伪随机数生成器。混合密钥加密算法系统综合使用了伪随机数生成器,对称密码和公钥密码这三种技术组合而成。常见的混合加密算法主要是指RSA加解密算法和DES加解密算法这两种加解密算法。
‘贰’ HTTPS加密(握手)过程
第一步散弊纯:客户端会发起一个hello client请求,请求中会携带TLS版本信息、加密套件候选列表、压缩算法候选列表以及一个随机数。
第二步:服务端收到请求以后也会给客户端发一个server hello请求,请求中会告诉客户端它选择的协议版本、加密套件、压缩算法以及一个随机数。
第三步:服务端会给客户端发一个server certificate请求,里面包含服务端的数字证书,用于客户端进行校验。
第四步:服务端会给客户端发一个server hello done告诉客户端信息已发送完毕。
第五步:客户端收到证书以后进行校验获取到服务端的公钥。
第六步:客户端会将自己的数字证书发给服务端用于校验。
第七步:客户端计算出一个随机数pre-master,然后用公钥进行加密发送给服务器端。
第八步:服务端和客卜模户端都根据自己的随机数+对端的随机数+pre-master算出对称密冲咐钥,然后再根据对称密钥进行通信。
‘叁’ 在混合加密方式下,( )用来加解密通信过程中所传输的数据
取对称密码和公钥密码的优势。公钥密码处理速度较为受限,并且对中间人防御力较弱。这两项问题可以用对称密码来解决。
具体步骤:
1:用对称密码加密消息。
2:通过伪随机数生成器生成对称密码加密中使用的会话密李握钥。
3:用公钥密码加密会话密钥。
4:从混哪禅庆合密码系统外部赋予公钥密码加密时使用的密钥。
也就是说数袭扰据加密本身为对称算法密钥进行加密, 同时用公钥加密对称算法。
‘肆’ 密码技术(六)之混合密码
混合密码用对称密码来加密明文,用公钥密码来加密对称密码中所使用密钥。通过使用混合密码系统,就能够在通信中将对称密码和公钥密码的优势结合起来。
通过使用对称密码,我们就能够在通信中确保机密性。然而要在实际中运用对称密码,就必须解决密钥配送问题,而通过前面介绍的公钥密码,解决了配送问题,但是公钥密码还有两个很大的问题:
混合密码系统(hybrid cryptosystem)是将对称密码和公钥密码的优势相结合的方法。一般情况下,将两种不同的方式相结合的做法就称为混合(hybrid)。
混合密码系统中会先用快速的对称密码来对消息进行加密,这样消息就被转换为了密文,从而保证了消息的机密性。然后我们只要保证对称密码的密钥的机密性就可以了。这里就轮到公钥密码出场了,我们可以同公钥密码对加密消息时使用的对称密码的密钥进行加密。由于对称密码的密钥一般比消息本身要端,因此公钥密码速度慢的问题就可以忽略了。
将消息通过对称密码来加密,将加密消息时使用的密钥通过公钥公钥密码来加密,这样的两步密码机制就是混合密码系统的本质。
下面罗列一下混合密码系统的组成机制。
混合密码系统解决了公钥密码速度慢的问题,并通过公钥密码解决了对称密码的密钥配送问题。
着名的密码软件PGP,以及网络上的密码通信所使用的SSL/TLS都运用了混合密码系统。
PGP的处理除了这里介绍的混合密码系统之外,还包括数字签名、数字签名认证以及私钥管理等处理。PGP处理的流程图比混合密码系统要复杂的很多。
怎样才算是高强度的混合密码系统呢?混合密码系统运用了伪随机数、对称密码和公钥乎激密码,因此其中每一种技术要素强度都必须很高。然后实际上不仅如此,这些技术要素之间的强度平衡也非常重要。
混合密码系统中,伪随机数生成器被用户产生会话密码。如果伪随机数生成器算法很差,生成的会话密码要就有可能被攻击者推测出来。
会话密钥中那跑只有部分比特被推测出来也是很危险的,因为会话秒的密钥空间不打很容易通过暴力破解来发动攻击。
混合密码系统中,对称密码被用于加密消息,当然,我腔桥们需要使用高强度的对称密码算法,并确保密钥具有足够的长度。此外,我们还需要选择使用何时的分组密码模式。
混合密码系统中,公钥密码被用于加密会话密钥。我们需要使用高强度的公钥密码算法,并确保密钥具有足够的长度。
混合密码系统中运用了对称密码和公钥密码两岁圆袜种密码方式,无论其中任何一方的密钥过短,都可能遭到集中攻击,因此对称密码和公钥密码的密钥长度必须具备同等的强度。
然而考虑到长期运用的情况,公钥密码的强度应该要高于对称密码,因为对称密码的会话密钥被破解只会影响本次通信内容,而公钥密码一旦被破译,从过去到未来的所有通信内容就能够被破译了。
该系列的主要内容来自《图解密码技术第三版》
我只是知识的搬运工
文章中的插图来源于原着
‘伍’ 求高手做题:电子商务安全
ADABC
1.认证机构(CA):为用户在电子商务交易活动及相关活动提供一个中立、公正、值得信赖的第三方认证服务的机构。
2.数字信封: 包含被加密的内容和被加密的用于加密该内容的密钥的安全数据包
3.密钥管理的任务做槐: 包括,从密钥的产生到密钥的销毁的各个方面。主要表现于管理体制、管理协议和密钥的产生、分配、更换和注入等。
密钥生命周期: 分为初始化—颁发—取消三个阶段
4.不可否认机制:在电子交易的过程中,交易双方的整个交易过程都由一个双方信赖第三方进行监管,当发生纠纷时由第三方出面进行公证,维护交易的公正性;
不可否认机制有三种:来源不可否认,接受不可否认和提交不否认。
5.在安全电子交易SET中,持卡人购物时需要向供货商发送两个信息,订货单信息OI和加密的支付卡信息PI,其中OI是发给供货商的,而加密后的PI要经过供货商转交给支付网关银行,同一交易的OI和PI事相互关联的,利用双重签名对二者的报文摘要进行签名,可以分别向供货商和银行证明OI和PI的真实性
1.混合加密: 加密方法可分为两大类:软加密和硬加密。软加密用纯软件的方法来实现加密,主要有密码,软件校验码等;硬加密则是软件和硬件结合起来的一种加密手段,加密后软册胡搭件执行时需要访问相应的硬件,其加密强度大,成本也高。混合加密是指利用数据加密技术DES和RSA算法、机器硬件指纹、钥匙盘等技术对软件进行混合加密
2.SSL叫安全套接层协议,是国际上最早用的,已成工业标准,但它的基点是商家对客户信息保密的承诺,因此有利于商家而不利于客户。
SET叫安全州拿电子交易协议,是为了在互联网上进行在线交易时保证信用卡支付的安全而设立的一个开放的规范。因它的对象包括消费者、商家、发卡银行、收单银行、支付网关、认证中心,所以对消费者与商家同样有利。它越来越得到众人认同,将会成为未来电子商务的规范
‘陆’ 一篇文章搞定密码学基础
密码技术是网络安全的基础,也是核心。现在对隐私保护、敏感信息尤其重视,所以不论是系统开发还是App开发,只要有网络通信,很多信息都需要进行加密,以防止被截取篡改,虽然很多人每天都在用密码学的知识,但并不是人人都知道,谨以此篇科普一下~~~
PS:2016.7.10 补充 散列函数与消息摘要
明文M:原始数据,待加密的数据
密文C:对明文进行某种伪装或变换后的输出
密钥K:加密或解密中所使用的专门工具
加密E:用某种方法将明文变成密文的过程
解密D:将密文恢复成明文的过程
一个密码系统由五元组(M、C、K、E、D)组成,如图所示
对称密码体制 :对信息进行明/密文变换时,加解和解密使用相同密钥的密码体制
非对称密码体制 :对信息进行明/密文变换时,加密和解密密钥不相同的密码体制
在非对称密码体制中,每个用户都具有一对密钥,一个用于加密,一个用于解密,其中加密密钥可以公开,称之为公钥,解密密钥属于秘密,称之为私钥,只有用户一人知道。
混合加密体制 :同时使用对称密码和非对称密码的体制
对称加密的一个很大问题就是通信双方如何将密钥传输给对方,为了安全,一般采取带外传输,也就是说如果加密通信是在网络,那么密钥的传输需要通过其他途径,如短信,即使如此,也很难保证密钥传输的安全性。非对称加密加解最大的优点是事先不需要传输密钥,但速度慢,因此实际应用中,经常采取混合密码体制。假设A与B要实现保密通信,工作过程如下:
Hash函则腔数也称为 散列函数 ,它能够对不同长度的输入信息,产生固定长度的输出。这种固定长度的输出称之为原消息的散列或者 消息摘要 ,消息摘要长度固定且比原始信息小得多,一般情况下,消息摘要是不可逆的,即从消息摘要无法还原原文,为什么说一般情况下呢,中国出了个牛人王小云,感兴趣的自行Google~~~
散列算法:散列算法就是产生信息散列值的算法,它有一个特性,就是在输入信息中如果发生细微的改变,比如给变了二进制的一位,都可以改变散列值中每个比特的特性贺洞,导致最后的输出结果大相径庭,所以它对于检测消息或者密钥等信息对象中的任何微小的变化非常有用。
一个安全的散列算法H需要满足:
数字签名是指发送方以电子形式签名一个消息或文件,签名后的消息或文件能在网络中传输,并表示签名人对该消禅盯枯息或文件的内容负有责任。数字签名综合使用了消息摘要和非对称加密技术,可以保证接受者能够核实发送者对报文的签名,发送者事后不抵赖报文的签名,接受者不能篡改报文内容和伪造对报文的签名。
数字签名需要做到两点:
数字签名的过程与示意图:
数字证书是一种权威的电子文档,由权威公正的第三方认证机构(CA)签发,广泛用于涉及需要身份认证和数据安全的领域。
数字证书种类:
数字证书功能:
1、信息保密
2、身份确认
3、不可否认性
4、数据完整性
数字证书的格式:
最简单的可以是:公钥、名称和证书授权中心的数字签名,目前 X.509 是一种通用的证书格式,它的第三个版本目前使用广泛,证书内容包括:版本、序列号、签名算法标识、签发者、有效期、主体、主体公开密钥、CA的数字签名、可选型等等
‘柒’ 密码学中的对称加密和非对称加密
一、对称加密
概念:加密和解密用同一对密钥的加密技术,叫对称加密。
加密方式:DES、3DES、AES,安全性依次从低到高。
示意图:
二、非对称加密,也称公开密钥
概念:加密和解密用 不同的密钥 的加密技术,叫非对称加密。
典型的加密方式:RSA算法
加密步骤:
三、两种方式各自的缺点:
四销迅模、混合密码系统
概念:将对称密码和公钥密码的优势相结合的方法
优点:解决了公钥密码速度慢的问题;通过公钥密码解决昌弯了对称密码的密钥配送问题。
应用:网络上的密码通信所用的SSL/TSL都运用了混合密码系统。
会话密钥的生成:
加密步骤:
最终,发出去的消息包括两部分:
解密步骤:
示意图:
1. 为什么加密消息主体要用对称加密?
因为消息主体信息量大,发送频繁,而对称加密速度快,效率高。
2. 为什么加密会话密钥要用非对称加密?
因为会话密钥一般比较短,而且通常只需要发送一次即可,所亏缓以对速度要求不高,但对安全性要求很高,非对称加密满足这个要求。
‘捌’ 混合密码系统→对称密码、公钥密码
混合密码系统用对称密码来加密明文,用公钥密码来加密对称密码中所使用的密钥。通过使用混合密码系统,就能够在通信中将对称密码和公钥密码的优势结合起来。
混合密码系统能够解决上述处理速度慢的,但是如果要解决中间人攻击的问题,则需要对公钥进行认证(后面的文章会陆续更新)
将消息通过对称密码来加密,将加密消息使用的密钥通过公钥密码来加密,这样的两步密码机制就是混合密码系统的本质。
混合密码的组成机制
此图中,右半部分是加密消息的态大部分(对称密码),左半部分是加密会话密钥的部分(公钥密码)
消息的加密方法和对称密码的一般加密方法相同,当消息很长时,则需要使用分组密码的模式(后续文章更新会讲到),即便非常长的消息,也可以通过对称密码快速完成加密,这就是右半部分所进行的处理。
左半部分进行的是会话密钥的生成和加密操作。
会话密钥 是指为本次通信而生成的临时密钥,它一般是通过伪随机数生成器产生的,伪随机数生成器所产生的会话密钥同时也会被传递给右半部分,作为对称密码的密钥使用。
会话密钥是对称密码的密钥,同时也是公帆雀竖钥密码的明文
混合密码系统的密文是由“用公钥密码加密的会话密钥”和“用对称密码加密的消息”组合而成的,因此首先需要将两者分离(发送者和接收事先约定好密文的结构)
混合密码系统中运用岁判了对称密码和公钥密码两种密码方式,无论其中任何一方的密钥过短,都可能遭到集中攻击,因此对称密码和公钥密码的密钥长度必须具备同等的强度。
然而,考虑到长期运用的情况,公钥密码的强度应该高于对称密码,因为对称密码的会话密钥被破译只会影响本次通信的内容,而公钥密码一旦被破译,从过去到未来的(用相同的公钥加密的)所有通信内容就都能够被破译了。
‘玖’ 混合密码系统
对称密码算法 可以解闷老决机密性问题,加解密速度比公钥密码速度快,但是存在密钥配送问题。
公钥密码算法 可以解决密钥配送问题,但是直接使用公钥密码算法存塌模在加解密速度慢,浪费计算资源的问题,大概是对称密码算法速度的百分之一。
混合密码系统(hybird cryptosystem)将 对称密码算法 与 公钥密码算法 配合使用,用 对称密码算法 作为 会话密钥 来加密明文,提高加密解密速度。用 公钥密码团罩缓算法 来加密对称密码算法中所使用的密钥,以保护 会话密钥 。
混合密码系统通过 对称密码算法 解决通信中的 机密性 问题,通过 对称密码算法 解决 密钥配送 问题,充分发挥了两者的优势,而且弥补了两者的短板。
将消息通过对称密码来加密,将加密消息时使用的密钥通过公钥密码来加密,这样的两步密码机制就是混合密码系统的本质。
混合密码系统运用的三种密码技术:
如图所示:
会话密钥 (session key):为本次通信而生成的临时密钥,它一般是通过伪随机数生成器生成的。伪随机数生成器生成的会话密钥被传递到右半部分,作为对称密码的密钥使用。
如图所示:
‘拾’ 混合加密系统的过程
本问题所要求的加密,以此为前提:在发送方向接受方发送信息,或接收方向发送方请求信息时,发送方和接收方会在信道上传递信息而不希望第三者知道该信息的真正意义。发送方和接收方留存的、不放在信道的传播的信息是安全的,不会为第三者所知的;放在信道上传播的信息是不安全的,会被第三者截获的。
“混合”加密系统,是混合了对称加密方法和非对称加密方法的加密通信手段。要解释混合加密系统,必须以理解对称加密和非对称加密为前提。
混合加密系统融合了对称加密和非对称加密的优势,并补足了两者的缺点。对称加密速度快,但安全性难以保证;非对称加密安全性高,但速度慢,无法满足大量信息的加密传送。对于两者的详述,请参考网络的解释。为防止喧宾夺主,这里不展开描述。
对称加密非对称加密
在此处首先定义三个概念以方便阐述:
1.对称密钥:即可用于加密明文,又可用于解密密文。
2.非对称私钥:可用于解密密文。
3.非对称公钥:可用于加密明文,但无法用于解密密文。
混合加密系统的工作流程,以乙向单方面甲要求信息为例,至于双向信息交流由同理易得,不做赘述。
1.乙向甲发送请求,希望得到信息。
2.乙创建非对称私钥和非对称公钥,将非对称公钥发送给甲。
3.甲创建明文、对称公钥,以对称公钥加密明文得到密文,再用非对称公钥加密对称公钥得到加密后的对称公钥。甲再将加密后的对称公钥和密文发送给乙。
4.乙用非对称私钥解密加密后的对称公钥,得到对称公钥。乙再用对称公钥解密密文,得到所要的明文。
在斜体加粗所标明的,在传播过程中被第三者截获的信息有:非对称公钥、加密后的对称公钥、密文。第三者欲破解密文,必须有对称公钥;欲破解加密后的对称公钥,必须有非对称私钥。而私钥被乙方保留,第三者无从获得。故第三者无法得到明文。至此,乙得到了向甲要求的信息,而第三者无从得到信息的真正含义。
这种做法既具有非对称加密的安全性,因为非对称密钥是保密的;又具有对称加密的高效率,因为用非对称加密方法加密的是相对短小的对称密钥而非要传输的大量信息。
从其他角度进行的,更加详尽的表述请参阅其他文章:
混合加密1混合加密2混合加密3混合加密4
混合加密5