HTTP协议中,信息以明文传输。
例如,小刚登陆科创论坛,用户名和密码都是明文传输的。因为从小刚家到科创论坛要经过很多网络设施,黑客可以在这个过程中拦截到小刚的密码。
所以,我们要加密小刚与科创论坛之间的通信。
我们先来介绍对称加密。对称加密其实就是RAR压缩包的加密方式:利用同一个密钥实现加密和解密。
假设小刚知道科创的密钥是loveKC,他利用这个密钥加密所有的数据,再发给科创,然后科创将数据用loveKC密钥解密。这个过程就很不安全,因为黑客很容易就可以知道这个密钥。大家都是论坛的普通用户,既然小刚能知道,大家都能知道。于是黑客仍然能监听到通信内容,也可以伪造通信内容。
然后介绍非对称加密。非对称加密是一个伟大的发明,具体各位可以搜索RSA算法。概念上来讲,科创论坛有两个密钥,一个是公钥,一个是私钥。公钥是公开的,所有人都知道;而私钥只有科创自己知道。用公钥加密的数据,只能用私钥解密;用私钥加密的数据,只能用公钥解密,这就是非对称加密的伟大之处。
现在,假设小刚知道科创的公钥是KCpublic,于是他用公钥加密数据,再发给科创。黑客在过程中并不能解密,因为黑客无法获得私钥。数据到达科创后,科创用私钥KCprivate解密,就能获得小刚发来的信息了。是不是很奇妙?这就是对非对称加密的一个不严谨的概括。总而言之,HTTPS需要配合一定的非对称加密技术实现其保密功能。
但是这个过程仍然不安全。黑客可以把自己伪装成科创论坛,自己生成公钥和私钥,然后把公钥发给用户。这样一来,用户很可能误以为黑客就是科创(假如这个用户对科创不是很熟的话),然后把敏感信息通过黑客的公钥加密,给黑客发过去。我靠,这可怎么防?怎样才能验证,发给我公钥的人,就真的是科创论坛,而不是黑客呢?
于是专家们研究了很久,最后给出解决方案:证书。什么是证书?比如政府颁发的营业执照,就是一种证书,它的特点是难以伪造:只要打个电话给工商局确认一下,就知道真假了。显然,要伪造一个公司很容易,但要伪造一个政府或者权威机构,就很困难了。
具体怎么操作呢?首先,由国家权威机构生成一个“国家权威非对称密钥”,其中公钥部分以“根证书”的形式强制发给每一个互联网用户。这样,就保证了任何人都可以解密并确认来自国家权威机构的信息。
而私钥,则由国安+武警重兵把守,锁在中南海里面,保证任何人不得接近。这样,就保证了任何人都不能把自己伪装成国家权威机构,发送伪造的权威信息。
随后,科创论坛的负责人坐车去中南海,填写一个《申请kechuang.org证书》的表格,并交一定数量的管理费。中南海就会利用国家权威私钥,为科创签发一个SSL证书,可以用于HTTPS。
由于这个证书里面记录了科创的域名kechuang.org,而且可以通过公开的国家权威公钥,来验证确实是国家颁发的,所以大部分的网络用户都会信任。如果一个黑客想要把自己伪装成kechuang.org,他就必须去中南海填表申请国家权威证书,结果肯定马上就被武警和国安撵了出去。这样一来,再也没有人能伪造科创的身份啦!代价就是科创必须每年向中南海支付保护费。
如果不是为了“权威”,科创自己也是可以给自己颁发证书的(也很简单,用OpenSSL套装即可),只不过所有的网络用户都不会信任。
问题1:到底有哪些权威机构,给我颁发了根证书,令我承认它们?
windows用户请打开“Internet选项”,然后点击“内容”选项卡的“证书”按钮。
如果在这里添加科创自己颁发的根证书,浏览器就会信任之,可以省下一笔保护费。
问题2:权威机构如何保护私钥不被盗取、不被破坏?
除了国安和武警,还需要在具体软硬件上下功夫。
目前通行的解决方案叫做硬件安全模块(hardware security module, HSM),简单的讲就是一个小盒子,它内部保有私钥,可以签发证书,但几乎无法通过任何方式获取其内部私钥,相对来说也较难被破坏。
例如,小刚登陆科创论坛,用户名和密码都是明文传输的。因为从小刚家到科创论坛要经过很多网络设施,黑客可以在这个过程中拦截到小刚的密码。
所以,我们要加密小刚与科创论坛之间的通信。
我们先来介绍对称加密。对称加密其实就是RAR压缩包的加密方式:利用同一个密钥实现加密和解密。
假设小刚知道科创的密钥是loveKC,他利用这个密钥加密所有的数据,再发给科创,然后科创将数据用loveKC密钥解密。这个过程就很不安全,因为黑客很容易就可以知道这个密钥。大家都是论坛的普通用户,既然小刚能知道,大家都能知道。于是黑客仍然能监听到通信内容,也可以伪造通信内容。
然后介绍非对称加密。非对称加密是一个伟大的发明,具体各位可以搜索RSA算法。概念上来讲,科创论坛有两个密钥,一个是公钥,一个是私钥。公钥是公开的,所有人都知道;而私钥只有科创自己知道。用公钥加密的数据,只能用私钥解密;用私钥加密的数据,只能用公钥解密,这就是非对称加密的伟大之处。
现在,假设小刚知道科创的公钥是KCpublic,于是他用公钥加密数据,再发给科创。黑客在过程中并不能解密,因为黑客无法获得私钥。数据到达科创后,科创用私钥KCprivate解密,就能获得小刚发来的信息了。是不是很奇妙?这就是对非对称加密的一个不严谨的概括。总而言之,HTTPS需要配合一定的非对称加密技术实现其保密功能。
但是这个过程仍然不安全。黑客可以把自己伪装成科创论坛,自己生成公钥和私钥,然后把公钥发给用户。这样一来,用户很可能误以为黑客就是科创(假如这个用户对科创不是很熟的话),然后把敏感信息通过黑客的公钥加密,给黑客发过去。我靠,这可怎么防?怎样才能验证,发给我公钥的人,就真的是科创论坛,而不是黑客呢?
于是专家们研究了很久,最后给出解决方案:证书。什么是证书?比如政府颁发的营业执照,就是一种证书,它的特点是难以伪造:只要打个电话给工商局确认一下,就知道真假了。显然,要伪造一个公司很容易,但要伪造一个政府或者权威机构,就很困难了。
具体怎么操作呢?首先,由国家权威机构生成一个“国家权威非对称密钥”,其中公钥部分以“根证书”的形式强制发给每一个互联网用户。这样,就保证了任何人都可以解密并确认来自国家权威机构的信息。
而私钥,则由国安+武警重兵把守,锁在中南海里面,保证任何人不得接近。这样,就保证了任何人都不能把自己伪装成国家权威机构,发送伪造的权威信息。
随后,科创论坛的负责人坐车去中南海,填写一个《申请kechuang.org证书》的表格,并交一定数量的管理费。中南海就会利用国家权威私钥,为科创签发一个SSL证书,可以用于HTTPS。
由于这个证书里面记录了科创的域名kechuang.org,而且可以通过公开的国家权威公钥,来验证确实是国家颁发的,所以大部分的网络用户都会信任。如果一个黑客想要把自己伪装成kechuang.org,他就必须去中南海填表申请国家权威证书,结果肯定马上就被武警和国安撵了出去。这样一来,再也没有人能伪造科创的身份啦!代价就是科创必须每年向中南海支付保护费。
如果不是为了“权威”,科创自己也是可以给自己颁发证书的(也很简单,用OpenSSL套装即可),只不过所有的网络用户都不会信任。
问题1:到底有哪些权威机构,给我颁发了根证书,令我承认它们?
windows用户请打开“Internet选项”,然后点击“内容”选项卡的“证书”按钮。
如果在这里添加科创自己颁发的根证书,浏览器就会信任之,可以省下一笔保护费。
问题2:权威机构如何保护私钥不被盗取、不被破坏?
除了国安和武警,还需要在具体软硬件上下功夫。
目前通行的解决方案叫做硬件安全模块(hardware security module, HSM),简单的讲就是一个小盒子,它内部保有私钥,可以签发证书,但几乎无法通过任何方式获取其内部私钥,相对来说也较难被破坏。
扫一扫
6026
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
