加密系统的组成例子

1. 加密系统的组成部分有哪些

由 明文、密文、密钥、算法四部分组成

2. 公钥密码系统及RSA公钥算法

公钥密码系统及RSA公钥算法

本文简单介绍了公开密钥密码系统的思想和特点，并具体介绍了RSA算法的理论基础，工作原理和具体实现过程，并通过一个简单例子说明了该算法是如何实现。在本文的最后，概括说明了RSA算法目前存在的一些缺点和解决方法。

关键词：公钥密码体制 ， 公钥 ，私钥 ，RSA

§1引言

随着计算机联网的逐步实现，Internet前景越来越美好，全球经济发展正在进入信息经济时代，知识经济初见端倪。计算机信息的保密问题显得越来越重要，无论是个人信息通信还是电子商务发展，都迫切需要保证Internet网上信息传输的安全，需要保证信息安全。信息安全技术是一门综合学科，它涉及信息论、计算机科学和密码学等多方面知识，它的主要任务是研究计算机系统和通信网络内信息的保护方法以实现系统内信息的安全、保密、真实和完整。其中，信息安全的核心是密码技术。密码技术是集数学、计算机科学、电子与通信等诸多学科于一身的交叉学科。它不仅能够保证机密性信息的加密，而且能够实现数字签名、身份验证、系统安全等功能。是现代化发展的重要科学之一。本文将对公钥密码系统及该系统中目前最广泛流行的RSA算法做一些简单介绍。

§2公钥密码系统

要说明公钥密码系统，首先来了解一下不同的加密算法：目前的加密算法按密钥方式可分为单钥密码算法和公钥密码算法。

2.1.单钥密码

又称对称式密码，是一种比较传统的加密方式，其加密运算、解密运算使用的是同样的密钥，信息的发送者和信息的接收者在进行信息的传输与处理时，必须共同持有该密码（称为对称密码）。因此，通信双方都必须获得这把钥匙，并保持钥匙的秘密。

单钥密码系统的安全性依赖于以下两个因素：第一，加密算法必须是足够强的，仅仅基于密文本身去解密信息在实践上是不可能的；第二，加密方法的安全性依赖于密钥的秘密性，而不是算法的秘密性，因此，我们没有必要确保算法的秘密性（事实上，现实中使用的很多单钥密码系统的算法都是公开的），但是我们一定要保证密钥的秘密性。

从单钥密码的这些特点我们容易看出它的主要问题有两点：第一，密钥量问题。在单钥密码系统中，每一对通信者就需要一对密钥，当用户增加时，必然会带来密钥量的成倍增长，因此在网络通信中，大量密钥的产生﹑存放和分配将是一个难以解决的问题。第二，密钥分发问题。单钥密码系统中，加密的安全性完全依赖于对密钥的保护，但是由于通信双方使用的是相同的密钥，人们又不得不相互交流密钥，所以为了保证安全，人们必须使用一些另外的安全信道来分发密钥，例如用专门的信使来传送密钥，这种做法的代价是相当大的，甚至可以说是非常不现实的，尤其在计算机网络环境下，人们使用网络传送加密的文件，却需要另外的安全信道来分发密钥，显而易见，这是非常不智是甚至是荒谬可笑的。

2.2公钥密码

正因为单钥密码系统存在如此难以解决的缺点，发展一种新的﹑更有效﹑更先进的密码体制显得更为迫切和必要。在这种情况下，出现了一种新的公钥密码体制，它突破性地解决了困扰着无数科学家的密钥分发问题，事实上，在这种体制中，人们甚至不用分发需要严格保密的密钥，这次突破同时也被认为是密码史上两千年来自单码替代密码发明以后最伟大的成就。

这一全新的思想是本世纪70年代，美国斯坦福大学的两名学者Diffie和Hellman提出的，该体制与单钥密码最大的不同是：

在公钥密码系统中，加密和解密使用的是不同的密钥（相对于对称密钥，人们把它叫做非对称密钥），这两个密钥之间存在着相互依存关系：即用其中任一个密钥加密的信息只能用另一个密钥进行解密。这使得通信双方无需事先交换密钥就可进行保密通信。其中加密密钥和算法是对外公开的，人人都可以通过这个密钥加密文件然后发给收信者，这个加密密钥又称为公钥；而收信者收到加密文件后,它可以使用他的解密密钥解密，这个密钥是由他自己私人掌管的，并不需要分发，因此又成称为私钥，这就解决了密钥分发的问题。

为了说明这一思想,我们可以考虑如下的类比：

两个在不安全信道中通信的人，假设为Alice（收信者）和Bob（发信者），他们希望能够安全的通信而不被他们的敌手Oscar破坏。Alice想到了一种办法，她使用了一种锁（相当于公钥），这种锁任何人只要轻轻一按就可以锁上，但是只有Alice的钥匙（相当于私钥）才能够打开。然后Alice对外发送无数把这样的锁，任何人比如Bob想给她寄信时，只需找到一个箱子，然后用一把Alice的锁将其锁上再寄给Alice，这时候任何人（包括Bob自己）除了拥有钥匙的Alice，都不能再打开箱子，这样即使Oscar能找到Alice的锁，即使Oscar能在通信过程中截获这个箱子，没有Alice的钥匙他也不可能打开箱子，而Alice的钥匙并不需要分发，这样Oscar也就无法得到这把“私人密钥”。

从以上的介绍可以看出，公钥密码体制的思想并不复杂，而实现它的关键问题是如何确定公钥和私钥及加/解密的算法，也就是说如何找到“Alice的锁和钥匙”的问题。我们假设在这种体制中, PK是公开信息，用作加密密钥，而SK需要由用户自己保密，用作解密密钥。加密算法E和解密算法D也都是公开的。虽然SK与PK是成对出现，但却不能根据PK计算出SK。它们须满足条件：

①加密密钥PK对明文X加密后，再用解密密钥SK解密，即可恢复出明文，或写为：DSK（EPK（X））=X

②加密密钥不能用来解密，即DPK（EPK（X））≠X

③在计算机上可以容易地产生成对的PK和SK。

④从已知的PK实际上不可能推导出SK。

⑤加密和解密的运算可以对调，即：EPK（DSK（X））=X

从上述条件可看出，公开密钥密码体制下，加密密钥不等于解密密钥。加密密钥可对外公开，使任何用户都可将传送给此用户的信息用公开密钥加密发送，而该用户唯一保存的私人密钥是保密的，也只有它能将密文复原、解密。虽然解密密钥理论上可由加密密钥推算出来，但这种算法设计在实际上是不可能的，或者虽然能够推算出，但要花费很长的时间而成为不可行的。所以将加密密钥公开也不会危害密钥的安全。

这种体制思想是简单的，但是，如何找到一个适合的算法来实现这个系统却是一个真正困扰密码学家们的难题，因为既然Pk和SK是一对存在着相互关系的密钥，那么从其中一个推导出另一个就是很有可能的，如果敌手Oscar能够从PK推导出SK，那么这个系统就不再安全了。因此如何找到一个合适的算法生成合适的Pk和SK，并且使得从PK不可能推导出SK，正是迫切需要密码学家们解决的一道难题。这个难题甚至使得公钥密码系统的发展停滞了很长一段时间。

为了解决这个问题，密码学家们考虑了数学上的陷门单向函数，下面，我们可以给出它的非正式定义：

Alice的公开加密函数应该是容易计算的，而计算其逆函数（即解密函数）应该是困难的（对于除Alice以外的人）。许多形式为Y=f（x）的函数，对于给定的自变量x值，很容易计算出函数Y的值；而由给定的Y值，在很多情况下依照函数关系f (x)计算x值十分困难。这样容易计算但难于求逆的函数，通常称为单向函数。在加密过程中，我们希望加密函数E为一个单项的单射函数，以便可以解密。虽然目前还没有一个函数能被证明是单向的，但是有很多单射函数被认为是单向的。

例如，有如下一个函数被认为是单向的，假定n为两个大素数p和q的乘积，b为一个正整数，那么定义f：

f (x )= x b mod n

(如果gcd（b,φ（n））=1，那么事实上这就是我们以下要说的RSA加密函数)

如果我们要构造一个公钥密码体制，仅给出一个单向的单射函数是不够的。从Alice的观点来看，并不需要E是单向的，因为它需要用有效的方式解密所收到的信息。因此，Alice应该拥有一个陷门，其中包含容易求出E的你函数的秘密信息。也就是说，Alice可以有效解密，因为它有额外的秘密知识，即SK，能够提供给你解密函数D。因此，我们称一个函数为一个陷门单向函数，如果它是一个单向函数，并在具有特定陷门的知识后容易求出其逆。

考虑上面的函数f (x) = xb mod n。我们能够知道其逆函数f -1有类似的形式f (x ) = xa mod n，对于合适的取值a。陷门就是利用n的因子分解，有效的算出正确的指数a（对于给定的b）。

为方便起见，我们把特定的某类陷门单向函数计为?。那么随机选取一个函数f属于?，作为公开加密函数；其逆函数f-1是秘密解密函数。那么公钥密码体制就能够实现了。

根据以上关于陷门单向函数的思想,学者们提出了许多种公钥加密的方法，它们的安全性都是基于复杂的数学难题。根据所基于的数学难题，至少有以下三类系统目前被认为是安全和有效的：大整数因子分解系统(代表性的有RSA)、椭园曲线离散对数系统(ECC)和离散对数系统(代表性的有DSA)。

§3 RSA算法

3.1简介

当前最着名、应用最广泛的公钥系统RSA是在1978年，由美国麻省理工学院(MIT)的Rivest、Shamir和Adleman在题为《获得数字签名和公开钥密码系统的方法》的论文中提出的。它是一个基于数论的非对称(公开钥)密码体制，是一种分组密码体制。其名称来自于三个发明者的姓名首字母。它的安全性是基于大整数素因子分解的困难性，而大整数因子分解问题是数学上的着名难题，至今没有有效的方法予以解决，因此可以确保RSA算法的安全性。RSA系统是公钥系统的最具有典型意义的方法，大多数使用公钥密码进行加密和数字签名的产品和标准使用的都是RSA算法。

RSA算法是第一个既能用于数据加密也能用于数字签名的算法，因此它为公用网络上信息的加密和鉴别提供了一种基本的方法。它通常是先生成一对RSA密钥，其中之一是保密密钥，由用户保存；另一个为公开密钥，可对外公开，甚至可在网络服务器中注册，人们用公钥加密文件发送给个人，个人就可以用私钥解密接受。为提高保密强度，RSA密钥至少为500位长，一般推荐使用1024位。

该算法基于下面的两个事实,这些事实保证了RSA算法的安全有效性：

1)已有确定一个数是不是质数的快速算法；

2)尚未找到确定一个合数的质因子的快速算法。

3.2工作原理

1)任意选取两个不同的大质数p和q，计算乘积r=p*q；

2)任意选取一个大整数e，e与(p-1)*(q-1)互质，整数e用做加密密钥。注意：e的选取是很容易的，例如，所有大于p和q的质数都可用。

3)确定解密密钥d：d * e = 1 molo（p - 1）*（q - 1） 根据e、p和q可以容易地计算出d。

4)公开整数r和e，但是不公开d；

5)将明文P (假设P是一个小于r的整数)加密为密文C，计算方法为：

C = Pe molo r

6)将密文C解密为明文P，计算方法为：

P = Cd molo r

然而只根据r和e（不是p和q）要计算出d是不可能的。因此，任何人都可对明文进行加密，但只有授权用户（知道d）才可对密文解密。

3.3简单实例

为了说明该算法的工作过程,我们下面给出一个简单例子,显然我们在这只能取很小的数字，但是如上所述，为了保证安全，在实际应用上我们所用的数字要大的多得多。

例：选取p=3, q=5，则r=15，（p-1）*（q-1）=8。选取e=11（大于p和q的质数），通过d * 11 = 1 molo 8，计算出d =3。

假定明文为整数13。则密文C为

C = Pe molo r

= 1311 molo 15

= 1,792,160,394,037 molo 15

= 7

复原明文P为：

P = Cd molo r

= 73 molo 15

= 343 molo 15

= 13

因为e和d互逆，公开密钥加密方法也允许采用这样的方式对加密信息进行"签名"，以便接收方能确定签名不是伪造的。

假设A和B希望通过公开密钥加密方法进行数据传输，A和B分别公开加密算法和相应的密钥，但不公开解密算法和相应的密钥。A和B的加密算法分别是ECA和ECB，解密算法分别是DCA和DCB，ECA和DCA互逆，ECB和DCB互逆。 若A要向B发送明文P，不是简单地发送ECB（P），而是先对P施以其解密算法DCA，再用加密算法ECB对结果加密后发送出去。

密文C为：

C = ECB（DCA（P））

B收到C后，先后施以其解密算法DCB和加密算法ECA，得到明文P：

ECA（DCB（C））

= ECA（DCB（ECB（DCA（P））））

= ECA（DCA（P））/*DCB和ECB相互抵消*/

=

P          /*DCB和ECB相互抵消*/

这样B就确定报文确实是从A发出的，因为只有当加密过程利用了DCA算法，用ECA才能获得P，只有A才知道DCA算法，没 有人，即使是B也不能伪造A的签名。

3.4优缺点

3.4.1优点

RSA算法是第一个能同时用于加密和数字签名的算法，也易于理解和操作。RSA是被研究得最广泛的公钥算法，从提出到现在已近二十年，经历了各种攻击的考验，逐渐为人们接受，普遍认为是目前最优秀的公钥方案之一。该算法的加密密钥和加密算法分开，使得密钥分配更为方便。它特别符合计算机网络环境。对于网上的大量用户，可以将加密密钥用电话簿的方式印出。如果某用户想与另一用户进行保密通信，只需从公钥簿上查出对方的加密密钥，用它对所传送的信息加密发出即可。对方收到信息后，用仅为自己所知的解密密钥将信息脱密，了解报文的内容。由此可看出，RSA算法解决了大量网络用户密钥管理的难题，这是公钥密码系统相对于对称密码系统最突出的优点。

3.4.2缺点

1)产生密钥很麻烦，受到素数产生技术的限制，因而难以做到一次一密。

2)安全性, RSA的安全性依赖于大数的因子分解，但并没有从理论上证明破译RSA的难度与大数分解难度等价，而且密码学界多数人士倾向于因子分解不是NPC问题。目前，人们已能分解140多个十进制位的大素数，这就要求使用更长的密钥，速度更慢；另外，目前人们正在积极寻找攻击RSA的方法，如选择密文攻击，一般攻击者是将某一信息作一下伪装(Blind)，让拥有私钥的实体签署。然后，经过计算就可得到它所想要的信息。实际上，攻击利用的都是同一个弱点，即存在这样一个事实：乘幂保留了输入的乘法结构：

( XM )d = Xd *Md mod n

前面已经提到，这个固有的问题来自于公钥密码系统的最有用的特征--每个人都能使用公钥。但从算法上无法解决这一问题，主要措施有两条：一条是采用好的公钥协议，保证工作过程中实体不对其他实体任意产生的信息解密，不对自己一无所知的信息签名；另一条是决不对陌生人送来的随机文档签名，签名时首先使用One-Way Hash Function对文档作HASH处理，或同时使用不同的签名算法。除了利用公共模数，人们还尝试一些利用解密指数或φ（n）等等攻击.

3)速度太慢,由于RSA的分组长度太大，为保证安全性，n至少也要600 bitx以上，使运算代价很高，尤其是速度较慢，较对称密码算法慢几个数量级；且随着大数分解技术的发展，这个长度还在增加，不利于数据格式的标准化。目前，SET(Secure Electronic Transaction)协议中要求CA采用2048比特长的密钥，其他实体使用1024比特的密钥。为了速度问题,目前人们广泛使用单,公钥密码结合使用的方法,优缺点互补:单钥密码加密速度快,人们用它来加密较长的文件,然后用RSA来给文件密钥加密,极好的解决了单钥密码的密钥分发问题。

§4结束语

目前，日益激增的电子商务和其它因特网应用需求使公钥体系得以普及，这些需求量主要包括对服务器资源的访问控制和对电子商务交易的保护，以及权利保护、个人隐私、无线交易和内容完整性（如保证新闻报道或股票行情的真实性）等方面。公钥技术发展到今天，在市场上明显的发展趋势就是PKI与操作系统的集成，PKI是“Public

Key Infrastructure”的缩写，意为“公钥基础设施”。公钥体制广泛地用于CA认证、数字签名和密钥交换等领域。

公钥加密算法中使用最广的是RSA。RSA算法研制的最初理念与目标是努力使互联网安全可靠，旨在解决DES算法秘密密钥的利用公开信道传输分发的难题。而实际结果不但很好地解决了这个难题；还可利用RSA来完成对电文的数字签名以抗对电文的否认与抵赖；同时还可以利用数字签名较容易地发现攻击者对电文的非法篡改，以保护数据信息的完整性。目前为止，很多种加密技术采用了RSA算法，该算法也已经在互联网的许多方面得以广泛应用，包括在安全接口层（SSL）标准（该标准是网络浏览器建立安全的互联网连接时必须用到的）方面的应用。此外，RSA加密系统还可应用于智能IC卡和网络安全产品。

但目前RSA算法的专利期限即将结束，取而代之的是基于椭圆曲线的密码方案（ECC算法）。较之于RSA算法，ECC有其相对优点，这使得ECC的特性更适合当今电子商务需要快速反应的发展潮流。此外，一种全新的量子密码也正在发展中。

至于在实际应用中应该采用何种加密算法则要结合具体应用环境和系统，不能简单地根据其加密强度来做出判断。因为除了加密算法本身之外，密钥合理分配、加密效率与现有系统的结合性以及投入产出分析都应在实际环境中具体考虑。加密技术随着网络的发展更新，将有更安全更易于实现的算法不断产生，为信息安全提供更有力的保障。今后，加密技术会何去何从，我们将拭目以待。

参考文献：

[1] Douglas R.Stinson.《密码学原理与实践》.北京:电子工业出版社,2003,2:131-132

[2]西蒙.辛格.《密码故事》.海口:海南出版社,2001,1:271-272

[3]嬴政天下.加密算法之RSA算法.http://soft.winzheng.com/infoView/Article_296.htm，2003

[4]加密与数字签名.http://www.njt.cn/yumdq/dzsw/a2.htm

[5]黑客中级教程系列之十.http://www.qqorg.i-p.com/jiaocheng/10.html

3. 概率加密和Goldwasser-Micali密码系统

注：以下内容出自《An Introction to Mathematical Cryptography》3.10 Probabilistic Encryption and the Goldwasser–Micali Cryptosystem一节。

假如Alice使用公钥密码系统向Bob发送信息，如比特0或1。在该场景下，这样的方式可能是不安全的。偷听者Eve可以加密两个可能的明文 m = 0 和 m = 1，然后将加密值与 Alice 的密文进行比较。更一般地说，在任何一个密码系统中，如果它可能的明文集合很小，那么Eve 总是可以使用 Bob 的公钥加密各个明文，然后找到和Alice发送的一样的密文。

所谓的概率加密（Probabilistic encryption）是由Goldwasser 和 Micali 发明的针对上述问题的加密方法。其想法是 Alice 选择一个明文 m 和一个随机数据r，然后使用 Bob 的公钥加密 (m,r)对。理想情况下，当 r 选遍所有可能的值， 的加密值将“随机”选遍可能的密文。更准确地说，对于任何固定的 和 以及变化的 ，对下面两个量的值在分布上应该是不可区分的：

注意，Bob 在进行解密时没有必要恢复完整的 对，他只需要恢复明文 即可。

上面这个想法的思路是很清晰的，但是如何创造一个实际可行的概率加密方案呢？Goldwasser 和 Micali 描述了一种方案，虽然不实用（因为它一次只加密 1 位），但其 具有易于描述和分析 的优点。 他们的想法基于以下的困难问题：

设 和 是需要保密的两个不同的素数；令 ，并公开 ；给定一个整数 ，判断 是否是模 的一个二次剩余，即判断同余方程 是否可解。

我们注意到，由于Bob知道如何分解 ，他可以方便的计算： 是模 的二次剩余，当且仅当 是模 的二次剩余而且 也是模 的二次剩余。而对于 ，由于她只知道 ，即使她计算 对 的Jacob符号，仍然无法知道 是否是模 的二次剩余。

Goldwasser 和 Micali 利用这一事实， 创建了下表描述的概率公钥密码系统。

该方案易于验证：

因为Alice随机选取 ，当Alice加密明文 时，可以选遍模N的二次剩余；当Alice加密明文 时，可以选遍模N的二次非剩余（且该数对 的Jacob符号为1）。这样的话，即使Eve计算 对 的Jacob符号，仍无法获得任何有用的信息，如下:

即无法判断同余方程 是否可解。

来看一个例子，Bob通过以下参数创建Goldwasser–Micali公钥：

可以确认 。Bob公开 作为公钥，保留 。

如果Alice要发送的明文比特 ，她首选在[1,13048158]范围内随机选取 。然后计算

，并将密文 发送给Bob。Bob通过计算 对 的Legendre符号，即 ，即可知明文 。

之后，Alice继续发送 。同样先随机选取 ，然后计算

，并将密文 发送给Bob。Bob通过计算 对 的Legendre符号，即 ，即可知明文m=1。

按照这样的方式，如果Alice再次发送明文 ，随机选取r之后计算

。

可以看到，前后两次发送的 的密文是完全没有相关性的。

注：

Goldwasser-Micali 公钥密码系统其实不实用，因为明文的每一位都模 N 加密。为了安全，要保证 Eve 不能有效分解 ，所以 N 至少是一个 1000 位bit长的数。 这样，如果 Alice 想向 Bob 发送 位长度明文，她的密文将有 位长。因此，Goldwasswer-Micali 公钥密码系统的密文膨胀率为 1000。一般来说，Goldwasswer-Micali 公钥密码系统的密文膨胀率为 。

存在其他密文膨胀率小得多的的概率公钥加密系统。比如Elgamal公钥加密系统。

4. dse迅软加密系统 能查看聊天记录吗

通常来说，加密软件是无法监控到聊天记录的，监控聊天记录是由上网行为管理软件（或硬件设备）来完成的。你可下载加密软件漏洞评测系统去测试下。
数据库透明加密就是把数据信息即明文转换为不可辨识的形式即密文的过程，目的是使不应了解该数据信息的人不能够知道和识别。将密文转变为明文的过程就是 解密。加密和解密过程形成加密系统，明文与密文统称为报文。

数据库透明加密是指对库内数据的加密和解密，对数据库的访问程序是完全无感知的。特别是应用系统，不需要做任何修改和编译，就能够直接应用到加密库上。

与透明加密相对应的，是在应用系统中对数据进行加密，然后再存储到数据库中。需要真实数据的时候，从数据库中读取密文，再解密出明文。严格的说，这种方 式并不是数据库加密，而是数据加密。

一、加密系统组成

任何加密系统通常都包括如下4个部分：

(1) 需要加密的报文，称为明文P。

(2) 加密以后形成的报文，称为密文Y。

(3) 加密(解密)算法E(D)。

(4) 用于加密和解密的钥匙，称为密钥K。

二、加密过程

加密过程可描述为：在发送端利用加密算法E和加密密钥Ke对明文P进行加密，得到密文Y=EKe(P)。密文Y被传送到接收端后应进行解密。解密过程可描述为：接收 端利用解密算法D和解密密钥Kd对密文Y进行解密，将密文恢复为明文P=DKd(Y)。在密码学中，把设计密码的技术称为密码编码，把破译密码的技术称为密码分析。 密码编码和密码分析合起来称为密码学。在加密系统中，算法是相对稳定的。

5. “密码体制”包含哪些要素分别表示什么含义

“密码体制”包含要素和含义分别如下所述：

1. 对称密码：用于加密和解密的密码相同，加密速度较快，可用于长文本的加密。

   达到的密码学目标：机密性。

2. 非对称密码：该体制有成为公钥密码体制，加密和解密的密码不相同，一般，公钥用于加密，私钥用于解密。非对称密码加密速度较慢，一般用于对称密码的保护和数字签名。

   达到的密码学目标：机密性、认证、不可抵赖性。

3. 杂凑密码：又称为HASH密码，用于计算消息摘要值。杂凑运算是不可逆的。

   达到的密码学目标：完整性

6. 简单文本文件的加密与解密。

给文件加密，我们公司使用的是超级加密3000软件，这款软件操作起来还是比较简便的。

启动超级加密3000进入软件主界面，在软件主窗口下方的的文件浏览控件里面选择您需要加密的文件，然后点击窗口上方的“数据加密”按钮。

在弹出的数据加密窗口中输入文件加密密码，选择合适的文件加密类型，然后点击确定按钮就可以了。

您可以使用这个方法给您的文件加密试试。

7. 几种常见的hash加密，怎么判断hash的类型

*nix系系统：
ES(Unix)
例子: IvS7aeT4NzQPM
说明：linux或者其他linux内核系统中
长度: 13 个字符
描述喊基枯：第1、2位为salt，例子中的'Iv'位salt，后面的为hash值
系统：MD5(Unix)
例子：$1$12345678$XM4P3PrKBgKNnTaqG9P0T/
说明：Linux或者其他linux内核系统中
长度：34个字符
描述：开始的$1$位为加密标志，后面8位12345678为加密使用的salt,后面的为hash
加密算法：2000次循环调用MD5加密
系统：SHA-512(Unix)
例子：$6$12345678$U6Yv5E1lWn6mEESzKen42o6rbEm
说明：Linux或者其他linux内核系统中
长度: 13 个字符
描述：开始的$6$位为加密标志，后面8位为salt，后面的为hash
加密算法：5000次的SHA-512加密
系统：SHA-256(Unix)
例子：$5$12345678$jBWLgeYZbSvREnuBr5s3gp13vqi
说明：Linux或者其他linux内核系统中
长度: 55 个字符
描述：开始的$5$位为加密标志，后面8位为salt，后面的为hash
加密算法：5000次的SHA-256加密
系郑洞统：MD5(APR)
例子：$apr1$12345678$auQSX8Mvzt.tdBi4y6Xgj.
说明：Linux或者其他linux内核系统中
长度：37个字符
描述：开始的$apr1$位为加密标志，后面8位为salt，后面的为hash
加密算法：2000次循环调用MD5加密
windows系统：
windows
例子：Admin:
长度：98个字符
加密算法：MD4(MD4(Unicode($pass)).Unicode(strtolower($username)))
mysql
系统：mysql
例子：606717496665bcba
说明：老版本的MySql中
长度：8字节（16个字符）
说明：包括两个字节，且每个字的值不超过0x7fffffff
系统：MySQL5
例子：*
说明：较新版本的MySQL
长度：20字节（40位）
加密算法：SHA-1(SHA-1($pass))
其他系统：
系统：MD5(WordPress)
例子：$P$
说明：WordPress使用的md5
长度：34个字符
描述：$P$表示加密类型，然后跟着一位字符，经常是字符‘B’，后面是8位salt，后面是就是hash
加密算法：8192次md5循环加密

系统：MD5(phpBB3)
说明：phpBB 3.x.x.使用
例子：$H$9123456785DAERgALpsri.D9z3ht120
长度：34个字符
描述：开始的$H$为加密标志，后面跟着一个字符，一般的都是字符‘9’，然后是8位salt，然后是hash 值
加密算法：2048次循环调用MD5加密
系统：RAdmin v2.x
说明：Remote Administrator v2.x版本中
例子：
长度：16字节（32个字符）
加密算法：字符用0填充到100字节后，将填充过后的字符经过md5加密得到（32位值）
md5加密
标准MD5
例子：
使用范围：phpBB v2.x, Joomla 的 1.0.13版本前，及其他cmd
长度：16个字符
其他的加salt及变形类似：
md5($salt.$pass)
例子::12
md5(md5($pass))
例子:
md5(md5($pass).$salt)
例子::wQ6
md5(md5($salt).md5($pass))
例子: :wH6_S
md5(md5($salt).$pass)
例子锋誉: :1234

8. 数据加密的基本信息

和防火墙配合使用的数据加密技术，是为提高信息系统和数据的安全性和保密性，防止秘密数据被外部破译而采用的主要技术手段之一。在技术上分别从软件和硬件两方面采取措施。按照作用的不同，数据加密技术可分为数据传输加密技术、数据存储加密技术、数据完整性的鉴别技术和密钥管理技术。
数据传输加密技术的目的是对传输中的数据流加密，通常有线路加密与端—端加密两种。线路加密侧重在线路上而不考虑信源与信宿，是对保密信息通过各线路采用不同的加密密钥提供安全保护。端—端加密指信息由发送端自动加密，并且由TCP/IP进行数据包封装，然后作为不可阅读和不可识别的数据穿过互联网，当这些信息到达目的地，将被自动重组、解密，而成为可读的数据。
数据存储加密技术的目的是防止在存储环节上的数据失密，数据存储加密技术可分为密文存储和存取控制两种。前者一般是通过加密算法转换、附加密码、加密模块等方法实现；后者则是对用户资格、权限加以审查和限制，防止非法用户存取数据或合法用户越权存取数据。
数据完整性鉴别技术的目的是对介入信息传送、存取和处理的人的身份和相关数据内容进行验证，一般包括口令、密钥、身份、数据等项的鉴别。系统通过对比验证对象输入的特征值是否符合预先设定的参数，实现对数据的安全保护。
密钥管理技术包括密钥的产生、分配、保存、更换和销毁等各个环节上的保密措施。 数据加密的术语有 ：
明文，即原始的或未加密的数据。通过加密算法对其进行加密，加密算法的输入信息为明文和密钥；
密文，明文加密后的格式，是加密算法的输出信息。加密算法是公开的，而密钥则是不公开的。密文不应为无密钥的用户理解，用于数据的存储以及传输；
密钥，是由数字、字母或特殊符号组成的字符串，用它控制数据加密、解密的过程；
加密，把明文转换为密文的过程；
加密算法，加密所采用的变换方法；
解密，对密文实施与加密相逆的变换，从而获得明文的过程；
解密算法，解密所采用的变换方法。
加密技术是一种防止信息泄露的技术。它的核心技术是密码学，密码学是研究密码系统或通信安全的一门学科，它又分为密码编码学和密码分析学。
任何一个加密系统都是由明文、密文、算法和密钥组成。发送方通过加密设备或加密算法，用加密密钥将数据加密后发送出去。接收方在收到密文后，用解密密钥将密文解密，恢复为明文。在传输过程中，即使密文被非法分子偷窃获取，得到的也只是无法识别的密文，从而起到数据保密的作用。
例：明文为字符串：
AS KINGFISHERS CATCH FIRE
（为简便起见，假定所处理的数据字符仅为大写字母和空格符）。假定密钥为字符串：
ELIOT
加密算法为：
1) 将明文划分成多个密钥字符串长度大小的块（空格符以+表示）
AS+KI NGFIS HERS+ CATCH +FIRE
2) 用0~26范围的整数取代明文的每个字符，空格符=00，A=01，...，Z=26：
3) 与步骤2一样对密钥的每个字符进行取代：
0512091520
4) 对明文的每个块，将其每个字符用对应的整数编码与密钥中相应位置的字符的整数编码的和模27后的值（整数编码）取代：
举例：第一个整数编码为 (01+05)%27=06
5) 将步骤4的结果中的整数编码再用其等价字符替换：
FDIZB SSOXL MQ+GT HMBRA ERRFY
如果给出密钥，该例的解密过程很简单。问题是对于一个恶意攻击者来说，在不知道密钥的情况下，利用相匹配的明文和密文获得密钥究竟有多困难？对于上面的简单例子，答案是相当容易的，不是一般的容易，但是，复杂的加密模式同样很容易设计出。理想的情况是采用的加密模式使得攻击者为了破解所付出的代价应远远超过其所获得的利益。实际上，该目的适用于所有的安全性措施。这种加密模式的可接受的最终目标是：即使是该模式的发明者也无法通过相匹配的明文和密文获得密钥，从而也无法破解密文。 传统加密方法有两种，替换和置换。上面的例子采用的就是替换的方法：使用密钥将明文中的每一个字符转换为密文中的一个字符。而置换仅将明文的字符按不同的顺序重新排列。单独使用这两种方法的任意一种都是不够安全的，但是将这两种方法结合起来就能提供相当高的安全程度。数据加密标准（Data Encryption Standard，简称DES）就采用了这种结合算法，它由IBM制定，并在1977年成为美国官方加密标准。
DES的工作原理为：将明文分割成许多64位大小的块，每个块用64位密钥进行加密，实际上，密钥由56位数据位和8位奇偶校验位组成，因此只有56个可能的密码而不是64个。每块先用初始置换方法进行加密，再连续进行16次复杂的替换，最后再对其施用初始置换的逆。第i步的替换并不是直接利用原始的密钥K，而是由K与i计算出的密钥Ki。
DES具有这样的特性，其解密算法与加密算法相同，除了密钥Ki的施加顺序相反以外。 多年来，许多人都认为DES并不是真的很安全。事实上，即使不采用智能的方法，随着快速、高度并行的处理器的出现，强制破解DES也是可能的。公开密钥加密方法使得DES以及类似的传统加密技术过时了。公开密钥加密方法中，加密算法和加密密钥都是公开的，任何人都可将明文转换成密文。但是相应的解密密钥是保密的（公开密钥方法包括两个密钥，分别用于加密和解密），而且无法从加密密钥推导出，因此，即使是加密者若未被授权也无法执行相应的解密。
公开密钥加密思想最初是由Diffie和Hellman提出的，最着名的是Rivest、Shamir以及Adleman提出的，通常称为RSA（以三个发明者的首位字母命名）的方法，该方法基于下面的两个事实：
1) 已有确定一个数是不是质数的快速算法；
2) 尚未找到确定一个合数的质因子的快速算法。
RSA方法的工作原理如下：
1) 任意选取两个不同的大质数p和q，计算乘积r=p*q；
2) 任意选取一个大整数e，e与(p-1)*(q-1)互质，整数e用做加密密钥。注意：e的选取是很容易的，例如，所有大于p和q的质数都可用。
3) 确定解密密钥d：
(d * e) molo（p - 1）*（q - 1） = 1
根据e、p和q可以容易地计算出d。
4) 公开整数r和e，但是不公开d；
5) 将明文P (假设P是一个小于r的整数)加密为密文C，计算方法为：
C = P^e molo r
6) 将密文C解密为明文P，计算方法为：
P = C^d molo r
然而只根据r和e（不是p和q）要计算出d是不可能的。因此，任何人都可对明文进行加密，但只有授权用户（知道d）才可对密文解密。
下面举一简单的例子对上述过程进行说明，显然我们只能选取很小的数字。
例：选取p=3, q=5，则r=15，（p-1）*（q-1）=8。选取e=11（大于p和q的质数），通过（d*11）molo(8) = 1。
计算出d =3。
假定明文为整数13。则密文C为
C = P^e molo r
= 13^11 molo 15
= 1,792,160,394,037 molo 15
= 7
复原明文P为：
P = C^d molo r
= 7^3 molo 15
= 343 molo 15
= 13
因为e和d互逆，公开密钥加密方法也允许采用这样的方式对加密信息进行签名，以便接收方能确定签名不是伪造的。假设A和B希望通过公开密钥加密方法进行数据传输，A和B分别公开加密算法和相应的密钥，但不公开解密算法和相应的密钥。A和B的加密算法分别是ECA和ECB，解密算法分别是DCA和DCB，ECA和DCA互逆，ECB和DCB互逆。若A要向B发送明文P，不是简单地发送ECB（P），而是先对P施以其解密算法DCA，再用加密算法ECB对结果加密后发送出去。
密文C为：
C = ECB（DCA（P））
B收到C后，先后施以其解密算法DCB和加密算法ECA，得到明文P：
ECA（DCB（C））
= ECA（DCB（ECB（DCA（P））））
= ECA（DCA（P）） /*DCB和ECB相互抵消*/
= P /*DCB和ECB相互抵消*/
这样B就确定报文确实是从A发出的，因为只有当加密过程利用了DCA算法，用ECA才能获得P，只有A才知道DCA算法，没
有人，即使是B也不能伪造A的签名。 前言
随着信息化的高速发展，人们对信息安全的需求接踵而至，人才竞争、市场竞争、金融危机、敌特机构等都给企事业单位的发展带来巨大风险，内部窃密、黑客攻击、无意识泄密等窃密手段成为了人与人之间、企业与企业之间、国与国之间的安全隐患。
市场的需求、人的安全意识、环境的诸多因素促使着我国的信息安全高速发展，信息安全经历了从传统的单一防护如防火墙到信息安全整体解决方案、从传统的老三样防火墙、入侵检测、杀毒软件到多元化的信息安全防护、从传统的外部网络防护到内网安全、主机安全等。
传统数据加密技术分析
信息安全传统的老三样（防火墙、入侵检测、防病毒）成为了企事业单位网络建设的基础架构，已经远远不能满足用户的安全需求，新型的安全防护手段逐步成为了信息安全发展的主力军。例如主机监控、文档加密等技术。
在新型安全产品的队列中，主机监控主要采用外围围追堵截的技术方案，虽然对信息安全有一定的提高，但是因为产品自身依赖于操作系统，对数据自身没有有效的安全防护，所以存在着诸多安全漏洞，例如：最基础的手段拆拔硬盘、winpe光盘引导、USB引导等方式即可将数据盗走，而且不留任何痕迹；此技术更多的可以理解为企业资产管理软件，单一的产品无法满足用户对信息安全的要求。
文档加密是现今信息安全防护的主力军，采用透明加解密技术，对数据进行强制加密，不改变用户原有的使用习惯；此技术对数据自身加密，不管是脱离操作系统，还是非法脱离安全环境，用户数据自身都是安全的，对环境的依赖性比较小。市面上的文档加密主要的技术分为磁盘加密、应用层加密、驱动级加密等几种技术，应用层加密因为对应用程序的依赖性比较强，存在诸多兼容性和二次开发的问题，逐步被各信息安全厂商所淘汰。
当今主流的两大数据加密技术
我们所能常见到的主要就是磁盘加密和驱动级解密技术：
全盘加密技术是主要是对磁盘进行全盘加密，并且采用主机监控、防水墙等其他防护手段进行整体防护，磁盘加密主要为用户提供一个安全的运行环境，数据自身未进行加密，操作系统一旦启动完毕，数据自身在硬盘上以明文形式存在，主要靠防水墙的围追堵截等方式进行保护。磁盘加密技术的主要弊端是对磁盘进行加密的时间周期较长，造成项目的实施周期也较长，用户一般无法忍耐；磁盘加密技术是对磁盘进行全盘加密，一旦操作系统出现问题。需要对数据进行恢复也是一件让用户比较头痛的事情，正常一块500G的硬盘解密一次所需时间需要3-4个小时；市面上的主要做法是对系统盘不做加密防护，而是采用外围技术进行安全访问控制，大家知道操作系统的版本不断升级，微软自身的安全机制越来越高，人们对系统的控制力度越来越低，尤其黑客技术层层攀高，一旦防护体系被打破，所有一切将暴露无疑。另外，磁盘加密技术是对全盘的信息进行安全管控，其中包括系统文件，对系统的效率性能将大大影响。
驱动级技术是信息加密的主流技术，采用进程+后缀的方式进行安全防护，用户可以根据企事业单位的实际情况灵活配置，对重要的数据进行强制加密，大大提高了系统的运行效率。驱动级加密技术与磁盘加密技术的最大区别就是驱动级技术会对用户的数据自身进行保护，驱动级加密采用透明加解密技术，用户感觉不到系统的存在，不改变用户的原有操作，数据一旦脱离安全环境，用户将无法使用，有效提高了数据的安全性；另外驱动级加密技术比磁盘加密技术管理可以更加细粒度，有效实现数据的全生命周期管理，可以控制文件的使用时间、次数、复制、截屏、录像等操作，并且可以对文件的内部进行细粒度的授权管理和数据的外出访问控制，做到数据的全方位管理。驱动级加密技术在给用户的数据带来安全的同时，也给用户的使用便利性带来一定的问题，驱动级加密采用进程加密技术，对同类文件进行全部加密，无法有效区别个人文件与企业文件数据的分类管理，个人电脑与企业办公的并行运行等问题。

9. 数字签名的加密方式是怎样的原理

数字签名（又称公钥数字签名、电子签章）是一种类似写在纸上的普通的物理签名，但是使用了公钥加密领域的技术实现，用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算，一个用于签名，另一个用于验证。

每个人都有一对“钥匙”（数字身份），其中一个只有她/他本人知道（密钥），另一个公开的（公钥）。签名的时候用密钥，验证签名的时候用公钥。又因为任何人都可以落款声称她/他就是你，因此公钥必须向接受者信任的人（身份认证机构）来注册。注册后身份认证机构给你发一数字证书。对文件签名后，你把此数字证书连同文件及签名一起发给接受者，接受者向身份认证机构求证是否真地是用你的密钥签发的文件。

公钥加密系统允许任何人在发送信息时使用公钥进行加密，数字签名能够让信息接收者确认发送者的身份。当然，接收者不可能百分之百确信发送者的真实身份，而只能在密码系统未被破译的情况下才有理由确信。

• 鉴权的重要性在财务数据上表现得尤为突出。举个例子，假设一家银行将指令由它的分行传输到它的中央管理系统，指令的格式是(a,b)，其中a是账户的账号，而b是账户的现有金额。这时一位远程客户可以先存入100元，观察传输的结果，然后接二连三的发送格式为(a,b)的指令。这种方法被称作重放攻击。

• 完整性。传输数据的双方都总希望确认消息未在传输的过程中被修改。加密使得第三方想要读取数据十分困难，然而第三方仍然能采取可行的方法在传输的过程中修改数据。一个通俗的例子就是同形攻击：回想一下，还是上面的那家银行从它的分行向它的中央管理系统发送格式为(a,b)的指令，其中a是账号，而b是账户中的金额。一个远程客户可以先存100元，然后拦截传输结果，再传输(a,b3)，这样他就立刻变成百万富翁了。

• 不可抵赖。在密文背景下，抵赖这个词指的是不承认与消息有关的举动（即声称消息来自第三方）。消息的接收方可以通过数字签名来防止所有后续的抵赖行为，因为接收方可以出示签名给别人看来证明信息的来源。

10. 密码学系统

本文分为7个部分，第1部分介绍密码学的基本概念，第2部分讲解常见的对称加密算法，第3部分讲解常见的非对称加密算法，第4部分讲解 数字签名, 第5部分讲解PKI(Public Key Infrastructure)，第6部分讲解哈希函数加密，第7部分讲解密码学在区块链里的应用, 最后一部分会讲解随机数。

比较常见的对称加密算法有: Digital Encryption Standard(DES), Triple-DES, IDEA, BLOWFISH。

对称加密的挑战：

非对称加密的挑战:

比较常见的非对称加密算法有: RSA, ElGamal, ECC。

菲斯特尔结构的块加密算法是着名的一个分组密码加密的设计模型。

1990年后对DES进行彻底的密钥搜索的速度开始引起DES用户的不适。 然而，用户并不想取代DES，因为它需要花费大量的时间和金钱来改变广泛采用并嵌入到大型安全架构中的加密算法。

务实的做法不是完全放弃DES，而是改变DES的使用方式。 这导致了三重DES(3DES)的修改方案。

三重DES
在使用3TDES之前，用户首先生成并分配一个3TDES密钥K，它由三个不同的DES密钥K1，K2和K3组成。

详细可以看 Triple-DES

高级加密标准(Advanced Encryption Standard，AES)是目前比较流行和广颂桥扮泛采用的对称加密算法。 发现至少比三重DES快6倍。
AES的功能如下:

对称密钥对称分组密码
128位数据，128/192/256位密钥
比Triple-DES更强更快
提供完整的规格和设计细节

详细可以看 AES

这个密码系统是最初的系统之一。 即使在今天，它仍然是最多被使用的密码系统。 该系统由三位学者Ron Rivest，Adi Shamir和Len Adleman发明，因此被称为RSA密码系统。

下面给出生成RSA密钥对的一个例子(为了便于理解，这里采用的素数p＆q值很小，实际上这些值非常高）。

设两个素数为p = 7且q = 13。因此，模数n = pq = 7×13 = 91。

选择 e = 5，这是一个有效的选择，因为没有数字是公因子5和(p - 1)(q - 1)= 6×12 = 72，除了1。

这对数字(n，e) = (91, 5)形成公钥，可以让任何我们希望能够向我们发送加密消息的人使用。

向扩展欧几里德算法输入p = 7，q = 13和e = 5。 输出将是d = 29。
因此，公钥是(91, 5)，私钥是(91, 29)。

假设发送者希望发送一些文本消息给公钥为（n，e）的人。然后发件人将明文表示为一系列小于n的数字。
为了加密第一个明消茄文P，它是一个模n的数字。 加密过程是简单的数学步骤:
C = Pe mod n
换句话说，密文C等于明文P乘以自己e次，然后减去模n。 这意味着C也是一个小于n的数字。
回到我们的密钥生成例子，明文P = 10，我们得到密文C:
C = 105 mod 91

属于ECC的一种变化。加密的核心理念与RSA相似，也是利用离散对数很难求解。
但与RSA不同的野灶是 公钥的组成部分，EIGamal的公钥有三部分组成， 质模数 p, 生成元素 g, 以及 公共的 Y = gx(g的x次方) mod p。
详细可以看 ElGamal Crytosystem

椭圆曲线密码术(ECC)是用来描述一套密码工具和协议的术语，其安全性基于特殊版本的离散对数问题。它不使用数字模p。ECC基于与称为椭圆曲线的数学对象相关联的数字集合。有这些数字的加法和计算倍数的规则，就像数字模p一样。

ECC包含许多最初为模块化数字设计的密码方案的变体，如ElGamal加密和数字签名算法。

相信当应用于椭圆曲线上的点时，离散对数问题更加困难。这会提示从数字模p切换到椭圆曲线上的点。如果我们使用基于椭圆曲线的变体，也可以用较短的密钥获得等效的安全级别。

较短的密钥有两个好处:
易于管理
高效的计算
这些优点使基于椭圆曲线的加密方案变体对计算资源受到限制的应用程序非常有吸引力。

详细可以看 Elliptic Curve Cryptography

^符号表示为多少次方
签名 = 消息^D mod N (D和N 为签名者的私钥，计算消息的D次方并求mod N，所得余数即为签名)
消息 = 签名^E mod N (E和N 为签名者的公钥，计算签名的E次方并求mod N)

举个例子:
私钥: D = 29; N = 323
公钥: E = 5; N = 323
消息: 123

由于 N 的值为 323, 因此消息需要为 0 ~ 322 这个范围内的整数. 假设需要对 123 这个消息进行签名.
用私钥(D,N) = (29,323) 对消息 123 进行签名.

消息^D mod N = 123^29 mod 323 = 157
因此 (消息, 签名) = (123, 157)

用公钥(E,N) = (5,323)对消息进行验证
签名^E mod N = 157^5 mod 323 = 123

得到消息 123 与发送者发送过来的消息 123 是一致的，因此签名验证成功.

https://andrea.corbellini.name/2015/05/17/elliptic-curve-cryptography-a-gentle-introction/

加法逆: a在集合中, -a在集合中的定义为使 a + (-a) = 0, 这就是加法逆元运算
乘法逆: a在集合中,且不为0, a^-1 在集合中定位为使 a* a^-1 = 1, 这就是乘法逆元运算

在聊椭圆曲线前，我们先打一些基础然后再讨论一下对数问题.

在一个集合上定义一个二元运算，这就是数学中的群。一个集合 G 要成为一个群，必须满足下面 4 个条件:

从平常的加法概念来看, 整数集 Z 是一个群(而且是阿贝尔群). 自然数集 N 不是一个群.

我们可以在椭圆曲线上定义一个群:

https://andrea.corbellini.name/ecc/interactive/reals-add.html

如下图: 点 A 的自我相加过程就是做 乘法的过程 这个过程叫 Point Doubling

计算 nP 需要做 n次加法 如果 n 为 k 位二进制 时间复杂度为 O(2^k)

倍加算法 比如 n = 151 二进制为 10010111

用倍加算法 时间复杂度有了很大的改进 O(logN) or O(k)

Q = nP

这只是 p = 211, 像 Secp256k1 这条椭圆曲线的 p = 34671663 一个78位的数字 要怎么求出 n?

一个通俗的比喻: 假设这些点是有个人 A 在一个很大的房间里玩弹珠的游戏 玩了两年 两年后 A 的朋友 B来了 B看到了最后的点 以及 A 告诉B 起点 但是B怎么能知道 A 是弹了多少次才从起点弹到终点？

上面这两张图是 椭圆曲线 - Secp256K1: y^2 = x^3 + 7
第一张图: 定义在 实数域
第二张图: 定义在 有限域Zp
是用下面的参数(p,a,b,G,n,h)形成的:

p = FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFE FFFFFC2F = 2^256 - 2^32 - 997
a = 0
b = 7
G = [0x79BE667E_F9DCBBAC_55A06295_CE870B07_029BFCDB_2DCE28D9_59F2815B_16F81798,
0x483ADA77_26A3C465_5DA4FBFC_0E1108A8_FD17B448_A6855419_9C47D08F_FB10D4B8]
n = 0xFFFFFFFF_FFFFFFFF_FFFFFFFF_FFFFFFFE_BAAEDCE6_AF48A03B_BFD25E8C_D0364141
h = 1

如果椭圆曲线上一点P, 存在最小的正整数 n 使得数乘 nP=O∞, 则将 n 称为 P 的阶

计算可得 27P = -P = (3, 13) 所以 28P = 0∞ P的阶为28

如何签名?
Sig = F sig ( F keccak256 ( m ) , k )

如何计算 r

如何计算 s
s ≡ q^-1 (Keccak256(m) + r * k) (mod p)

如何验证签名?

P.S. 上述验证签名的过程中 没有用到发送者的 私钥

RSA 密钥大小(bits) ECC 密钥大小 (bits)
1024 160
2048 224
3072 256
7680 384
15360 521

有一个研究例子 同一台计算能力的计算机

为什么 比特币和以太坊要选择 Secp256k1 这条椭圆曲线?

假如有人提供一条椭圆曲线比如 Secp256r1 如何验证这条曲线的安全性？

因为公钥是公开的，很容易被破坏或者篡改，因此需要建立和维持一种可信的基础机制来管理公钥。

PKI由5部分组成:

作为比喻，证书可以被视为发给该人的身份证。人们使用驾照，护照等身份证来证明自己的身份。数字证书在电子世界中具有相同的基本功能。
但有一点不同，数字证书不仅发给人，还可以发给电脑，软件包或任何其他需要证明电子世界身份的东西。

数字证书基于ITU标准X.509，该标准定义了公钥证书和认证验证的标准证书格式。因此数字证书有时也被称为X.509证书。

与用户客户端相关的公钥与证书颁发机构(CA)一起存储在数字证书中，以及其他相关信息，例如客户信息，到期日期，使用情况，发行者等。

CA对此整个信息进行数字签名并在证书中包含数字签名。

任何需要对客户的公共密钥和相关信息进行保证的人，他都会使用CA的公钥进行签名验证过程。成功的验证可确保证书中给出的公钥属于在证书中给出详细信息的人员。

下图了展示了个人/实体获取数字证书的过程:

如图所示，CA接受来自客户端的申请以证明其公钥。 CA在适当验证客户身份后，向该客户发出数字证书。

如上所述，CA向客户颁发证书并协助其他用户验证证书。 CA负责正确识别要求颁发证书的客户的身份，并确保证书中包含的信息是正确的并对其进行数字签名。

CA的关键功能:

证书类别
有四种典型的证书类别:

第1类 - 通过提供电子邮件地址可轻松获取这些证书。

第2类 - 这些证书要求提供额外的个人信息。

第3类 - 这些证书只有在对请求者的身份进行检查后才能购买。

第4类 - 它们被需要高度信任的政府和金融机构使用。

CA可以使用第三方注册机构(RA)对要求证书确认其身份的人或公司进行必要的检查。 RA可能在客户端看起来像一个CA，但它们实际上并不签署发布的证书。

这是发布证书的管理系统，暂时或永久暂停，续订或撤销证书。 证书管理系统通常不会删除证书，因为可能有必要在某个时间点证明其身份，这是出于法律原因。 CA和相关RA运行证书管理系统，以便能够跟踪他们的责任。

虽然客户端的公钥存储在证书中，但关联的私钥可以存储在密钥所有者的计算机上。 这种方法一般不采用。 如果攻击者能够访问计算机，他可以轻松访问私钥。 出于这个原因，私钥存储在通过密码保护的安全可移动存储令牌上。

不同的供应商经常使用不同的专有的存储格式来存储密钥。 例如，Entrust使用专有的.epf格式，而Verisign，GlobalSign和Baltimore使用标准的.p12格式。

1.6 Hierarchy of CA:
由于拥有庞大的网络和全球通信的要求，所有用户从唯一一个可信的CA获得证书是不切实际的。其次，只有一个CA的可用性可能会导致大的阻碍，如果CA受到影响。

在这种情况下，层次认证模型很受关注，因为它允许在两个通信方与相同CA没有信任关系的环境中使用公钥证书。

根CA位于CA层次结构的顶部，根CA的证书是自签名证书。

直接隶属于根CA(例如，CA1和CA2)的CA具有由根CA签名的CA证书。

层次结构中下级CA(例如，CA5和CA6)下的CA具有由上级下级CA签名的CA证书。

证书颁发机构(CA)层次体现在证书链中。证书链跟踪从层次结构中的分支到层次结构根的证书路径。

下图显示了具有从实体证书到两个从属CA证书(CA6和CA3)到根证书颁发机构CA证书的证书链的CA层次结构:

验证证书链是确保特定证书链有效，正确签署和可信的过程。 以下过程验证证书链，从提供验证的证书开始 -

一个正在验证其真实性的客户端提供他的证书，通常连同证书链一直到根CA.

验证者获取证书并使用发行者的公钥进行验证。 发行人的公钥在发行人的证书中找到，该证书位于客户证书旁边的链中。

现在，如果已签署发行人证书的较高的CA由验证方信任，则验证成功并在此停止。

否则，发行人证书的验证方式与客户在上述步骤中完成的相似。 此过程将继续进行，直到在其中找到可信的CA，否则它将持续到根CA。

哈希函数非常有用，并且出现在几乎所有信息安全应用程序中。

哈希函数是将数字输入值转换为另一个压缩数值的 数学函数。 哈希函数的输入具有任意长度，但输出始终为固定长度。

哈希函数返回的值称为消息摘要或简单的散列值。 下面的图片说明了哈希函数:

为了成为一个有效的加密工具，哈希函数具有以下属性:

散列的核心是一个数学函数，该函数在两个固定大小的数据块上运行以创建散列码。 这个哈希函数构成哈希算法的一部分。

每个数据块的大小因算法而异。 通常块大小从128位到512位。 下图演示了哈希函数:

哈希算法涉及上述哈希函数，如分组密码。 每一轮都会输入一个固定的大小，通常是最近消息块和最后一轮输出的组合。

这个过程重复进行多次，以散列整个消息。 哈希算法的示意图如下图所示:

因为第一消息块的散列值变成第二散列操作的输入，其输出改变第三操作的结果，等等。 这种效应被称为散列的雪崩效应。雪崩效应对两个即使是单个数据位也不相同的消息产生明显不同的散列值。理解哈希函数和算法之间的区别。 哈希函数通过对两个固定长度的二进制数据块进行操作来生成哈希码。哈希算法是一个使用哈希函数的过程，指定如何分解消息以及如何将先前消息块的结果链接在一起。

后来在1995年，SHA-1被设计用于纠正SHA-0的所谓弱点。SHA-1是现有SHA哈希函数中使用最广泛的。它被用于几个广泛使用的应用程序和协议，包括安全套接字层(SSL)安全。

2005年，发现了一种在实际时间框架内发现SHA-1冲突的方法，使SHA-1的长期可用性受到怀疑。

SHA-2系列具有四个更进一步的SHA变体，SHA-224，SHA-256，SHA-384和SHA-512，取决于其散列值中的位数。还没有成功的攻击报道过SHA-2哈希函数。

虽然SHA-2是一个强大的哈希函数。虽然有很大的不同，但其基本设计仍然遵循SHA-1的设计。因此，NIST要求提供新的竞争性散列函数设计。

2012年10月，NIST选择Keccak算法作为新的SHA-3标准。 Keccak提供了许多好处，例如高效的表现和良好的攻击抵抗力。

该集包括RIPEND，RIPEMD-128和RIPEMD-160。此算法还有256位和320位版本。

原始的RIPEMD(128位)基于MD4中使用的设计原则，并且发现提供可疑的安全性。 RIPEMD 128位版本是解决原始RIPEMD漏洞的快速修复替代品。

RIPEMD-160是一个改进版本，是使用最广泛的版本。与RIPEMD-128和RIPEMD-160相比，256和320位版本分别减少了意外冲突的可能性，但没有更高的安全等级。

Merkle Tree 默克尔树

哈希算法的一个重要应用是默克尔树(Merkle tree)，默克尔树是一种数据结构，通常是一个二叉树，也有可能是多叉树，它以特定的方式逐层向上计算，直到顶部，最顶层叫做默克尔根(Merkle Root)，默克尔树最为常见和最简单的是二叉默克尔树。