目前的信息加密技术有对称加密和非对称加密两种。
对称加密
对称加密意味着加密和解密使用相同的密钥。对称加密的优点是加密速度快,但缺点也很明显。你必须保管好这把钥匙。如果钥匙丢失,会带来很大的安全隐患。此外,如果有许多客户端与服务器通信,服务器必须管理许多不同的密钥。
不对称加密
为了解决对称加密的缺点,人们提出了非对称加密,这也是目前应用最广泛的加密技术。所谓非对称加密就是生成一对密钥,分为公钥和私钥。自己保存私钥,发布公钥。用私钥加密的信息只能用公钥解密,用公钥加密的信息只能用私钥解密。
例如
假设你的好朋友铁蛋经常网购。为了保证信息的安全传输,购物网站决定生成一对密钥。私钥自己保存,公钥发给铁蛋。铁蛋发给购物网站的信息是用公钥加密的。购物网站收到后,用自己的私钥解密。即使信息在这个传输过程中被截获,也没有办法破解,因为没有私钥。
有一个漏洞。
这时候有一个黑客做了一个假的购物网站。这个页面和真实的网站一模一样,甚至连网址都非常相似。同时,还生成一对密钥。最重要的是,黑客偷偷把铁蛋电脑里真实购物网站的公钥换成了虚假购物网站的公钥。
铁蛋打开假网站购物时,用假公钥加密,将消息发送给假网站。整个沟通过程中,铁蛋没有发现自己被骗。
铁蛋被骗是因为他不知道电脑里真正的公钥已经换成了假的。为了解决这个问题,出现了一个认证机构,它会对网站的公钥进行加密和签名,形成一个证书。这个证书通常被称为CA证书,这个机构就是CA。
只要在铁蛋电脑中安装了CA认证的证书,在访问时,浏览器会显示一个小锁,表示可以安全访问。如果没有认证,浏览器会提示铁蛋有风险。
铁蛋经常在多个网站购物。需要每个网站都保留一个证书吗?其实不一定要这样。我们的电脑里通常都有CA的根证书。只要我们有这个证书,所有CA认证的网站都是安全的。
没错,上面我介绍的就是HTTPS的工作原理,也是不对称加密技术的一个典型应用。
双向认证
非对称加密的另一个应用场景是相互认证。所谓双向认证,就是不仅服务器要验证客户端的身份,客户端也要验证服务器的身份。说白了,客户端和服务器各自生成一个密钥对,私钥自己保存,公钥发给对方。这种情况一般用于系统的对接。
为什么需要双向认证?
假设C系统要访问S系统的服务,S系统提供的数据安全级别比较高,只有可信系统才能访问。假设目前只允许C系统访问。
为了保证信息的安全传输,系统S决定生成一对密钥,私钥自己保存,公钥发送给系统C,当系统C访问S时,会用S的公钥加密消息发送给系统S,S用自己的私钥解密。
此时,如果窃密者B系统秘密获取S提供给C的公钥,然后B用S的公钥加密消息发送给系统S获取相应的数据,那么S无法判断请求的消息是来自C还是来自窃密者B。
如何确保消息来自可信系统C?协商后,系统C也生成一对密钥,私钥自己保存,公钥发送给系统s。
当C向S发送请求时,C首先对要发送的消息进行哈希运算,假设是M,得到固定长度的哈希值,一般称为digital digest。然后c用自己的私钥对这个数字摘要进行加密,加密后的值称为数字签名,实际上和我们在现实中手写签署一个文件是一个意思。
系统C对数字签名和要与S的公钥一起发送的消息M进行加密,并将其发送给系统S..
收到消息后,S用自己的私钥解密消息。解密后,获得C的数字签名和消息M。这时候关键的一步来了,就是检查消息是否是c发的。
首先,S用C的公钥解密签名。解密后它会得到一个摘要值,我们称之为D,如果你能解开它,就证明消息来自C,S也会用和C一样的哈希算法哈希消息M,这样它就会得到一个摘要值,我们称之为D’。如果D和D’相同,就证明消息没有被篡改。
摘要
上述双向认证过程也有缺陷,但与单一认证相比,降低了被破译的风险。注意,世界上没有绝对安全的系统,即使是现在开始流行的生物识别系统。我们采取的所有安全措施都只是为了降低系统被破解的风险。
就像家里的防盗门,只能防君子不能防小人。
本文来自北蕭投稿,不代表舒华文档立场,如若转载,请注明出处:https://www.chinashuhua.cn/24/645106.html
微信扫一扫 
