对称加密和非对称加密,证书体系

最新推荐文章于 2022-07-09 22:55:42 发布
最新推荐文章于 2022-07-09 22:55:42 发布
阅读量364 收藏
点赞数
分类专栏: 学习之路
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Swordman_G/article/details/90523201
版权

对称加密

通信几方使用相同的密钥,发送者使用该密钥加密数据,接收者通过同样的密钥解密数据。缺点是在通信前双方需要持有同一个密钥,在密钥同步的过程中可能发生泄漏。

非对称加密

每个通信方都拥有一对公钥和私钥,公钥是对外界公开的,私钥仅通信方自己知道,二者是对应的,使用公钥加密的信息,必须是对应的私钥才能解密,反之使用私钥加密的信息,必须是对应的公钥才能解密。也就是说,通信的前提是双方持有对方的公钥即可,因为公钥本身就带有公开属性,所以就谈不上泄漏风险了。

举个例子:
李云龙给张大喵发信,写好信以后,李云龙还会使用摘要算法计算一份信件的摘要,这份摘要用李云龙的私钥加密,加密后的摘要叫做数字签名,接下来把信件和数字签名打包起来,使用张大喵的公钥加密,由于解密需要的私钥只掌握在张大喵手中,保证了整个信件包裹只有张大喵才能解密。

张大喵收到了李云龙发来的密文和数字签名,张大喵首先使用自己的私钥解密这份密文。

但他此时仍然无法确定这封信的来源到底是不是李云龙,万一是哪个刁民冒认身份也未可知,张大喵使用李云龙的公钥去尝试解密信件后面附的数字签名,如果解密成功,说明加密签名的一定是李云龙的私钥,信件的来源一定是李云龙。

但他此仍然无法确定信件有没有被人篡改,张大喵会自己计算一份新建的摘要,和数字签名中解密出的摘要进行对比,如果摘要一致说明信件内容可靠。

至此整个发信过程中保证了信件即使被中途截获,拦截者因为没有张大喵的私钥,里面的数据也不会泄露,也通过数字签名可以让张大喵确信件来源和内容的可靠性。

但整个过程是否就天衣无缝了呢?
答案是否定的,前面说过了,非对称加密通信的前提是拥有对方的公钥,因为其带有公开属性,理论上来讲世界上所有服务器的公钥都是可获取的。但你的计算机中不可能存储着全世界服务器的公钥,通常计算机或浏览器中存储的仅仅只有若干可信任的根证书签发机构的公钥。

要和某个服务器建立加密通信,终究还是要进行公钥的传输,最可靠的传输方式是什么?直接去服务器所在地拷一份回来,但这显然不现实。

如果我们直接发出明文申请,比如访问百度,让百度服务器发送公钥过来。传输的过程中可能会发生中间人攻击,攻击者把自己的公钥披上百度服务器的皮发给了你,你以为你拿到的是百度的公钥,放心地发送信息,但实际上你发出的信息都可以被攻击者获取,攻击者接管了你和“百度”的所有通信。

那么我们如何确认手中拿到的公钥到底是不是属于真正的接收人呢?
这时候就要引入证书体系。

证书

当我们访问一个网站,比如京东,我们明文申请京东的公钥,京东并不会直接发公钥过来,而是会发送京东的证书,公钥就在这个证书里面,同时证书中还包含其他信息,比如证书的签发机构,证书的有效期,网站信息等。

我们怎么确认证书是可以信任的呢?
发来的证书后会附一份证书的电子签名,这个签名来自于证书的签发机构CA,要解开数字签名我们知道要使用签名方的公钥,而我们浏览器中就集成了可信任的根证书CA的公钥,如果这份证书是由其中一个根证书CA签发的,那么我们使用它的公钥进行解密,成功解密的话我们认定证书来源可靠,然后对比摘要我们可以确定证书内容是否被篡改。经过这一套流程,我们可以判定这份证书是否可以信任,如果证书可靠,我们可以放心的取出证书中的公钥进行通信。

但往往给某个网站签发证书的不会是一个根证书CA,而是某个子证书CA,这里就涉及到一个证书的信任链问题。以京东的证书为例:
在这里插入图片描述
给京东签发证书的是子证书CA:

GlobalSign Organization Validation CA
浏览器表示不好意思,这个人我不认识,我只认识值得信赖的根证书CA,我也没存这种小歘歘的公钥。

此时浏览器会尝试获取GlobalSign Organization Validation CA的证书,GlobalSign Organization Validation CA服务器发来它的证书后,浏览器发现签发这个证书的是一个可以信任的根证书CA:

GlobalSign Root CA
浏览器表示,失敬失敬,您我是可以信任的,我这也存着您老的公钥。

浏览器或系统中集成了这些可以信任的根证书CA的公钥,浏览器使用GlobalSign Root CA的公钥解密GlobalSign Root CA发给GlobalSign Organization Validation CA的证书的数字签名,如果确认证书的来源没问题,内容也与签名中的摘要吻合,浏览器就会认定子证书CA GlobalSign Organization Validation CA是可以信任的。同样的,浏览器会使用GlobalSign Organization Validation CA的公钥去检验京东的证书的数字签名,如果来源可信,内容可靠,则说明京东的证书是可以信任的,可以放心的拿出其中的公钥进行通信。

总结起来证书体系的信任链就是:最开始浏览器只信任根证书CA,某个根证书CA告诉浏览器某个子证书CA是值得信任的,而这个子证书CA又告诉我们京东的证书是可以信任的,整个信任链条就由根证书CA逐级延伸到我们访问的网站。

所以证书相当于一个具有极高社会信誉的认证机构对这些信息背书,那么会不会有某些CA不经仔细审核就乱发证书呢?也有这种CA执照被吊销的案例,这种CA的信誉就一文不值,它发出去的证书也不会有谁鸟。

Swordmaaan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅析Node.js非对称加密方法
12-23
非对称加密的理论知识,可以参考笔者前面的文章《NODEJS进阶:CRYPTO模块之理论篇》。 完整的代码可以在 《Nodejs学习笔记》 找到,也欢迎大家关注 程序猿小卡的GitHub。 加密、解密方法 在Node.js中,负责安全的...
非对称加密对称加密混合应用
05-23
5.用对称密钥对(原文和签名)进行加密 6.用对方的公钥对称密钥进行加密(加密密钥) 7.将密文(5)和加密密钥(6)一起发给对方 接收方: 1.用自己的私钥对加密密钥进行解密,得到对称密钥--也只有自己才能...
对称加密非对称加密、数字证书
独孤萧孑
11-02 1216
以下内容转自互联网,对对称加密、非
对称加密非对称加密
bang12306的博客
12-02 4176
通俗易懂的记录下自己对俩个加密原理的理解和实际项目中主要采用的加密方式 网络安全主要包括四点: 1.机密性:即我们常说的加密,解密 2.报文完整性:保证不被别人篡改 3.端点鉴别:证实对方确实有他们声称的身份 4.运行安全性:防火墙 一.对称密钥密码体系 发送方和接收方共享密钥 流密码用于无线LAN 块密码用于多种因特网协议加密,如:PGP(安全电子邮件),SSL(更安全的TCP),IPsec(更安全的网络层传输) 1.块密码 块密码将报文按块划分,比如一个块3比特,一个块
非对称加密证书
yimenren的博客
04-26 1995
SSL/TLS是一个密码学协议,它的目标并不仅仅是网页内容的加密传输。SSL/TLS的主要目标有四个:加密安全、互操作性、可扩展性和效率。对于安全性的保障,它还会从多个方面进行,包括机密性,真实性以及完整性。机密性是指,传输的内容不被除通信的双方外的第三方获取;真实性是指,通信的对端正是期待的对端,而不是其它第三方冒充的;完整性则是指,传输的数据是完整的,数据没有被篡改或丢失。为了平衡多种需求,S...
对称加密非对称加密算法,数字证书
lonelyVM的博客
07-21 428
对称加密对称加密 对称加密用的是同一个密钥来加密和解密,所以,密钥需要在网络中传输(A把密钥发给B), 所以需要安全的密钥加密算法(数学理论保证可靠):密钥交换算法 非对称加密非对称加密 ...
签名、加密、证书的基本原理和理解
agongcao9295的博客
04-17 1183
最近开始接触后端PHP开发,里面涉及到的签名、加密、证书等概念弄得自己头晕眼花,最近查看了相关资料,下面把自己的理解写下来,有不对的地方,还请多指点指点。 数据传输安全的要满足的要求: 消息的发送方能够确定消息只有预期的接收方可以解密(不保证第三方无法获得,但保证第三方无法解密)。 消息的接收方可以确定消息是由谁发送的(消息的接收方可以确定消息的发送方)。 消息的接收方可以确...
C#对称加密非对称加密实例
09-04
主要介绍了C#对称加密非对称加密实例,详细分析了对称加密非对称加密的原理与具体实现方法,具有一定的实用价值,需要的朋友可以参考下
Android对称加密非对称加密
09-01
主要为大家详细介绍了Android对称加密非对称加密,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
ThinkPHP实现的rsa非对称加密类示例
10-18
主要介绍了ThinkPHP实现的rsa非对称加密类,结合实例形式分析了thinkPHP引入密钥文件实现rsa加密解密的相关操作技巧,需要的朋友可以参考下
数字签名与数字证书在基于非对称密钥加密的通信工程中的应用
weixin_45743286的博客
04-02 636
【密码学】基础知识-1-数字签名与数字证书在基于非对称密钥加密的通信过程的应用 非对称密钥加密:​​​ 又称公钥加密,公钥加密有一对密钥对,公钥和私钥,公钥即为公开(告诉别人)的密钥,私钥则不公开。(私钥一般是随机数生成器生成的,就像你注册一个账号时,密码是自己设置的)在密钥对中,一种密钥加密的数据必定能使用另一种密钥解密。其中,公钥用来给数据加密,私钥用来解密公钥加密的数据。 场景1: 现在假设你是吴彦祖分祖,有一对密钥对(公钥+私钥),你把你的公钥广播给你的朋友们和女朋友,私钥自己保留。 摘要算法(哈希
对称加密非对称加密、签名验签、数字证书、https
Sour_orange的博客
07-09 706
对称加密非对称加密,签名验签、Https
对称加密非对称加密体系
TABE_的博客
12-23 2216
这里写目录标题对称密钥密码体系非对称密钥密码体系RSA 对称密钥密码体系 对称密钥密码体系是指消息发送方和消息接收方必须使用相同的密钥,该密钥必须保密。发送方用该密钥对待发消息进行加密,然后将消息传输至接收方,接收方再用相同的密钥对收到的消息进行解密。 优点 计算量小,算法速度快,加密效率高 缺点 密钥容易泄漏。不同的会话需要不同的密钥,管理起来很费劲 常用算法 DES,3DES,IDEA,CR4,CR5,CR6,AES 非对称密钥密码体系 非对称密钥密码体系又叫公钥密码体系,它使用两个密钥:一个公共密钥P
HTTPS加密原理,搞懂什么是对称加密非对称加密证书、数字签名
优秀的程序员不应该是CRUD
05-11 5628
HTTPS加密原理,搞懂什么是对称加密非对称加密证书、数字签名
互联网安全之数字签名、数字证书与PKI系统
weixin_34268610的博客
12-10 296
在现代社会,互联网已经渗透到人们日常生活的方方面面,娱乐、经济、社会关系等都离不开互联网的帮助。在这个背景下,互联网安全就显得十分重要,没有提供足够的安全保障,人们是不会如此依赖它的。幸运的是,在大牛们的努力下,很早以前就有一套安全体系来保障互联网信息的传递。下面我们一起来了解一下这套体系。 加密算法 首先我们需要了解一下加密相关的知识,加密可以分为对称加密非对称加密。两者的主要区别就是是否使...
非对称加密算法原理及应用
代码说-Let code talk
02-17 1120
[b]一、什么是非对称加密算法[/b] 加密和解密所用的密钥是不一样的,所以叫“非对称”。 非对称加密算法的这两个密钥,一个称为公钥,一个称为私钥。 所谓公钥和私钥不是绝对的,公钥和私钥只是经过算法运算得到的一对数值,公开的那一个值称为公钥,不公开的称为私钥。 用公钥加密的,可以用私钥解密,反过来也成立。 RSA就是典型的非对称加密算法。 关于RSA算法的解释,最经典的...
java实现非对称加密
weixin_30279315的博客
04-09 63
对称加密:加密和解密的过程使用的是相同的密钥 非对称加密对称加密不同,非对称加密算法的加密和解密使用不同的两个密钥.这两个密钥就是我们经常听到的”公开密钥”(公钥)和”私有密钥”(私钥). 公钥和私钥的关系是: 公钥和私钥一般都是成对出现, 如果你的消息使用公钥加密,那么需要该公钥对应的私钥才能解密; 如果你的消息使用私钥加密,那么需要...
对称加密非对称加密理解
qq_41253573的博客
03-19 302
一、对称加密 首先,对称加密是指发送方和接收方,都使用一套加密方式进行加密。比如a向b发送消息:holle,按英文字母分别向后移动12345进行加密,那么得到的加密后的是消息是:isooj,将isooj发送给b,b再按按英文字母向前移123456位,则解密出holle这个正确的消息。这就是对称加密。 但是对称加密存在两个问题,一是加密方式是相同的,只要拿到加密方式,那铁定是谁都可以解密出来;二是即...
406_智能小区管家服务系统的设计与实现-源码.zip
最新发布
06-02
提供的源码资源涵盖了安卓应用、小程序、Python应用和Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值