SECURITY OVERALL

最新推荐文章于 2019-09-27 13:46:40 发布
最新推荐文章于 2019-09-27 13:46:40 发布
阅读量440 收藏
点赞数
分类专栏: _legacy 文章标签: Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jerry7582597/article/details/50580964
版权

 

OTP

A programmable read-only memory (PROM) or fieldprogrammable read-only memory (FPROM) or one-time programmablenon-volatile memory (OTP NVM) is a form of digital memory where thesetting of each bit is locked by a fuse or antifuse. Theyare a type of ROM (read-only memory) meaning the data in them ispermanent and cannot be changed.

 

application 1: OTP regsiter and LOCK resgister 他们一同保护OTPregister不会给改写

 

 

managed code

 

托管代码(managed code)同受管制的代码,由公共语言运行库环境(而不是直接由操作系统)执行的代码。托管代码应用程序可以获得公共语言运行库服务,例如自动垃圾回收、运行库类型检查和安全支持等。这些服务帮助提供独立于平台和语言的、统一的托管代码应用程序行为。

 

 

 

FIPS 140-2

 

FIPS: FederalInformationProcessing Standards

(美国)联邦信息处理标准

 

FIPS Publication 140-2是NIST所发布的针对密码模块的安全需求(Securityrequirements for cryptographic modules)。目前该标准的最新版本发表于2002年12月3日,其提供了密码模块评测、验证和最终认证的基础。

 

安全需求涵盖了密码模块安全设计和实现的相关领域,每个领域在特定的安全级别上开展评估。

这些领域包括:

密码模块的规格(cryptographicmodule specification);

密码模块端口和接口(cryptographicmodule ports and interfaces);

角色、服务和认证(roles,services, and authentication);

有限机模型(finitestate model);

物理安全(physicalsecurity);

操作环境(operationalenvironment);

密钥管理(cryptographickey management);

电磁干扰/电磁兼容性(electromagneticinterference/electromagnetic compatibility) (EMI/EMC);

自我测试(self-tests);

设计保障(designassurance);

其它攻击减缓(mitigationof other attacks)

 

RSA vs SHA

 

SHA是散列算法,RSA是非对称加密技术。前者用于验证integrity,后者用于加密和签名

 

对称和非对称加密

对称加密:DES,AES,TEA
非对称加密:DSA ,RSA (DSA 一般用于数字签名和认证;DSA只是一种算法,和RSA不同之处在于它不能用作加密和解密,也不能进行密钥交换,只用于签名,它比RSA要快很多)

 

Digest

Message Digest
MessageDigest是一个数据的数字指纹.即对一个任意长度的数据进行计算,产生一个唯一指纹号.
MessageDigest的特性:
A) 两个不同的数据,难以生成相同的指纹号
B) 对于指定的指纹号,难以逆向计算出原始数据
代表:MD5/SHA
 

SHA

安全哈希算法(Secure Hash Algorithm)主要适用于数字签名标准(Digital Signature Standard DSS)里面定义的数字签名算法(Digital Signature Algorithm DSA)。对于长度小于2^64位的消息,SHA1会产生一个160位的消息摘要(MessageDigest)。
该算法的思想是接收一段明文,然后以一种不可逆的方式将它转换成一段(通常更小)密文,也可以简单的理解为取一串输入码(称为预映射或信息),并把它们转化为长度较短、位数固定的输出序列即散列值(也称为信息摘要或信息认证代码)的过程。散列函数值可以说是对明文的一种“指纹”或是“摘要”所以对散列值的数字签名就可以视为对此明文的数字签名。

SHA的特性:不可逆,无法还原原始信息;雪崩效应,输入信息的微小变化会导致SHA值差别巨大;很难找到不同输入信息却又相同SHA值的情况

SHA的用途:单向散列函数一般用于产生消息摘要,密钥加密等。常见的有:
l MD5(Message Digest Algorithm 5):是RSA数据安全公司开发的一种单向散列算法,128位数值。
l SHA(Secure Hash Algorithm):可以对任意长度的数据运算生成一个160位的数值;
 

数字签名原理

数字签名就是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。一般是发送方将消息摘要digest(注意:这里不是消息全部内容,而是利用hash函数生成的消息摘要)进行签名,接收方通过public key来校验签名以判别消息的合法来源,并还原出digest,并和重新计算的额digest进行比较,以判断信息的完整性
 

CA的缘由

因为发布个人的public key的过程也是一个需要信息保护的安全过程,所以引入了CA的概念,发送方和接收方都默认信任CA。
解释:如果本地存储的别人的公钥被替换,那么你就无法判断信息来源是否真实,因为你都不能确定本地保存的公钥是否合法?所以大家找到共同信任的机构CA(Certificate Authority),由CA用自己的私钥,对发送方的公钥和相关信息加密,生成了“数字证书”(Digital Certificate),这样,发送方再发送信息时,除了携带签名,再附上CA颁发的数字证书就可以了

总结下,发送发向CA发送申请数字证书请求,并要求接收方向CA请求和安装CA的数字证书(根证书),之后接收方解开发送发信息中携带的数字证书中的public key验证发送发的数字签名。SR:接收方要事先安装CA的数字证书,并用此来验证发送方在信息中携带的数字证书的合法性,然后解开它得到发送方真正的公钥。

SR认为:
这样便解决了两个问题:
1. 无需担心发送方的公钥在本地存储不安全的问题,因为不在本地保存
2. 由信任的CA来发送公钥,解决了分发公钥的安全信任问题
依然无法解决CA数字证书在本地安装和保存的安全性问题,当然这不是数字证书要解决的焦点

参考:http://netsecurity.51cto.com/art/201108/287971.htm

 

DSA的概述

DSA数字签名,非对称加密的另一种实现。
DSA-Digital Signature Algorithm 是Schnorr和ElGamal签名算法的变种,被美国NIST作为DSS(DigitalSignature Standard)。简单的说,这是一种更高级的验证方式,用作数字签名。不单单只有公钥、私钥,还有数字签名。私钥加密生成数字签名,公钥验证数据及签 名。如果数据和签名不匹配则认为验证失败!数字签名的作用就是校验数据在传输过程中不被修改。数字签名,是单向加密的升级!

DSA举例 openssl
生成一个密钥(私钥)
 [root@hunterfu ~]# openssl dsaparam -out dsaparam.pem 1024
 [root@hunterfu ~]# openssl gendsa -out privkey.pem dsaparam.pem
生成公钥
[root@hunterfu ~]# openssl dsa -in privkey.pem -out pubkey.pem -pubout     
[root@hunterfu ~]# rm -fr dsaparam.pem
使用私钥签名
[root@hunterfu ~]# echo -n "123456" | openssl dgst -dss1 -sign privkey.pem > sign.result
使用公钥验证
[root@hunterfu ~]# echo -n "123456"  | openssl dgst -dss1 -verify pubkey.pem -signature sign.result

RSA概述

1. RSA,这个巨NB算法的实现方式,使其既可以用于签名也可以用于加密(密钥交换)。除了将公钥与密钥的地位交换一下之外,其它步骤几乎是完全一样的。发送方用自己的私钥对消息的摘要值进行“加密”,接收方使用发送方的公钥进摘要值进行“解密”,并将其与根据消息独立计算出的摘要值进行比较进行验证。如果匹配,则签名就是有效的。相比加密,RSA签名比较难懂的是分组格式化,我们常说RSA是对摘要值进行加密,其实并不一定对,在加密之会使用一个DER编码的DigestInfo结构(该结构包括HASH算法标识符+摘要值),是对这个DigestInfo结构进行加密。所有导致一般使用RSA(1204位)私钥进行加密的话,最多只能加密117字节数据,而不是128字节(1024位)。

这样做的目的,是用来防止攻击。假设某个HASH算法(H1)遭受灾难性破坏,有可能产生消息摘要为定值的随机消息(BTW:HASH算法也不能证明完全没有问题,只是在给定时间你产生不了相同的冲撞就认为是安全的,L)。攻击过程:

1)使用另一种不同的算法H2对消息M进行签名

2)攻击者可以使用H1(M’)=H2(M)的特性产生一个新的消息M’。

将我们的签名附加于他新产生的消息M’上(标注用已攻破的散列算法H1进行),该签名仍然被验证。

RSA举例 openssl
适用OPENSSL 适用RSA 的命令如下:
生成一个密钥(私钥)
[root@hunterfu ~]# openssl genrsa -out private.key 1024
注意: 需要注意的是这个文件包含了公钥和密钥两部分,也就是说这个文件即可用来加密也可以用来解密,后面的1024是生成
密钥的长度.
通过密钥文件private.key 提取公钥
[root@hunterfu ~]# openssl rsa -in private.key -pubout -out pub.key
使用公钥加密信息
[root@hunterfu ~]# echo -n "123456" | openssl rsautl -encrypt -inkey pub.key -pubin >encode.result
使用私钥解密信息
[root@hunterfu ~]#cat encode.result | openssl rsautl -decrypt  -inkey private.key
      123456

 

jerry7582597
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
The.Security.Consultants.Handbook.
10-26
A compendium of essential information for the modern security entrepreneur and practitioner The modern security practitioner has shifted from a predominantly protective site and assets manager to a ...
DNS Security Management
12-30
DNS Security Management offers an overall role-based security approach and discusses the various threats to the Domain Name Systems (DNS). This vital resource is filled with proven strategies for ...
旺宏norFlash Security Register OTP空间读写
qq_36376210的博客
09-27 2264
以旺宏NorFlash芯片MX25l12835F为例。 通过写寄存器B1h进入OTP模式,写C1h退出OTP模式; 命令集: 06h - Write Enable 04h - Write Disable 05h - Read Status Register 01h - Write Status Register 03h - Read Data Bytes 0Bh - Data Fast Read ...
自定义UITableViewCell(registerNib: 与 registerClass: 的区别)
热门推荐
Horace's Blog
03-22 2万+
自定义UITableViewCell大致有两类方法:  使用nib  1、xib中指定cell的Class为自定义cell类型(注意不是设置File's Owner的class)  2、调用 tableView 的 registerNib:forCellReuseIdentifier:方法向数据源注册cell  [_tableView registerNib:[UINi
Druid register mbean error
Black Shadow
11-18 2万+
阿里巴巴数据库连接池Druid的register mbean error异常说明和解决方法
OTP设计原则:概要
coderplay的专栏
06-22 781
1 Overview OTP 设计原则 是一套教你如何运用进程,模块和目录等条件来组织Erlang代码的原则. 1.1 Supervision Trees 管理树 A basic concept in Erlang/OTP is the supervision tree. This is a process structuring model based on the idea of worke...
OTP中supervisor启动过程
剪裁人生 的专栏
01-11 780
转载自庆亮的博客-webgame架构 从rabbit_sup模块开始看起: rabbit_sup模块的start_link是被rabbit app模块的start/2方法所调用的 rabbit.erl文件: start(normal, []) -> {ok, SupPid} = rabbit_sup:start_link(), rabbit_sup.erl文件: -define(SE
Network Security Configuration
omnispace的博客
08-04 1725
The Network Security Configuration feature lets apps customize their network security settings in a safe, declarative configuration file without modifying app code. These settings can be configured
Java™ Security Overview
五石之瓠 以为大樽 浮于江湖 悠笑人生
10-16 657
1 IntroductionThe Java™ platform was designed with a strong emphasis on security. At its core, the Java language itself is type-safe and provides automatic garbage collection, enhancing the robustness
HSTS - HTTP Strict Transport Security
Larry的博客
09-30 3091
https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security HTTP Strict Transport Security (HSTS) is a web security policy mechanism which helps to protect websites against protocol downgr
Computer and Information Security Handbook(3rd).pdf
05-23
Computer and Information Security Handbook(3rd).pdf, is a very good handbook on overall computer security knowledge.
AAA and Network Security for Mobile Access.pdf
08-22
Finally, Chapter 11 makes a humble attempt at describing the overall problem of AAA and identity management in a multi-operator environment and discusses various architectural models to tackle the ...
Implementing 802.1X Security Solutions for Wired and Wireless Networks.pdf
08-14
A Simple Analogy—Understanding the Overall System 42 Supplicant to Authentication Server: EAP-Methods 44 Supplicant to Authenticator: 802.1X / EAPOL 45 Authenticator to Authentication Server: RADIUS ...
Kernel build & debug
jerry7582597的专栏
08-14 4746
Build & Debug Build [steps of build kernel] Stepsof building Kernel 1.   Run"make ARCH=xxx CROSS_COMPILE=xxx msmxxx_defconfig" to create .configfile. NOTE:Modify.config (optional) approach1:...
“关于Android系统的指纹识别安全性”文章引来的讨论
jerry7582597的专栏
01-07 3111
本文的目的:真实客观分析来自迈瑞微的这篇文章中提及的各个观点   文章标题:指纹识别离安全支付还有多远? 转发地址:http://news.cecb2b.com/info/20160105/3296661.shtml 原稿地址:2016-01-0517:40 发布者:迈瑞微 来源:集微网(微信公众号)   解读文章 原文:支付宝的IOS版本和Android版本都可以进行指纹支付,却有...
"Linux设备驱动开发详解" 笔记
jerry7582597的专栏
04-23 2015
《Linux设备驱动开发详解》第2版 宋宝华 编著 Bought on Dec 1, 2010, Noted on 2015.6 【声明】本文大部分内容摘自《Linux设备驱动开发详解》第2版,或者网上搜索,故不单独注明内容出处 第一篇 Linux设备驱动入门   设备的分类 字符设备;块设备;网络设备 其中网络设备不会映射到文件系统中的文件和目录,而是面向数据包的接受和发送   ...
SELinux
jerry7582597的专栏
01-26 1799
SELinux   Background LSM中文全称是linux安全模块。英文全称:linux security module. LSM是一种轻量级、通用的访问控制框架,适合多种访问控制模型以内核模块的形式实现。 通过系统调用进入内核之后,系统首先进行传统的权限检查(传统权限检查主要是基于用户的,用户通过验证之后就可以访问资源),通过之后才会进行强制访问控制。(强制访问控制是不允许主体干...
ARM TrustZone
jerry7582597的专栏
01-25 1764
  ARM TrustZone   refer to : http://www.arm.com/zh/products/processors/technologies/trustzone/index.php     From http://trustkernel.org/zh-hans/ TrustZone是ARMv6版本开始加入到ARM处理器的安全硬件特性,包括ARM11以及Co...
Battery
jerry7582597的专栏
01-22 1653
Introduction   移动设备的锂电池 最高4.2-4.3v,最低2.7-2.9v,小于2.8v后“快速“衰减为0v,也称为DEADBATTERY,即休眠。低于3.0v属于过度放电,手机一般在3.3-3.5v关机。   电池温度一般为0-40度,获取电池内部温度用读取电池内的热敏电阻的电压值转换而来;电池容量一般以mAh为单位,现在也有用Wh作为单位的   充电器类型一般分为...
spring security
最新发布
04-05
Spring Security is a powerful and highly customizable...Overall, Spring Security provides a comprehensive security solution for Java-based web applications, and is widely used in enterprise applications.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值