的雙發都需要持有同一個密鑰。常見對稱加密演算法：AES、DES、3DES。

加密和解密使用的是不同的密鑰，加密時使用的密鑰稱為公鑰匙，解密是使用的密鑰稱為私鑰。使用公鑰加密的密文只能用私鑰解開。公鑰可以發布出去使用，但私鑰一定不能泄漏。常見的非對稱加密演算法：RSA、背包演算法、ECC。

數字簽名用於校驗數據是否被篡改，即數據是否和原數據是否一致。
數字簽名包含簽名和驗證兩個運算。數字簽名具有不可抵賴性，簽名驗證正確後就不能否認。
數字簽名一般包含一個自己知道的私鑰和一個公開的公鑰，與傳統的加密不同的是簽名時使用私鑰，驗證簽名是使用公鑰。

1994年Netscape提出了SSL協議並制訂了SSL協議的原始規范，即SSL1.0。但由於SSL1.0使用的是弱加密演算法而受到密碼學界的質疑，所以SSL1.0並沒有公共發布。

SSL1.0之後Netscape對SLL協議規范進行了重大改近，並在1995年發布 SSL2.0協議 。雖然SSL2.0版本被認為是一個相當強大且健壯的協議，但仍存在一些易受攻擊的漏洞，所以並沒有得到廣泛的使用。

由於SSL2.0的安全問題，Netscape聯合哈佛的Paul Kocher等人重新設計了SSL協議，並在1996年發布，即SSL3.0版本，該版本較2.0版本有較大的差別。 SSL 3.0協議 獲得了互聯網廣泛認可和支持。

隨著互聯網的飛速發展，網路安全越來越重要，業界非常迫切的需要一個標準的安全協議，於是IETE接手了SSL協議，並將其更名為 TSL（Transport Layer Security Protocol，安全傳輸層協議 ，並在1999年發布了TSL1.0版本。
不過TSL1.0於SSL3.0差別並不大（TLS 1.0 內部的協議版本號其實是3.1）。
雖然TSL是SSL的升級，但一些稱呼上還存在混淆，所以大家通常將二者統稱為SSL/TLS協議。

TSL1.1 於2006年發布，主要是修復了一些漏洞。

TSL1.2於2008年發布，1.2版本主要移除了一些老舊的加密套件，並引入了 AEAD 加密模式。1.2版本是目前應用最廣泛的版本。

TSL1.3 於2018年發布。1.3版本在2014年提出，經4年的反復修改直到第28個草案才於2018年正式納入標准。
1.3版本相較1.2版本有很大的改動，即增強了安全性也也大大提升了訪問速度。主要有以下改動：

在公網通訊時想要保證通信信道的安全，目前來看只有將通信的數據進行加密後可防止竊聽、冒充和篡改。

防止竊聽：
數據加密後傳輸的就是加密後的密文，這些密文即使被竊聽了但在沒有解密的密鑰的情況下是得不到真正的內容的。

防冒充和篡改：
通訊的數據加密後傳輸，在沒有加密用的秘鑰的情況下時無法構造出合法的數據包的，也就無法冒充或篡改數據。

將通信數據加密後傳輸可以解決很多的安全問題，但要實現通信的加密最為關鍵的點在於通信的雙發用於加密的密鑰怎麼協商才能保證密鑰不被泄漏和篡改那？密鑰協商是HTTPS中最大的難點。

通信時使用對稱加密，並且在客戶端請求時直接將對稱加密的密鑰返回給客戶端。
但在安全的信道建立起來之前任何傳輸仍是明文的，使用明文風發密鑰毫無安全性可言，並且由對稱加密使用同一個密鑰，所以第三方在竊聽到密鑰後即可以竊聽和篡改數據也可以冒充客戶端和服務端。 所以直接分發對稱加密的密鑰顯然行不通。

為方便說明這里只看客戶端單向向服務端發送數據的情況，服務端向客戶端發送數據與其類似。
通信時使用非對稱加密，在客戶端請求時將公鑰放回給客戶端。
但返回公鑰時仍然是明文傳輸的，所以公鑰還是很容易就會被泄漏，泄漏了公鑰後，雖然第三方無在沒有密鑰的情況下是沒法竊聽數據或直接冒充服務端，但由於泄漏了公鑰第三方還是可以冒充客戶端或者進行『中間人』攻擊。
所以單純使用非對稱加密也是行不通的。

'中間人』攻擊：

只要通信時使用的密鑰不泄漏，那麼在通信時完全沒必要使用非對稱加密，畢竟對稱加密的效率更高。所以可以在通信正式開始前使用非對稱加密來協商出通信時使用的對稱加密的密鑰，步驟如下：

雖然對稱加密與非對稱加密結合可以使我們或得兩種的優點，但這樣還是無法避免『中間人』攻擊。

DH密鑰協商演算法不會直接交互密鑰，而是交互用於生產密鑰的參數，DH演算法基於當前『無法』對大數進行質數分解來保證即使參數泄漏了，第三方也無法通過參數推導出密鑰。
DH演算法密鑰協商步驟：

通過以上步驟客戶端和服務端就協商出了密鑰s，並且整個過程中沒有傳輸過s。為了防止被破解a和b通常非常大，p 是一個至少 300 位的質數，g一般很小通常是3或者5.
但DH演算法的缺點也很明顯，DH無法防止冒充，還是會受到中間人攻擊。

數字證書（digital certificate），又稱公開密鑰認證（Public key certificate）或身份證書（identity certificate），用來下發公鑰匙和證明公鑰擁有者的身份。

證書由第三機構頒發用來驗證服務提供方的合法性，使用時服務提供方將證書給到客戶端，客戶端通過特定的機制驗證書的合法性，從而信任提供證書的服務端和證書中的公鑰。

數字證書以文件的形式存在，證書文件中包含了公鑰信息、擁有者身份信息（主體）、以及數字證書認證機構（發行者）對數字證書自身的數字簽名，證書的數字簽名用來保證證書沒有被篡改。

一般我們向CA申請證書時不用我們我們提供公鑰和私鑰，CA會給我們分配一個密鑰對，並將公鑰寫到證書中，然後將證書和私鑰給我們。

證書有統一的標准，其合法性（證書是否過期、數字簽名是否有效、頒發的機構是否可信）通過一定的程序按標准來進行驗證，如瀏覽器會保證HTTPS證書是否是合法的，Linux下openSSL庫提供了證書驗證功能。

核對證書後若證書可信，就可以使用證書中的公鑰對數據進行加密與證書的擁有者進行通信。

HTTPS的證書在擴展欄位中包含了域名相關的信息，所以HTTPS的證書在申請的時候CA會嚴格的校驗申請的機構或個人是否真的擁有這個域名。

數字證書認證機構（英語：Certificate Authority，縮寫為CA）。證書標準是公開的任何人都可以去製作證書，但自己製作的證書是不受信任的，只有權威的CA機構頒發的證書才被信任。

權威的CA證書審核和部署流程嚴苛而繁雜，所以權威的根證書的有效期一般在幾十年內。
也只有權威的CA的根證書會被各大操作系統支持，將其預制與操作系統內。

證書一般遵循X.509規范，主要包含以下內容：

CA生成的證書包含以上內容和一些擴展欄位外，還包含CA使用自己的私鑰對這些內容進行加密後的密文。在驗證證書時使用CA的根證書對秘文進行驗證，從而判斷證書是否是合法的。

權威結構使用根證書來簽發二級CA證書，二級CA證書可以給其它服務簽發證書。但不是所有證書都可以繼續簽發新的證書，證書使用基礎約束擴展來限制證書的簽發，我們普通申請到證書基礎約束擴展都是False的。查看根證書的基本約束可以看到證書頒發機構為『是』。

根證書並不直接簽發服務的證書，只要基於以下兩點：

上一級證書對下一級證書進行簽名，簽名值包含在證書中，可以使用上一級證書中的公鑰來驗證下一級證書的簽名值。根證書的簽名是自己簽的，並且驗證簽名的公鑰包含在根證書中。

完整的證書連的關系應該有伺服器放回，但有的並沒有返回，對於沒有放回完整證書連的證書，證書中的擴展欄位CA 密鑰標識符( Authority Key Identifier)記錄了證書的上一個證書，通過該欄位獲取到上一級中間證書，再從中間證書的該欄位中繼續向上查找，直到根證書。
服務端最好可以返回證書連，這樣可以避免瀏覽器自己去查找，提示握手速度。伺服器返回的證書鏈並不包含根證書，根證書預至與操作系統內部。

在linux中openssl庫會集成根證書。openssl的根證書的存放路徑通過『openssl version -a』查看。

校驗證書時先根據證書鏈逐級校驗證書的簽名，簽名校驗的最關鍵的在根證書。根證書預至於操作系統中，CA要將自己的證書預至與各個系統中是非常困難的，所以預支與系統中的根證書是可信的。

回顧一下對於HTTPS的證書來說申請的時候CA會嚴苛的驗證，保證這個域名是屬於申請這個證書的機構的。這樣攻擊者或許可以偽造一個改域名的證書，但偽造的證書的根證書在系統中並不會存在，所以偽造的證書是不會被信任的。這樣通過證書鏈的校驗就可以有效的防止服務端被『冒充』。

經過上面證書數字簽名驗證只是驗證了證書確實是合法的證書，後還要驗證證書的有效性，有效性驗證主要包括以下欄位：

驗證合法的證書也可能由於種種原因被吊銷，如證書的私鑰泄漏了、證書錯發了等，為了驗證證書是否有效引入了證書吊銷機制。

OSCP是證書提供方提供的證書驗證介面，用戶通過調用OSCP介面驗證證書是否被吊銷了。
但OCSP服務可能因為策略或服務故障導致無法訪問，這時一般瀏覽器會選擇信任證書，畢竟證書被吊銷的情況只是極少數。也有部分CA將OCSP失敗後的策略寫到證書的擴展欄位中，用用戶根據擴展欄位去做處理。
OSCP方式有自己明顯的缺陷，為了驗證證書而請求OSCP的同時也將自己在什麼時候訪問了什麼服務也告訴了CA，CA利用我們的訪問數據作惡咋辦，還有OCSP的介面很慢的話不就拖慢了我們服務的相應數獨。為了解決這兩個問題各大CA廠商聯手推出了CRL方案。

CRL方案是將被吊銷的證書列表定期拉去到本機，一般是幾天拉取一次。在校驗證書時去本機列表中查找。
CA會在證書的擴展欄位中寫入CRL更新的地址：

CRL也有自己明顯的確定，首先CRL是定期拉取的不能保證實時生效，然後CRL的列表一般很大可能達到數M。

CRLSet是chrome自建自用的解決方案。google覺得CRL更新太慢了，每個CA都有自己的CRL並且CRL內容也太多了。於是自己搞了一個CRLSet，將各大CA被吊銷的高風險證書添加到CRLSet中，chrome在校驗證書時可以去自己CRLSet中校驗。
CRLSet只有各個CA吊銷的證書的部分，大概包含所有吊銷證書的2%。
CRLSet的更新相對快一些，最慢幾個小時就會從各個CA中更新一次，CRLSet可以用在需要緊急吊銷證書的情況下讓吊銷快速生效。

CRLSet提供了 https://github.com/agl/crlset-tools 工具來拉取和校驗證書是否在CRLSet中。

可以在 chrome://components/ 中更新chrome的CRLSet

客戶端向服務端發送hello請求，裡麵包含了客戶端SSL/TSL的版本、支持的加密套件和一個隨機數Random1

服務端收到客戶端的hello後，根據客服端支持的加密套件和自己支持的加密套件選擇出後面使用的加密和散列套件並返回給客戶端，同時返回的還有服務端生產的一個隨機數 Random2

服務端向客戶端返回自己的證書，客戶端收到證書後通過校驗證書來信任服務端，並從證書中獲取到證書中的公鑰。

服務端在返回證書後會立即向客戶端發送該請求。不過該請求不是必須的，只有選擇的加密套件需要額外的參數是才會發送該請求交互參數。
如果密鑰協議商演算法是DH演算法，那麼DH的參數就在該請求中返回給客戶端，DH演算法有以下幾種：DHE_DSS、DHE_RSA、ECDHE_ECDSAECDHE_RSA
dh演算法會返回dh的參數p、g、dh的公鑰和公鑰的簽名，公鑰即g^b mod p，b為服務端的隨機數

這里g就是0X03，p就是0X0017。

服務端在發送完上述信息後，就會立馬發送Server Hello Done，來告知客戶端服務端的相關信息已經發送完畢，就等客戶端開始做密鑰協商了。
客戶端在收到該消息後就開始驗證證書，協商密鑰等工作。

在接受到伺服器的Server Hello Done信息之後，客戶端會計數出預備主密鑰，並將其返回給服務端。

如果使用的是RSA/ECDSA演算法，那麼發送的就是預備主密鑰。
如果使用的是DH演算法，那麼發送的就是通過之前的參數計數出來的公鑰匙，即B（ g^b mod p）服務端在收到B後通過 B ^ a mod p得到第三個隨機數。而客戶端已經通過s = A b mod 得到了s。

到了這里服務端和客戶端已經得到了三個隨機數，通過之前協商好的加密演算法使用這個三個隨機數就得到一個對稱加密的密鑰，後面通信時就使用該密鑰。

該請求用於通知對方已經計數出通信用的密鑰，接下來的通信都使用該密鑰進行。服務端和客戶端都會發出該請求，一般是服務端先發出。

在完成上述步驟以後，雙發都會發送一個Finished請求給對方，Finished的數據是通過協商好的密鑰加密的，以此來驗證之前協商好的密鑰、協議版本是否是有效的。

參考資料：

❹ 密碼學AES演算法解題

AES(Advanced Encryption Standard)：高級加密標准，是下一代的加密演算法標准，速度快，安全級別高。 用AES加密2000年10月，NIST（美國國家標准和技術協會）宣布通過從15種候選演算法中選出的一項新的密匙加密標准。Rijndael被選中成為將來的AES。Rijndael是在1999年下半年，由研究員Joan Daemen 和 Vincent Rijmen 創建的。AES正日益成為加密各種形式的電子數據的實際標准。 美國標准與技術研究院（NIST）於2002年5月26日制定了新的高級加密標准（AES）規范。 演算法原理 AES演算法基於排列和置換運算。排列是對數據重新進行安排，置換是將一個數據單元替換為另一個。AES使用幾種不同的方法來執行排列和置換運算。AES是一個迭代的、對稱密鑰分組的密碼，它可以使用128、192和256位密鑰，並且用128位（16位元組）分組加密和解密數據。與公共密鑰加密使用密鑰對不同，對稱密鑰密碼使用相同的密鑰加密和解密數據。通過分組密碼返回的加密數據的位數與輸入數據相同。迭代加密使用一個循環結構，在該循環中重復置換和替換輸入數據。密碼學簡介據記載，公元前400年，古希臘人發明了置換密碼。1881年世界上的第一個電話保密專利出現。在第二次世界大戰期間，德國軍方啟用「恩尼格瑪」密碼機，密碼學在戰爭中起著非常重要的作用。 隨著信息化和數字化社會的發展，人們對信息安全和保密的重要性認識不斷提高，於是在1997年，美國國家保准局公布實施了「美國數據加密標准（DES）」，民間力量開始全面介入密碼學的研究和應用中，採用的加密演算法有DES、RSA、SHA等。隨著對加密強度的不斷提高，近期又出現了AES、ECC等。 使用密碼學可以達到以下目的：保密性：防止用戶的標識或數據被讀取。數據完整性：防止數據被更改。身份驗證：確保數據發自特定的一方。

❺ 常見密碼技術簡介

##

密碼技術在網路傳輸安全上的應用

隨著互聯網電子商務和網路支付的飛速發展，互聯網安全已經是當前最重要的因素之一。作為一名合格的軟體開發工程師，有必要了解整個互聯網是如何來保證數據的安全傳輸的，本篇文章對網路傳輸安全體系以及涉及到的演算法知識做了一個簡要的介紹，希望大家能夠有一個初步的了解。

###密碼技術定義

簡單的理解，密碼技術就是編制密碼和破譯密碼的一門技術，也即是我們常說的加密和解密。常見的結構如圖：

其中涉及到的專業術語：

1.秘鑰：分為加密秘鑰和解密秘鑰，兩者相同的加密演算法稱為對稱加密，不同的稱為非對稱加密；

2.明文：未加密過的原文信息，不可以被泄露；

3.密文：經過加密處理後的信息，無法從中獲取有效的明文信息；

4.加密：明文轉成密文的過程，密文的長度根據不同的加密演算法也會有不同的增量；

5.解密：密文轉成明文的過程；

6.加密/解密演算法：密碼系統使用的加密方法和解密方法；

7.攻擊：通過截獲數據流、釣魚、木馬、窮舉等方式最終獲取秘鑰和明文的手段。

###密碼技術和我們的工作生活息息相關

在我們的日常生活和工作中，密碼技術的應用隨處可見，尤其是在互聯網系統上。下面列舉幾張比較有代表性的圖片，所涉及到的知識點後面都會一一講解到。

1.12306舊版網站每次訪問時，瀏覽器一般會提示一個警告，是什麼原因導致的？ 這樣有什麼風險呢？

2.360瀏覽器瀏覽HTTPS網站時，點開地址欄的小鎖圖標會顯示加密的詳細信息，比如網路的話會顯示```AES_128_GCM、ECDHE_RSA```，這些是什麼意思？

3.在Mac系統的鑰匙串里有很多的系統根證書，展開後有非常多的信息，這些是做什麼用的？

4.去銀行開通網上支付都會附贈一個U盾，那U盾有什麼用呢？

##如何確保網路數據的傳輸安全

接下來我們從實際場景出發，以最常見的客戶端Client和服務端Server傳輸文件為例來一步步了解整個安全體系。

####1. 保密性

首先客戶端要把文件送到服務端，不能以明文形式發送，否則被黑客截獲了數據流很容易就獲取到了整個文件。也就是文件必須要確保保密性，這就需要用到對稱加密演算法。 

** 對稱加密： **加密和解密所使用的秘鑰相同稱為對稱加密。其特點是速度快、效率高，適用於對較大量的數據進行加密。常見的對稱加密演算法有DES、3DES、AES、TDEA、RC5等，讓我們了解下最常見的3DES和AES演算法：

** DES(Data Encryption Standard)： **1972年由美國IBM研製，數學原理是將明文以8位元組分組（不足8位可以有不同模式的填充補位），通過數學置換和逆置換得到加密結果，密文和明文長度基本相同。秘鑰長度為8個位元組，後有了更安全的一個變形，使用3條秘鑰進行三次加密，也就是3DES加密。

**3DES：**可以理解為對明文進行了三次DES加密，增強了安全程度。

** AES(Advanced Encryption Standard)： **2001年由美國發布，2002年成為有效標准，2006年成為最流行的對稱加密演算法之一。由於安全程度更高，正在逐步替代3DES演算法。其明文分組長度為16位元組，秘鑰長度可以為16、24、32(128、192、256位)位元組，根據秘鑰長度，演算法被稱為AES-128、AES-192和AES-256。

對稱加密演算法的入參基本類似，都是明文、秘鑰和模式三個參數。可以通過網站進行模擬測試：[http://tool.chacuo.net/crypt3des]()。其中的模式我們主要了解下ECB和CBC兩種簡單模式，其它有興趣可自行查閱。

** ECB模式(Electronic Codebook Book)： **這種模式是將明文分成若干小段，然後對每一段進行單獨的加密，每一段之間不受影響，可以單獨的對某幾段密文進行解密。

** CBC模式(Cipher Block Chaining)： **這種模式是將明文分成若干小段，然後每一段都會和初始向量(上圖的iv偏移量)或者上一段的密文進行異或運算後再進行加密，不可以單獨解密某一斷密文。

 ** 填充補位： **常用為PKCS5Padding，規則為缺幾位就在後面補幾位的所缺位數。，比如明文數據為```/x01/x01/x01/x01/x01/x01```6個位元組，缺2位補```/x02```，補完位```/x01/x01/x01/x01/x01/x01/x02/x02```。解密後也會按照這個規則進行逆處理。需要注意的是：明文為8位時也需要在後面補充8個```/x08```。

####2. 真實性

客戶端有了對稱秘鑰，就需要考慮如何將秘鑰送到服務端，問題跟上面一樣：不能以明文形式直接傳輸，否則還是會被黑客截獲到。這里就需要用到非對稱加密演算法。

** 非對稱加密： **加密和解密秘鑰不同，分別稱為公開秘鑰(publicKey)和私有秘鑰(privateKey)。兩者成對出現，公鑰加密只能用私鑰解密，而私鑰加密也只能用公鑰加密。兩者不同的是：公鑰是公開的，可以隨意提供給任何人，而私鑰必須保密。特點是保密性好，但是加密速度慢。常見的非對稱加密演算法有RSA、ECC等；我們了解下常見的RSA演算法：

** RSA(Ron Rivest、Adi Shamir、Leonard Adleman)： **1977年由麻省理工學院三人提出，RSA就是他們三個人的姓氏開頭字母拼在一起組成的。數學原理是基於大數分解。類似於```100=20x5```，如果只知道100的話，需要多次計算才可以試出20和5兩個因子。如果100改為極大的一個數，就非常難去試出真正的結果了。下面是隨機生成的一對公私鑰:

這是使用公鑰加密後結果：

RSA的這種特性就可以保證私鑰持有者的真實性，客戶端使用公鑰加密文件後，黑客就算截獲到數據因為沒有私鑰也是無法解密的。

** Tips： **

+** 不使用對稱加密，直接用RSA公私鑰進行加密和解密可以嗎？ **

答案：不可以，第一是因為RSA加密速度比對稱加密要慢幾十倍甚至幾百倍以上，第二是因為RSA加密後的數據量會變大很多。

+** 由服務端生成對稱秘鑰，然後用私鑰加密，客戶端用公鑰解密這樣來保證對稱秘鑰安全可行嗎？ **

答案：不可行，因為公鑰是公開的，任何一個人都可以拿到公鑰解密獲取對稱秘鑰。

####3. 完整性

當客戶端向服務端發送對稱秘鑰加密後的文件時，如果被黑客截獲，雖然無法解密得到對稱秘鑰。但是黑客可以用服務端公鑰加密一個假的對稱秘鑰，並用假的對稱秘鑰加密一份假文件發給服務端，這樣服務端會仍然認為是真的客戶端發送來的，而並不知道閱讀的文件都已經是掉包的了。

這個問題就需要用到散列演算法，也可以譯為Hash。常見的比如MD4、MD5、SHA-1、SHA-2等。

** 散列演算法(哈希演算法)： **簡單的說就是一種將任意長度的消息壓縮到某一固定長度的消息摘要的函數。而且該過程是不可逆的，無法通過摘要獲得原文。

** SHA-1(Secure Hash Algorithm 1)： **由美國提出，可以生成一個20位元組長度的消息摘要。05年被發現了針對SHA-1的有效攻擊方法，已經不再安全。2010年以後建議使用SHA-2和SHA-3替代SHA-1。

** SHA-2(Secure Hash Algorithm 2)： **其下又分為六個不同演算法標准：SHA-224、SHA-256、SHA-384、SHA-512、SHA-512/224、SHA512/256。其後面數字為摘要結果的長度，越長的話碰撞幾率越小。SHA-224的使用如下圖：

客戶端通過上面的散列演算法可以獲取文件的摘要消息，然後用客戶端私鑰加密後連同加密的文件發給服務端。黑客截獲到數據後，他沒有服務端私鑰無法獲取到對稱秘鑰，也沒有客戶端私鑰無法偽造摘要消息。如果再像上面一樣去掉包文件，服務端收到解密得到摘要消息一對比就可以知道文件已經被掉包篡改過了。

這種用私鑰對摘要消息進行加密的過程稱之為數字簽名，它就解決了文件是否被篡改問題，也同時可以確定發送者身份。通常這么定義：

** 加密： **用公鑰加密數據時稱為加密。

** 簽名： **用私鑰加密數據時稱為簽名。

####4. 信任性

我們通過對稱加密演算法加密文件，通過非對稱加密傳輸對稱秘鑰，再通過散列演算法保證文件沒被篡改過和發送者身份。這樣就安全了嗎？

答案是否定的，因為公鑰是要通過網路送到對方的。在這期間如果出現問題會導致客戶端收到的公鑰並不一定是服務端的真實公鑰。常見的** 中間人攻擊 **就是例子：

** 中間人攻擊MITM(Man-in-the-MiddleAttack)： **攻擊者偽裝成代理伺服器，在服務端發送公鑰證書時，篡改成攻擊者的。然後收到客戶端數據後使用攻擊者私鑰解密，再篡改後使用攻擊者私鑰簽名並且將攻擊者的公鑰證書發送給伺服器。這樣攻擊者就可以同時欺騙雙方獲取到明文。

這個風險就需要通過CA機構對公鑰證書進行數字簽名綁定公鑰和公鑰所屬人，也就是PKI體系。

** PKI(Privilege Management Infrastructure)： **支持公鑰管理並能支持認證、加密、完整性和可追究性的基礎設施。可以說整個互聯網數據傳輸都是通過PKI體系進行安全保證的。

** CA(Certificate Authority)： **CA機構就是負責頒發證書的，是一個比較公認的權威的證書發布機構。CA有一個管理標准：WebTrust。只有通過WebTrust國際安全審計認證，根證書才能預裝到主流的瀏覽器而成為一個全球可信的認證機構。比如美國的GlobalSign、VeriSign、DigiCert，加拿大的Entrust。我國的CA金融方面由中國人民銀行管理CFCA，非金融CA方面最初由中國電信負責建設。

CA證書申請流程：公司提交相應材料後，CA機構會提供給公司一張證書和其私鑰。會把Issuer,Public key,Subject,Valid from,Valid to等信息以明文的形式寫到證書裡面，然後用一個指紋演算法計算出這些數字證書內容的一個指紋，並把指紋和指紋演算法用自己的私鑰進行加密。由於瀏覽器基本都內置了CA機構的根證書，所以可以正確的驗證公司證書指紋（驗簽），就不會有安全警告了。

但是：所有的公司其實都可以發布證書，甚至我們個人都可以隨意的去發布證書。但是由於瀏覽器沒有內置我們的根證書，當客戶端瀏覽器收到我們個人發布的證書後，找不到根證書進行驗簽，瀏覽器就會直接警告提示，這就是之前12306打開會有警告的原因。這種個人發布的證書，其實可以通過系統設置為受信任的證書去消除這個警告。但是由於這種證書機構的權威性和安全性難以信任，大家最好不要這么做。

我們看一下網路HTTPS的證書信息：

其中比較重要的信息：

簽發機構：GlobalSign Root CA；

有效日期：2018-04-03到2019-05-26之間可用；

公鑰信息：RSA加密，2048位；

數字簽名：帶 RSA 加密的 SHA-256 ( 1.2.840.113549.1.1.11 )

綁定域名：再進行HTTPS驗證時，如果當前域名和證書綁定域名不一致，也會出現警告；

URI：在線管理地址。如果當前私鑰出現了風險，CA機構可以在線吊銷該證書。

####5. 不可抵賴性

看起來整個過程都很安全了，但是仍存在一種風險：服務端簽名後拒不承認，歸咎於故障不履行合同怎麼辦。

解決方法是採用數字時間戳服務：DTS。

** DTS(digital time-stamp)： **作用就是對於成功的電子商務應用，要求參與交易各方不能否認其行為。一般來說，數字時間戳產生的過程為：用戶首先將需要加時間戳的文件用Hash演算法運算形成摘要，然後將該摘要發送到DTS。DTS在加入了收到文件摘要的日期和事件信息後再對該文件進行數字簽名，然後送達用戶。

####6. 再次認證

我們有了數字證書保證了身份的真實性，又有了DTS提供的不可抵賴性。但是還是不能百分百確定使用私鑰的就是合法持有者。有可能出現被別人盜用私鑰進行交易的風險。

解決這個就需要用到強口令、認證令牌OTP、智能卡、U盾或生物特徵等技術對使用私鑰的當前用戶進行認證，已確定其合法性。我們簡單了解下很常見的U盾。

** USB Key(U盾)： **剛出現時外形比較像U盤，安全性能像一面盾牌，取名U盾。其內部有一個只可寫不可讀的區域存儲著用戶的私鑰(也有公鑰證書)，銀行同樣也擁有一份。當進行交易時，所有涉及到私鑰的運算都在U盾內部進行，私鑰不會泄露。當交易確認時，交易的詳細數據會顯示到U盾屏幕上，確認無誤後通過物理按鍵確認就可以成功交易了。就算出現問題黑客也是無法控制U盾的物理按鍵的，用戶可以及時取消避免損失。有的U盾裡面還有多份證書，來支持國密演算法。

** 國密演算法： **國家密碼局針對各種演算法制定了一些列國產密碼演算法。具體包括：SM1對稱加密演算法、SM2公鑰演算法、SM3摘要演算法、SM4對稱加密演算法、ZUC祖沖之演算法等。這樣可以對國產固件安全和數據安全進行進一步的安全控制。

## HTTPS分析

有了上面的知識，我們可以嘗試去分析下HTTPS的整個過程，用Wireshark截取一次HTTPS報文：

Client Hello: 客戶端發送Hello到服務端443埠，裡麵包含了隨機數、客戶端支持的加密演算法、客戶端的TLS版本號等；

Server Hello: 服務端回應Hello到客戶端，裡麵包含了服務端選擇的加密套件、隨機數等；

Certificate： 服務端向客戶端發送證書

服務端計算對稱秘鑰：通過ECDH演算法得到對稱秘鑰

客戶端計算對稱秘鑰：通過ECDH演算法得到對稱秘鑰

開始用對稱秘鑰進行加密傳輸數據

其中我們又遇到了新的演算法：DH演算法

** DH(Diffie-Hellman)： **1976年由Whitefield與Martin Hellman提出的一個奇妙的秘鑰交換協議。這個機制的巧妙在於可以通過安全的方式使雙方獲得一個相同的秘鑰。數學原理是基於原根的性質，如圖：

*** DH演算法的用處不是為了加密或解密消息，而是用於通信雙方安全的交換一個相同的秘鑰。 ***

** ECDH： **基於ECC(橢圓曲線密碼體制)的DH秘鑰交換演算法，數學原理是基於橢圓曲線上的離散對數問題。

** ECDHE： **字面少了一個E，E代表了臨時。在握手流程中，作為伺服器端，ECDH使用證書公鑰代替Pb，使用自身私鑰代替Xb。這個演算法時伺服器不發送server key exchange報文，因為發送certificate報文時，證書本身就包含了Pb信息。

##總結

| 演算法名稱  | 特點 | 用處 | 常用演算法名 |

| --- | :--- | :---: | ---: |

| 對稱加密  | 速度快，效率高| 用於直接加密文件 | 3DES、AES、RC4 |

| 非對稱加密  | 速度相對慢，但是確保安全 | 構建CA體系 | RSA、ECC |

| 散列演算法 | 算出的摘要長度固定，不可逆 | 防止文件篡改 | SHA-1、SHA-2 |

| DH演算法 | 安全的推導出對稱秘鑰 | 交換對稱秘鑰 | ECDH |

----