读书分享之《图解密码技术》

目的

密码学之于信息安全，就像是武侠小说中的内功心法，一等高手都有着深厚的内功，好的内功心法是修炼出高深内功的基础，而密码技术则是信息安全的基础。作为刚入行信息安全行业的小菜鸟，首先从最基本的密码技术开始进行学习。通过在豆瓣上冲浪，看到了这本《图解密码技术》，很高的评分，那我当然是选择它啦，毕竟群众的眼睛是雪亮的，影视书籍这东西大家认可的也差不到哪里去

阅读建议

《图解密码技术》作为图灵程序设计丛书图解系列书籍中的一员，其定位是作为入门类书籍，通过大量得到图示及通俗易懂的语言对相关内容进行讲解，适合初学者。密码技术分为很多种类，无论哪一种都是非常复杂而难以理解的，该书作为入门类书籍，一些原理方面会点到为止，如果作为科普性质的了解，不必太纠结原理方面的东西，如一些计算机技术、数学知识等，可适当死记当结论，他不像技术深入解读的书籍，比如《加密与解密》这本书，讲的内容就比较深入，某一部分不理解可能就影响后续的阅读。虽然内容没有很深入，但对于基本的信息安全的设计和应用也是足够了。

如果你是小白，看完整本书后你会对这个密码技术有一个基本的认识；如果是有一定行业经验的人，可以适当系统查缺补漏，可能会让你有意想不到的收获，可能让你有理顺某个知识点的豁然开朗，可能你会看得很快；如果是老司机，那基本不太适合你，这本书讲的内容很基础。

内容

该书是2015进行全面修订，内容算比较新，比较贴近当前的技术，介绍到一些当前比较前沿火热的内容，如区块链、椭圆曲线算法等，介绍的某些密码算法已经不安全也是靠谱的。

目录如下

• 第1章——环游密码世界
• 第2章——历史上的密码 ——写一篇别人看不懂的文章
• 第3章——对称密码（共享密钥密码）——用相同的密钥进行加密和解密
• 第4章——分组密码的模式——分组密码是如何迭代的
• 第5章——公钥密码——用公钥加密，用私钥解密
• 第6章——混合密码系统——用对称密码提高速度，用公钥密码保护会话密钥
• 第7章——单向散列函数——获取消息的“指纹”
• 第8章——消息认证码——消息被正确传送了吗
• 第9章——数字签名——消息到底是谁写的
• 第10章——证书——为公钥加上数字签名
• 第11章——密钥——秘密的精华
• 第12章——随机数——不可预测性的源泉
• 第13章——PGP——密码技术的完美组合
• 第14章——SSL/TLS ——为了更安全的通信
• 第15章——密码技术与现实社会 ——我们生活在不完美的安全中

书中第一章首先是作一个总的介绍，介绍当前使用的主流密码技术

并列举了以下几点密码与信息安全的常识

• 不要使用保密的密码算法（公开的密码算法保证了该密码算法的强度是经过考验的）
• 使用低密度的密码比不进行任何加密更危险（设置了密码会使用户产生安全感导致处理机密信息时麻痹大意，与其使用低强度的密码，还不如从一开始就不使用任何密码）
• 任何密码总有一天都会被破解（无论使用任何密码算法所生成的密文，只要将所有可能的密钥全部尝试一遍，就总有一天可以破译出来）
• 密码只是信息安全的一部分（人的因素导致系统存在不安全的因素）

第一章读到这部分就让人感觉干货满满，这种内容对于没入行的人来说是有悖于一般性常识的，这些内容有行业经验的人未必会一一告诉你。这些内容其实就是柯克霍夫原则（Kerckhoffs's principle），说的是即使密码系统的任何细节已为人悉知，只要密钥未泄漏，它也应是安全的。现代密码学中的安全是基于密钥的保密性的，而不是古典密码学的算法的保密性。

第二章是介绍历史上一些著名的密码，通过引人入胜的密码历史故事，把人带入密码的世界，为后续介绍现代密码技术起个头，对于小白来说很友好，达到一种循序渐进的效果。如果对密码故事特别感兴趣的，可以读《密码故事》这本书，讲述了精彩的密码故事，介绍密码学引人入胜的历史

后面几章是介绍前面提到的主要的几种密码技术及对应的密码混合系统，介绍相关的密码技术，一般都是按照该密码技术的原理，密码技术的弱点、破译方法及解决之道这几个部分进行介绍。越看到后面就会发现自己已经被带入到文中所介绍的密码系统中，当介绍某个实现时，就会去思考该设计合不合理，会不会被破解。如果是有相关开发经验的人，就会回想自己曾经使用相关密码技术设计实现的功能或系统是不是安全的，是不是符合常规的破译方法，我一块我是深有体会的。内容虽然没有太深入，但又很容易引人思考，思考着该怎么去破译，可能这也是密码学吸引人的地方吧

最后介绍的SSL/TLS通信的内容，特别是握手部分的内容应该好好理解，SSL/TLS基本用到前面内容所介绍的密码技术，理解到位那这本书的内容那你都看懂了。

最后一章对比特币、量子密码、量子计算机做了简单介绍，引出了即便有完美的密码技术，也不可能实现完美的安全性，这是因为必然会有人类，即不完美的我们参与其中，令人深思

不足

由于这本书是翻译自国外的，文中所介绍的密码算法都是国际通用的，如SHA-2、SHA-3、AES、RSA、DSA等，没有涉及国家商密相关的密码算法如SM1、SM2、SM3、SM4等，但相关的密码套件和思路是相通的，相关密码算法进行替换即可，如哈希算法SHA-2对应SM4，公钥算法RSA对应SM2等，关于国密算法的内容可自行查阅相关资料

虽然书中有涉及当前比较前沿的密码技术，如区块链技术、量子密码等，但边幅比较少，一些当前很火热的密码技术并没有提到，如同态加密技术、零知识证明、多方安全计算等，当然书籍都会这方面的弊端，最新的知识很难面面俱到

结语

密码技术，并不是只有信息安全行业才会涉及，对于非信息安全行业的开发者，不提正常的业务开发会用到加解密，密码技术涉及到开发应用的各个方面，当你打包发布程序要用到代码签名；当你使用git要配SSH；下载某个软件会看到相关的Hash摘要值；熟悉了基本的密码业务知识，这些内容来说就很容易去理解。

综上，作为一本入门书籍，它对得起它的书价，对得起网上对它的评价。