基于属性加密密文可伪造

1. 数据加密

数据加密技术是指将一个信息或称明文，经过加密钥匙及加密函数转换，变成无意义的密文，而接收方则将此密文经过解密函数、解密钥匙还原成明文。加密技术广泛用于网络数据的安全领域。

数据加密技术要求只有在指定的用户或网络下，才能解除密码而获得原来的数据，这就需要给数据发送方和接受方以一些特殊的信息用于加解密，这就是所谓的密钥。其密钥的值是从大量的随机数中选取的。按加密算法分为专用密钥和公开密钥两种。

1）专用密钥，又称为对称密钥或单密钥，加密和解密时使用同一个密钥，即同一个算法。如DES和MIT的Kerberos算法。专用密钥是最简单方式，通信双方必须交换彼此密钥，当需给对方发信息时，用自己的加密密钥进行加密，而在接收方收到数据后，用对方所给的密钥进行解密。当一个文本要加密传送时，该文本用密钥加密构成密文，密文在信道上传送，收到密文后用同一个密钥将密文解出来，形成普通文体供阅读。由于对称密钥运算量小、速度快、安全强度高，因而目前仍广泛被采用。

2）公开密钥，又称非对称密钥，加密和解密时使用不同的密钥，即不同的算法，虽然两者之间存在一定的关系，但不可能轻易地从一个推导出另一个。有一把公用的加密密钥，有多把解密密钥，如RSA算法。公开密钥由于两个密钥（加密密钥和解密密钥）各不相同，因而可以将一个密钥公开，而将另一个密钥保密，同样可以起到加密的作用。在这种编码过程中，一个密码用来加密消息，而另一个密码用来解密消息。在两个密钥中有一种关系，通常是数学关系。公钥和私钥都是一组十分长的、数字上相关的素数（是另一个大数字的因数）。有一个密钥不足以翻译出消息，因为用一个密钥加密的消息只能用另一个密钥才能解密。每个用户可以得到唯一的一对密钥，一个是公开的，另一个是保密的。公共密钥保存在公共区域，可在用户中传递，甚至可印在报纸上面。而私钥必须存放在安全保密的地方。任何人都可以有你的公钥，但是只有你一个人能有你的私钥。它的工作过程是：“你要我听你的吗？除非你用我的公钥加密该消息，我就可以听你的，因为我知道没有别人在偷听。只有我的私钥（其他人没有）才能解密该消息，所以我知道没有人能读到这个消息。我不必担心大家都有我的公钥，因为它不能用来解密该消息。”公开密钥的加密机制虽提供了良好的保密性，但难以鉴别发送者，即任何得到公开密钥的人都可以生成和发送报文。数字签名机制提供了一种鉴别方法，以解决伪造、抵赖、冒充和篡改等问题。

2. 003 国密算法【技术】

国密算法：国家密码局认定的国产密码算法，即商用密码。

非对称密码（公钥算法）：SM2，SM9

对称密码（分组密码，序列密码）：SM1，SM4，SM7，ZUC

杂凑算法（散列，哈希算法）：SM3

概述 ： 对称加密算法（分组密码） ，分组长度128位，密钥长度128位， 算法不公开 ，通过加密芯片的接口进行调用。

场景 ：采用该算法已经研制了系列芯片、智能IC卡、智能密码钥匙、加密卡、加密机等安全产品，广泛应用于电子政务、电子商务及国民经济的各个应用领域（包括国家政务通、警务通等重要领域）。

概述 ： 非对称加密算法（公钥算法） ，加密强度为256位，是一种椭圆曲线算法。

公钥密码学与其他密码学完全不同, 使用这种方法的加密系统，不仅公开加密算法本身，也公开了加密用的密钥。公钥密码系统与只使用一个密钥的对称传统密码不同，算法是基于数学函数而不是基于替换和置换。公钥密码学是非对称的，它使用两个独立的密钥，即密钥分为公钥和私钥，因此称双密钥体制。双钥体制的公钥可以公开，因此称为公钥算法。

使用私钥加密后的密文只能用对应公钥进行解密，反之使用公钥加密的密文也只能用对应的私钥进行解密。通过对私钥进行椭圆曲线运算可以生成公钥，而由于椭圆曲线的特点，知道公钥却很难反推出私钥，这就决定了SM2算法的安全性。SM2算法最常见的应用是进行身份认证，也就是我们熟知的数字签名与验签，通过私钥的私密性来实现身份的唯一性和合法性。

场景： 适用于商用应用中的 数字签名和验证 ，可满足多种密码应用中的 身份认证 和 数据完整性，真实性 的安全需求。

场景： 适用于商用密码应用中的 密钥交换 ，可满足通信双方经过两次或可选三次信息传递过程，计算获取一个由双方共同决定的共享秘密密钥（会话密钥）。

场景： 适用于国家商用密码应用中的 消息加解密 ，消息发送者可以利用接收者的公钥对消息进行加密，接收者用对应的私钥进行解，获取消息。

涉及国密标准： GB/T 32918.1-2016、GB/T 32918.2-2016、GB/T 32918.3-2016、GB/T 32918.4-2016、GB/T 32918.5-2017、GB/T 35275-2017、GB/T 35276-2017。

概述：哈希算法（散列算法，杂凑算法） ，任意长度的数据经过SM3算法后会生成长度固定为256bit的摘要。SM3算法的逆运算在数学上是不可实现的，即通过256bit的摘要无法反推出原数据的内容，因此在信息安全领域内常用SM3算法对信息的完整性进行度量。

场景： 适用于商用密码应用中的 数字签名和验证 ， 消息认证码的生成与验证 以及 随机数的生成 ，可满足多种密码应用的安全需求。

涉及国密标准： GB/T 32905-2016

概述：对称加密算法（分组密码） ，分组长度128位，密钥长度128位，使用某一密钥加密后的密文只能用该密钥解密出明文，故而称为对称加密。SM4算法采用32轮非线性迭代实现，加解密速度较快，常应用于大量数据的加密，保存在存储介质上的用户数据往往就使用SM4算法进行加密保护。

场景：大量数据的加密，解密，MAC的计算 。

分组密码就是将明文数据按固定长度进行分组，然后在同一密钥控制下逐组进行加密，从而将各个明文分组变换成一个等长的密文分组的密码。其中二进制明文分组的长度称为该分组密码的分组规模。

分组密码的实现原则如下：必须实现起来比较简单，知道密钥时加密和脱密都十分容易，适合硬件和(或)软件实现。加脱密速度和所消耗的资源和成本较低,能满足具体应用范围的需要。

分组密码的设计基本遵循混淆原则和扩散原则

①混淆原则就是将密文、明文、密钥三者之间的统计关系和代数关系变得尽可能复杂，使得敌手即使获得了密文和明文，也无法求出密钥的任何信息;即使获得了密文和明文的统计规律，也无法求出明文的任何信息。

②扩散原则就是应将明文的统计规律和结构规律散射到相当长的一段统计中去。也就是说让明文中的每一位影响密文中的尽可能多的位，或者说让密文中的每一位都受到明文中的尽可能多位的影响。

涉及国密标准： GB/T 32907-2016

概述 ： 对称加密算法（分组密码） ，分组长度128位，密钥长度128位， 算法不公开 ，通过加密芯片的接口进行调用。

场景 ：适用于非接触式IC卡，应用包括身份识别类应用(门禁卡、工作证、参赛证)，票务类应用(大型赛事门票、展会门票)，支付与通卡类应用（积分消费卡、校园一卡通、企业一卡通等）。

概述：非对称加密算法（标识密码） ，标识密码将用户的标识（如邮件地址、手机号码、QQ号码等）作为公钥，省略了交换数字证书和公钥过程，使得安全系统变得易于部署和管理，非常适合端对端离线安全通讯、云端数据加密、基于属性加密、基于策略加密的各种场合。

SM9算法不需要申请数字证书，适用于互联网应用的各种新兴应用的安全保障。如基于云技术的密码服务、电子邮件安全、智能终端保护、物联网安全、云存储安全等等。这些安全应用可采用手机号码或邮件地址作为公钥，实现数据加密、身份认证、通话加密、通道加密等安全应用，并具有使用方便，易于部署的特点，从而开启了普及密码算法的大门。

概述 ： 对称加密算法（序列密码） ，是中国自主研究的流密码算法,是运用于移动通信4G网络中的国际标准密码算法，该算法包括祖冲之算法(ZUC)、加密算法(128-EEA3)和完整性算法(128-EIA3)三个部分。目前已有对ZUC算法的优化实现，有专门针对128-EEA3和128-EIA3的硬件实现与优化。

3. 开发中常见的加密方式及应用

开发中常见的加密方式及应用

一、base64

简述：Base64是网络上最常见的用于传输8Bit 字节码 的编码方式之一，Base64就是一种基于64个可打印字符来表示二进制数据的方法。所有的数据都能被编码为并只用65个字符就能表示的文本文件。( 65字符：A~Z a~z 0~9 + / = )编码后的数据~=编码前数据的4/3，会大1/3左右（图片转化为base64格式会比原图大一些）。

应用：Base64编码是从二进制到字符的过程，可用于在 HTTP 环境下传递较长的标识信息。例如，在Java Persistence系统Hibernate中，就采用了Base64来将一个较长的唯一 标识符 （一般为128-bit的UUID）编码为一个字符串，用作HTTP 表单 和HTTP GET URL中的参数。在其他应用程序中，也常常需要把二进制 数据编码 为适合放在URL（包括隐藏 表单域 ）中的形式。此时，采用Base64编码具有不可读性，需要解码后才能阅读。

命令行进行Base64编码和解码

编码：base64 123.png -o 123.txt

解码：base64 123.txt -o test.png -D Base64编码的原理

原理：

1)将所有字符转化为ASCII码;

2)将ASCII码转化为8位二进制;

3)将二进制3个归成一组(不足3个在后边补0)共24位，再拆分成4组，每组6位;

4)统一在6位二进制前补两个0凑足8位;

5)将补0后的二进制转为十进制;

6)从Base64编码表获取十进制对应的Base64编码;

Base64编码的说明：

a.转换的时候，将三个byte的数据，先后放入一个24bit的缓冲区中，先来的byte占高位。

b.数据不足3byte的话，于缓冲区中剩下的bit用0补足。然后，每次取出6个bit，按照其值选择查表选择对应的字符作为编码后的输出。

c.不断进行，直到全部输入数据转换完成。

d.如果最后剩下两个输入数据，在编码结果后加1个“=”;

e.如果最后剩下一个输入数据，编码结果后加2个“=”;

f.如果没有剩下任何数据，就什么都不要加，这样才可以保证资料还原的正确性。

二、HASH加密/单向散列函数

简述：Hash算法特别的地方在于它是一种单向算法，用户可以通过Hash算法对目标信息生成一段特定长度（32个字符）的唯一的Hash值，却不能通过这个Hash值重新获得目标信息。对用相同数据，加密之后的密文相同。 常见的Hash算法有MD5和SHA。由于加密结果固定，所以基本上原始的哈希加密已经不再安全，于是衍生出了加盐的方式。加盐：先对原始数据拼接固定的字符串再进行MD5加密。

特点：

1) 加密 后密文的长度是定长(32个字符的密文)的

2)如果明文不一样，那么散列后的结果一定不一样

3)如果明文一样，那么加密后的密文一定一样(对相同数据加密，加密后的密文一样)

4)所有的加密算法是公开的

5)不可以逆推反算(不能根据密文推算出明文)，但是可以暴力 破解 ，碰撞监测

原理：MD5消息摘要算法，属Hash算法一类。MD5算法对输入任意长度的消息进行运行，产生一个128位的消息摘要。

1)数据填充

对消息进行数据填充，使消息的长度对512取模得448，设消息长度为X，即满足X mod 512=448。根据此公式得出需要填充的数据长度。

填充方法：在消息后面进行填充，填充第一位为1，其余为0。

2)添加信息长度

在第一步结果之后再填充上原消息的长度，可用来进行的存储长度为64位。如果消息长度大于264，则只使用其低64位的值，即（消息长度 对264取模）。

在此步骤进行完毕后，最终消息长度就是512的整数倍。

3)数据处理

准备需要用到的数据：

4个常数：A = 0x67452301, B = 0x0EFCDAB89, C = 0x98BADCFE, D = 0x10325476;

4个函数：F(X,Y,Z)=(X & Y) | ((~X) & Z);G(X,Y,Z)=(X & Z) | (Y & (~Z));H(X,Y,Z)=X ^ Y ^ Z;I(X,Y,Z)=Y ^ (X | (~Z));

把消息分以512位为一分组进行处理，每一个分组进行4轮变换，以上面所说4个常数为起始变量进行计算，重新输出4个变量，以这4个变量再进行下一分组的运算，如果已经是最后一个分组，则这4个变量为最后的结果，即MD5值。

三、对称加密

经典算法：

1)DES数据加密标准

DES算法的入口参数有三个：Key、Data、Mode。其中Key为8个字节共64位，是DES算法的工作密钥；Data也为8个字节64位，是要被加密或被解密的数据；Mode为DES的工作方式，有两种：加密或解密。

DES算法是这样工作的：如Mode为加密，则用Key去把数据Data进行加密， 生成Data的密码形式（64位）作为DES的输出结果；如Mode为解密，则用Key去把密码形式的数据Data解密，还原为Data的明码形式（64位）作为DES的输出结果。在通信网络的两端，双方约定一致的Key，在通信的源点用Key对核心数据进行DES加密，然后以密码形式在公共通信网（如电话网）中传输到通信网络的终点，数据到达目的地后，用同样的Key对密码数据进行解密，便再现了明码形式的核心数据。这样，便保证了核心数据（如PIN、MAC等）在公共通信网中传输的安全性和可靠性。

2)3DES使用3个密钥，对消息进行(密钥1·加密)+(密钥2·解密)+(密钥3·加密)

3)AES高级加密标准

如图，加密/解密使用相同的密码，并且是可逆的

四、非对称加密

特点：

1)使用公钥加密，使用私钥解密

2)公钥是公开的，私钥保密

3)加密处理安全，但是性能极差

经典算法RSA:

1)RSA原理

(1)求N，准备两个质数p和q,N = p x q

(2)求L,L是p-1和q-1的最小公倍数。L = lcm(p-1,q-1)

(3)求E，E和L的最大公约数为1(E和L互质)

(4)求D，E x D mode L = 1

五、数字签名

原理以及应用场景:

1)数字签名的应用场景

需要严格验证发送方身份信息情况

2)数字签名原理

(1)客户端处理

对"消息"进行HASH得到"消息摘要"

发送方使用自己的私钥对"消息摘要"加密(数字签名)

把数字签名附着在"报文"的末尾一起发送给接收方

(2)服务端处理

对"消息" HASH得到"报文摘要"

使用公钥对"数字签名"解密

对结果进行匹配

六、数字证书

简单说明:

证书和驾照很相似，里面记有姓名、组织、地址等个人信息，以及属于此人的公钥，并有认证机构施加数字签名,只要看到公钥证书，我们就可以知道认证机构认证该公钥的确属于此人。

数字证书的内容：

1)公钥

2)认证机构的数字签名

证书的生成步骤：

1)生成私钥openssl genrsa -out private.pem 1024

2)创建证书请求openssl req -new -key private.pem -out rsacert.csr

3)生成证书并签名，有效期10年openssl x509 -req -days 3650 -in rsacert.csr -signkey private.pem -out rsacert.crt

4)将PEM格式文件转换成DER格式openssl x509 -outform der -in rsacert.crt -out rsacert.der

5)导出P12文件openssl pkcs12 -export -out p.p12 -inkey private.pem -in rsacert.crt

iOS开发中的注意点：

1)在iOS开发中，不能直接使用PEM格式的证书，因为其内部进行了Base64编码，应该使用的是DER的证书，是二进制格式的；

2)OpenSSL默认生成的都是PEM格式的证书。

七、https

HTTPS和HTTP的区别：

超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息。HTTP协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息，因此HTTP协议不适合传输一些敏感信息，比如信用卡号、密码等。

为了解决HTTP协议的这一缺陷，需要使用另一种协议：安全套接字层超文本传输协议HTTPS。为了数据传输的安全，HTTPS在HTTP的基础上加入了SSL协议，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。

HTTPS和HTTP的区别主要为以下四点：

1)https协议需要到ca申请证书，一般免费证书很少，需要交费。

2)http是 超文本传输协议 ，信息是明文传输，https则是具有 安全性 的 ssl 加密传输协议。

3)http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。

4)http的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的 网络协议 ，比http协议安全。

5)SSL：Secure Sockets Layer安全套接字层;用数据加密(Encryption)技术，可确保数据在网络上传输过程中不会被截取及窃听。目前一般通用之规格为40 bit之安全标准，美国则已推出128 bit之更高安全标准，但限制出境。只要3.0版本以上之I.E.或Netscape 浏览器 即可支持SSL。目前版本为3.0。SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层：SSL记录协议(SSL Record Protocol)：它建立在可靠的传输协议(如TCP)之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议(SSL Handshake Protocol)：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

4. 双系统加密技术如何证明密码方案的安全性

在密码双系统中，密文与密钥均能呈现两种形态：标准型和半功能型。半功能型的密文和密钥不在实际方案中使用，而只是用来进行安全性证明。其中，一个标准密钥可以解密标准型或半功能型密文，而一个标准密文也能用标准型或半功能型密钥解密。然而当一个半功能型密钥去解密一个半功能型密文时，解密算法失效，即密钥和密文中的半功能成分会相互作用通过另外的随机元素伪装盲化因子。双系统密码方案的安全性证明要通过一系列被证明是不可区分的交互游戏来完成。其中realGame：此为安全游戏，其中要求参与用户的身份模N不等；restrictedGame：此游戏是受限游戏，其与实际安全的游戏很相似，但限制更严格即攻击不能为模2p后与挑战身份相同的那些身份进行密钥质询，并且此限制将贯穿随后的游戏。Gamek：设q表示攻击者提出密钥质询的次数且1,,kq="。此游戏中给攻击者的密文是半功能的，前k个密钥是半功能的，剩余密钥标准，其他同受限游戏。特殊地，0Game中所有密钥标准但密文半功能，而Gameq中密文与所有密钥均为半功能。finalGame：此游戏要求攻击者要求消息之外的随机消息的密文是半功能的，其余同游戏Gameq。

5. 密码技术

密码算法的特性
1、是否需要事先配送私钥：对称密码需要考虑
2、是否会遭到中间人攻击：非对称密码分发公钥时需要考虑
3、不可抵赖（可被双方 和 第三方 用原理证明）：非对称密码分发公钥时需要考虑
4、能否保证消息的机密性：即不可破译
5、能否保证消息的完整性（一致性）：即不可篡改
6、不可冒充（伪造）

总结：对称密码（解决456）--非对称密码之单向通信--> 混合密码（解决1） --非对称密码之数字签名--> 公钥证书（解决23）

概念
密码算法：加密算法 + 密钥 + 解密算法，简称密码
密钥空间：密钥的所有取值
隐蔽式安全性：以密码算法不为人所知，来保证机密性
分组密码：对明文进行分组加密，而非以全文作为输入
流密码：不分组，整体加密

破解密文的方法
1、窃听 + 破译
2、社会工程学
破解密钥的方法
1、暴力破解（密钥穷举），例如破译凯撒密码
2、频率分析，例如破译简单替换密码
3、选择明文攻击（对分组进行明文穷举）

加密系统的可选技术
隐写术：将消息藏在更大的数据中，例如藏头诗
伪随机数生成器
散列值（摘要，哈希值，指纹）：原文经过散列函数（摘要函数，哈希函数，杂凑函数，单向加密）计算出来的值
对称密码（共享密钥密码）：加密和解密用同一个私钥
非对称密码（公钥密码）：公钥加密，私钥解密
消息认证码
数字签名
公钥证书

碰撞：两个消息的散列值相同
弱抗碰撞性：给定一条消息，很难找到另一条消息与其散列值相同。防止以下情形，Bob持有一个消息A，计算其摘要；Alice找到与A散列值相同的另一条消息B，用B将A调包；由于摘要不变，不被Bob发觉
强抗碰撞性：很难找到两条散列值相同的消息。防止以下情形，Alice拿两个摘要相同的消息A和B，将A发给Bob；Bob计算其摘要；Alice再用B将A调包；由于摘要不变，不被Bob发觉
MD5（Message Digest 5）
历史：1991年Ronald Rivest 设计出MD5
现状：2004年王小云提出了MD5碰撞攻击算法
SHA
历史：1993年NIST发布SHA，1995年发布SHA-1，2002年发布SHA-2
现状：2004年王小云提出了SHA-0的碰撞攻击算法；2005年王小云提出了SHA-1的碰撞攻击算法
SHA-3
历史：2007年NIST发起选拔SHA-3，2012年Joan Daemen等人设计的Keccak算法被选定为SHA-3

弱伪随机数：随机性
强伪随机数：不可预测性
真随机数：不可重现性

随机数生成器：硬件可以通过热噪声实现真随机数
伪随机数生成器：软件只能生成伪随机数，需要一种子seed来初始化

伪随机数算法：线性同余法、散列法、密码法等

好的对称密码解决：不可破译
缺点：需要事先配送密钥
凯撒密码
加密算法：字母平移
密钥：平移位数
解密算法：逆向平移
破解密钥：穷举可能的密钥
简单替换密码
加密算法：一个字母替换成另一个字母
密钥：替换表
解密算法：逆向替换
破解密钥：对密文的字母 和 字母组合进行频率分析，与通用频率表对比；用破译出来的明文字母，代入密文，循环分析
Enigma密码
发明者：德国人Arthur Sherbius
加密算法：双重加密，每日密钥作为密钥1，想一个密钥2；用密钥1加密密钥2，得到密钥2密文；用密钥2加密消息；将密钥2密文和消息密文一起发出
密钥：密钥册子记录的每天不同的密钥
解密算法：用每日密钥解密密钥2密文，得到密钥2；用密钥2解密消息密文
破译者：Alan Turing 图灵

DES密码（Data Encryption Standard）
历史：1974年IBM公司的Horst Feistel开发出了Lucifer密码，1977年被美国国家标准学会（American National Standards Institute，ANSI）确定为DES标准
加密算法：以64比特为一组，进行16轮运算。在一轮中，把一组分为左侧和右侧，并从密钥中提取子密钥；轮函数用一侧和子密钥生成一个比特序列，用这个比特序列对另一侧进行异或运算（XOR）
密钥：长度56位
破译：可在现实时间内被暴力破解

三重DES密码（triple-DES，TDEA，3DES）
加密算法：将DES重复三次
密钥：长度 56 * 3

AES密码（Advanced Encryption Standard）
历史：1997年，美国国家标准与技术研究院（National Institute of Standards and Technology，NIST）公开募集AES，2000年比利时密码学家Joan Daemen 和 Vincent Rijmen提交的Rijndael方案，被选为标准
加密算法：以128比特为一组，进行多轮的替换、平移、矩阵运算
密钥：有128,192,256三种长度

分组密码的迭代模式
ECB模式：Electronic CodeBook mode，电子密码本模式；明文分组 和 密文分组 顺序对应。主动攻击者可以改变密文分组的顺序，复制 或 删除密文分组，使得接受者解密后得到错误的明文
CBC模式：Cipher Block Chaining mode，密码分组链接模式；将本组明文 和 上组密文 进行异或运算后，在进行加密；如果被篡改，则不能正常解密
CFB模式：Cipher Feedback mode，密文反馈模式；将本组明文 和 上组密文 进行异或运算后，就得到本组的密文
OFB模式：Output Feedback mode，输出反馈模式；用随机比特序列作为初始化组（初始化向量）；用初始化组的密文和 明文分组 异或运算，得到密文分组；再次对初始化组密文进行加密运算，得到新的初始化组密文，跟下组明文进行异或运算，以此类推
CTR模式：CounTeR mode，计数器模式；用随机比特序列作为计数器的初始值，加密后与明文分组进行异或操作，得到密文分组；计数器加一，对下组明文进行加密

对称密码中，发送方发送密文时，带上消息的MAC值A；接收方用相同方法计算出MAC值B；对比A和B，确保消息不被篡改
Encrypt-then-MAC：MAC值为消息密文的散列值
Encrypt-and-MAC：MAC值为消息明文的散列值
MAC-then-Encrypt：MAC值为明文散列值的密文

重放攻击：攻击者窃听到Alice给Bob发送的消息后，重复给Bob发送，Bob以为都是Alice发的
预防重放攻击：消息里带有一个id

比对称密码：不可篡改、不可伪造
缺点：需要实现配送私钥

基于口令的密码：Password Based Encryption，PBE
解决：密钥（会话密钥）保存问题
CEK：会话密钥
KEK：用来加密CEK的密钥
方案
1、随机数作为盐salt，口令 + 盐 的散列值作为KEK
2、用KEK加密CEK，得到CEK密文
3、只保存盐和CEK密文，人脑记住口令，丢弃KEK

字典攻击：如果没有盐参与生成KEK，那么口令决定了KEK，常用的口令对应一个常用KEK字典，攻击者直接拿常用KEK去解密CEK密文
盐的作用：KEK由盐参与形成，不可能有KEK字典包含这样的KEK

非对称密码单向通信，不能单独用于通信，只用在混合密码中
方案：Alice 给 Bob 分发加密密钥（公钥）；Bob用公钥加密消息，发送给Alice；Alice用解密密钥（私钥）解密
总结：消息接收者是密钥对主人，即私钥持有人；公钥用于加密，私钥用于解密

RSA密码
历史：1978年，Ron Rivest、Adi Shamir、Reonard Adleman共同发表了RSA
加密算法：密文 = 明文 ^E mode N
公钥：E 和 N的组合
解密算法：明文 = 密文 ^D mode N
私钥：D 和 N的组合

生成密钥对
生成质数：用伪随机数生成随机数，通过Miller-Rabin测试法测试它是不是质数，直到得到质数
求最大公约数：欧几里得的辗转相除法
1、求N
生成两个512位的质数p和q，N = p * q
2、求L
L是p-1 和 q-1 的最小公倍数
3、求E
用伪随机数生成(1,L)范围内的随机数，直到满足E和L的最大公约数为1
4、求D
用伪随机数生成(1,L)范围内的随机数，直到满足(E * D) mod L = 1

破解：对N进行质因数分解，得到p和q，从而求出D。但是对大数的质因数分解，未有快速有效的方法

首次通信为混合密码，后续通信为对称密码
比消息认证码：无需事先配送私钥
总体思路：Bob 用会话密钥加密消息，用Alice的公钥加密会话密钥，一起发给Alice；Alice用私钥解密会话密钥，用会话密钥解密消息
会话密钥：用来加密消息的 对称密码的密钥
1、Alice 给 Bob 发送公钥
2、Bob随机生成会话密钥，用会话密钥加密消息，得到消息密文
3、Bob用公钥加密会话密钥，得到会话密钥密文
4、Bob将会话密钥密文和消息密文一起发给Alice
5、Alice用私钥解密会话密钥，再用会话密钥解密消息
6、双方都有了会话密钥，从此以后，可以用对称密码通信了，带上消息认证码

缺点：分发公钥时，可能遭受中间人攻击；Alice可能对给Bob发送公钥这件事进行抵赖
中间人攻击：中间人从一开始Alice向Bob发放公钥时，就拦截了消息，得到Alice的公钥；然后伪装成Alice，向Bob发送自己的公钥；从而Bob打算发给Alice的消息，能被中间人解密

不能单独用于通信，只用在公钥证书中
明文签名：Alice用签名密钥（私钥）加密消息的摘要，把摘要密文和消息明文一起发给Bob；Bob解密摘要密文，得到摘要A；算出明文摘要B，对比A和B
总结：私钥用于加密，公钥用于解密，与 非对称加密之单向通信，刚好反过来

公钥证书：Public-Key Certificate，PKC，简称证书
认证机构：Certification Authority，CA
证书标准：国际电信联盟ITU 和 国际标准化组织ISO指定的X.509标准
流程：
1、Alice在CA登记
2、CA生成Alice的证书明文，包含Alice登记的信息、Alice的公钥、CA信息
3、CA用自己的私钥加密证书明文部分，得到数字签名
4、证书明文部分 和 数字签名 组成PKC，颁发给Alice
5、Bob向Alice获取这个PKC，拿本地已有的CA公钥去验证证书，就得到了可信的Alice的公钥
6、从此Alice 和 Bob之间可以进行混合密码通信

首次通信为从CA获取PKC，后续通信为混合密码
比混合密码：防止了中间人攻击；CA不能抵赖自己的证书

历史：1994年网景公司设计出SSL，2014年SSL 3.0被发现安全漏洞，1999年IEIF发布TLS
TLS（Transport Layer Security）是SSL（Secure Socket Layer）的后续版本，在tcp和http之间加一层TLS，就是https
OpenSSL：OpenSSL是实现SSL/TLS协议的工具包
以https为例
0、浏览器安装时，存有几个CA公钥；服务器在CA登记，拿到证书
1、浏览器访问一个https地址，服务器返回自己的证书
2、浏览器根据证书上的CA信息，拿对应的CA公钥验证证书，得到可信的服务器公钥
3、浏览器生成对称密码的密钥（会话密钥），用服务器公钥加密后发给服务器
4、服务器解密后得到会话密钥，从此用对称密码通信，带上消息认证码

1、生成JKS证书：keytool -genkeypair -alias "别名" -keyalg "RSA" -keystore "D:app.jks"
2、将JKS转换成PKCS12：keytool -importkeystore -srckeystore D:app.jks -destkeystore D:app.p12 -deststoretype pkcs12
3、将PKCS12转成pem：openssl pkcs12 -in ./app.p12 -out app.pem
4、提取加密后的私钥：将pem中 “—–BEGIN ENCRYPTED PRIVATE KEY—–” 至 “—–END ENCRYPTED PRIVATE KEY—–” 的内容拷贝出来，保存为ciphertext.key
5、将密文私钥转成明文私钥：openssl rsa -in ciphertext.key -out plaintext.key

.jks（Java Key Storage）：二进制格式，包含证书和私钥，有密码保护
.pfx 或 .p12（Predecessor of PKCS#12）：二进制格式，包含证书和私钥，有密码保护
.pem（Privacy Enhanced Mail）：文本格式，包含证书，可包含私钥，私钥有密码保护
.der 或 .cer：二进制格式，只包含证书
.crt（Certificate）：可以是der格式，也可以是pem格式，只包含证书

SSL证书：SSL证书必须绑定域名，不能绑定IP
加密服务、密钥管理服务

6. 数据加密的基本信息

和防火墙配合使用的数据加密技术，是为提高信息系统和数据的安全性和保密性，防止秘密数据被外部破译而采用的主要技术手段之一。在技术上分别从软件和硬件两方面采取措施。按照作用的不同，数据加密技术可分为数据传输加密技术、数据存储加密技术、数据完整性的鉴别技术和密钥管理技术。
数据传输加密技术的目的是对传输中的数据流加密，通常有线路加密与端—端加密两种。线路加密侧重在线路上而不考虑信源与信宿，是对保密信息通过各线路采用不同的加密密钥提供安全保护。端—端加密指信息由发送端自动加密，并且由TCP/IP进行数据包封装，然后作为不可阅读和不可识别的数据穿过互联网，当这些信息到达目的地，将被自动重组、解密，而成为可读的数据。
数据存储加密技术的目的是防止在存储环节上的数据失密，数据存储加密技术可分为密文存储和存取控制两种。前者一般是通过加密算法转换、附加密码、加密模块等方法实现；后者则是对用户资格、权限加以审查和限制，防止非法用户存取数据或合法用户越权存取数据。
数据完整性鉴别技术的目的是对介入信息传送、存取和处理的人的身份和相关数据内容进行验证，一般包括口令、密钥、身份、数据等项的鉴别。系统通过对比验证对象输入的特征值是否符合预先设定的参数，实现对数据的安全保护。
密钥管理技术包括密钥的产生、分配、保存、更换和销毁等各个环节上的保密措施。 数据加密的术语有 ：
明文，即原始的或未加密的数据。通过加密算法对其进行加密，加密算法的输入信息为明文和密钥；
密文，明文加密后的格式，是加密算法的输出信息。加密算法是公开的，而密钥则是不公开的。密文不应为无密钥的用户理解，用于数据的存储以及传输；
密钥，是由数字、字母或特殊符号组成的字符串，用它控制数据加密、解密的过程；
加密，把明文转换为密文的过程；
加密算法，加密所采用的变换方法；
解密，对密文实施与加密相逆的变换，从而获得明文的过程；
解密算法，解密所采用的变换方法。
加密技术是一种防止信息泄露的技术。它的核心技术是密码学，密码学是研究密码系统或通信安全的一门学科，它又分为密码编码学和密码分析学。
任何一个加密系统都是由明文、密文、算法和密钥组成。发送方通过加密设备或加密算法，用加密密钥将数据加密后发送出去。接收方在收到密文后，用解密密钥将密文解密，恢复为明文。在传输过程中，即使密文被非法分子偷窃获取，得到的也只是无法识别的密文，从而起到数据保密的作用。
例：明文为字符串：
AS KINGFISHERS CATCH FIRE
（为简便起见，假定所处理的数据字符仅为大写字母和空格符）。假定密钥为字符串：
ELIOT
加密算法为：
1) 将明文划分成多个密钥字符串长度大小的块（空格符以+表示）
AS+KI NGFIS HERS+ CATCH +FIRE
2) 用0~26范围的整数取代明文的每个字符，空格符=00，A=01，...，Z=26：
3) 与步骤2一样对密钥的每个字符进行取代：
0512091520
4) 对明文的每个块，将其每个字符用对应的整数编码与密钥中相应位置的字符的整数编码的和模27后的值（整数编码）取代：
举例：第一个整数编码为 (01+05)%27=06
5) 将步骤4的结果中的整数编码再用其等价字符替换：
FDIZB SSOXL MQ+GT HMBRA ERRFY
如果给出密钥，该例的解密过程很简单。问题是对于一个恶意攻击者来说，在不知道密钥的情况下，利用相匹配的明文和密文获得密钥究竟有多困难？对于上面的简单例子，答案是相当容易的，不是一般的容易，但是，复杂的加密模式同样很容易设计出。理想的情况是采用的加密模式使得攻击者为了破解所付出的代价应远远超过其所获得的利益。实际上，该目的适用于所有的安全性措施。这种加密模式的可接受的最终目标是：即使是该模式的发明者也无法通过相匹配的明文和密文获得密钥，从而也无法破解密文。 传统加密方法有两种，替换和置换。上面的例子采用的就是替换的方法：使用密钥将明文中的每一个字符转换为密文中的一个字符。而置换仅将明文的字符按不同的顺序重新排列。单独使用这两种方法的任意一种都是不够安全的，但是将这两种方法结合起来就能提供相当高的安全程度。数据加密标准（Data Encryption Standard，简称DES）就采用了这种结合算法，它由IBM制定，并在1977年成为美国官方加密标准。
DES的工作原理为：将明文分割成许多64位大小的块，每个块用64位密钥进行加密，实际上，密钥由56位数据位和8位奇偶校验位组成，因此只有56个可能的密码而不是64个。每块先用初始置换方法进行加密，再连续进行16次复杂的替换，最后再对其施用初始置换的逆。第i步的替换并不是直接利用原始的密钥K，而是由K与i计算出的密钥Ki。
DES具有这样的特性，其解密算法与加密算法相同，除了密钥Ki的施加顺序相反以外。 多年来，许多人都认为DES并不是真的很安全。事实上，即使不采用智能的方法，随着快速、高度并行的处理器的出现，强制破解DES也是可能的。公开密钥加密方法使得DES以及类似的传统加密技术过时了。公开密钥加密方法中，加密算法和加密密钥都是公开的，任何人都可将明文转换成密文。但是相应的解密密钥是保密的（公开密钥方法包括两个密钥，分别用于加密和解密），而且无法从加密密钥推导出，因此，即使是加密者若未被授权也无法执行相应的解密。
公开密钥加密思想最初是由Diffie和Hellman提出的，最着名的是Rivest、Shamir以及Adleman提出的，通常称为RSA（以三个发明者的首位字母命名）的方法，该方法基于下面的两个事实：
1) 已有确定一个数是不是质数的快速算法；
2) 尚未找到确定一个合数的质因子的快速算法。
RSA方法的工作原理如下：
1) 任意选取两个不同的大质数p和q，计算乘积r=p*q；
2) 任意选取一个大整数e，e与(p-1)*(q-1)互质，整数e用做加密密钥。注意：e的选取是很容易的，例如，所有大于p和q的质数都可用。
3) 确定解密密钥d：
(d * e) molo（p - 1）*（q - 1） = 1
根据e、p和q可以容易地计算出d。
4) 公开整数r和e，但是不公开d；
5) 将明文P (假设P是一个小于r的整数)加密为密文C，计算方法为：
C = P^e molo r
6) 将密文C解密为明文P，计算方法为：
P = C^d molo r
然而只根据r和e（不是p和q）要计算出d是不可能的。因此，任何人都可对明文进行加密，但只有授权用户（知道d）才可对密文解密。
下面举一简单的例子对上述过程进行说明，显然我们只能选取很小的数字。
例：选取p=3, q=5，则r=15，（p-1）*（q-1）=8。选取e=11（大于p和q的质数），通过（d*11）molo(8) = 1。
计算出d =3。
假定明文为整数13。则密文C为
C = P^e molo r
= 13^11 molo 15
= 1,792,160,394,037 molo 15
= 7
复原明文P为：
P = C^d molo r
= 7^3 molo 15
= 343 molo 15
= 13
因为e和d互逆，公开密钥加密方法也允许采用这样的方式对加密信息进行签名，以便接收方能确定签名不是伪造的。假设A和B希望通过公开密钥加密方法进行数据传输，A和B分别公开加密算法和相应的密钥，但不公开解密算法和相应的密钥。A和B的加密算法分别是ECA和ECB，解密算法分别是DCA和DCB，ECA和DCA互逆，ECB和DCB互逆。若A要向B发送明文P，不是简单地发送ECB（P），而是先对P施以其解密算法DCA，再用加密算法ECB对结果加密后发送出去。
密文C为：
C = ECB（DCA（P））
B收到C后，先后施以其解密算法DCB和加密算法ECA，得到明文P：
ECA（DCB（C））
= ECA（DCB（ECB（DCA（P））））
= ECA（DCA（P）） /*DCB和ECB相互抵消*/
= P /*DCB和ECB相互抵消*/
这样B就确定报文确实是从A发出的，因为只有当加密过程利用了DCA算法，用ECA才能获得P，只有A才知道DCA算法，没
有人，即使是B也不能伪造A的签名。 前言
随着信息化的高速发展，人们对信息安全的需求接踵而至，人才竞争、市场竞争、金融危机、敌特机构等都给企事业单位的发展带来巨大风险，内部窃密、黑客攻击、无意识泄密等窃密手段成为了人与人之间、企业与企业之间、国与国之间的安全隐患。
市场的需求、人的安全意识、环境的诸多因素促使着我国的信息安全高速发展，信息安全经历了从传统的单一防护如防火墙到信息安全整体解决方案、从传统的老三样防火墙、入侵检测、杀毒软件到多元化的信息安全防护、从传统的外部网络防护到内网安全、主机安全等。
传统数据加密技术分析
信息安全传统的老三样（防火墙、入侵检测、防病毒）成为了企事业单位网络建设的基础架构，已经远远不能满足用户的安全需求，新型的安全防护手段逐步成为了信息安全发展的主力军。例如主机监控、文档加密等技术。
在新型安全产品的队列中，主机监控主要采用外围围追堵截的技术方案，虽然对信息安全有一定的提高，但是因为产品自身依赖于操作系统，对数据自身没有有效的安全防护，所以存在着诸多安全漏洞，例如：最基础的手段拆拔硬盘、winpe光盘引导、USB引导等方式即可将数据盗走，而且不留任何痕迹；此技术更多的可以理解为企业资产管理软件，单一的产品无法满足用户对信息安全的要求。
文档加密是现今信息安全防护的主力军，采用透明加解密技术，对数据进行强制加密，不改变用户原有的使用习惯；此技术对数据自身加密，不管是脱离操作系统，还是非法脱离安全环境，用户数据自身都是安全的，对环境的依赖性比较小。市面上的文档加密主要的技术分为磁盘加密、应用层加密、驱动级加密等几种技术，应用层加密因为对应用程序的依赖性比较强，存在诸多兼容性和二次开发的问题，逐步被各信息安全厂商所淘汰。
当今主流的两大数据加密技术
我们所能常见到的主要就是磁盘加密和驱动级解密技术：
全盘加密技术是主要是对磁盘进行全盘加密，并且采用主机监控、防水墙等其他防护手段进行整体防护，磁盘加密主要为用户提供一个安全的运行环境，数据自身未进行加密，操作系统一旦启动完毕，数据自身在硬盘上以明文形式存在，主要靠防水墙的围追堵截等方式进行保护。磁盘加密技术的主要弊端是对磁盘进行加密的时间周期较长，造成项目的实施周期也较长，用户一般无法忍耐；磁盘加密技术是对磁盘进行全盘加密，一旦操作系统出现问题。需要对数据进行恢复也是一件让用户比较头痛的事情，正常一块500G的硬盘解密一次所需时间需要3-4个小时；市面上的主要做法是对系统盘不做加密防护，而是采用外围技术进行安全访问控制，大家知道操作系统的版本不断升级，微软自身的安全机制越来越高，人们对系统的控制力度越来越低，尤其黑客技术层层攀高，一旦防护体系被打破，所有一切将暴露无疑。另外，磁盘加密技术是对全盘的信息进行安全管控，其中包括系统文件，对系统的效率性能将大大影响。
驱动级技术是信息加密的主流技术，采用进程+后缀的方式进行安全防护，用户可以根据企事业单位的实际情况灵活配置，对重要的数据进行强制加密，大大提高了系统的运行效率。驱动级加密技术与磁盘加密技术的最大区别就是驱动级技术会对用户的数据自身进行保护，驱动级加密采用透明加解密技术，用户感觉不到系统的存在，不改变用户的原有操作，数据一旦脱离安全环境，用户将无法使用，有效提高了数据的安全性；另外驱动级加密技术比磁盘加密技术管理可以更加细粒度，有效实现数据的全生命周期管理，可以控制文件的使用时间、次数、复制、截屏、录像等操作，并且可以对文件的内部进行细粒度的授权管理和数据的外出访问控制，做到数据的全方位管理。驱动级加密技术在给用户的数据带来安全的同时，也给用户的使用便利性带来一定的问题，驱动级加密采用进程加密技术，对同类文件进行全部加密，无法有效区别个人文件与企业文件数据的分类管理，个人电脑与企业办公的并行运行等问题。