都2024年了，还不会对称加密和非对称加密算法？_对称加密算法和非对称加密算法没学过的人难吗 (1)

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上大数据知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

需要这份系统化资料的朋友，可以戳这里获取

1 对称加密

假设你和电商网站约定一个密钥，你发请求时候用该密钥进行加密，电商网站用同样密钥进行解密。
就算黑客中途截获你的请求，但它没有密钥，破解不了。

但双方如何约定密钥？

若密钥在互联网上传输，很可能被截获，黑客可以假装不知，静静地等你们两个交互。你们之间互通的任何消息，它都能截获并且查看，等于你把银行卡账号和密码发出来。

我们经常能看到，特工破译的密码会有个密码本，截获无线电台，通过密码本就能将原文破解出来。
怎么把密码本给对方呢？那就只能通过线下传输。

比如，你和电商网站偷偷约定时间地点，它给你一个纸条，写着你们两个的密钥，然后说以后就用这个密钥在互联网购物了。
你们接头时，也要先约定一个口号，如“天王盖地虎”，口号对上，才把纸条给对方。
但“天王盖地虎”也还是对称加密密钥，也存在如何把“天王盖地虎”约定成口号的问题。而且谍战剧中一对一接头还可以，但互联网用户太多，显然行不通。

2 非对称加密

所以，只要是对称加密，就会陷入死循环，只能依赖非对称加密。

• 非对称加密的私钥放在电商网站，不会在互联网上传输，保证该秘钥的私密性
• 但对应私钥的公钥，可在互联网随意传播，只要电商网站把这个公钥给你，你们就能愉快互通

比如你用公钥加密，说“我要买娃娃”，黑客在中间就算截获这个报文，因为它没有私钥，解不开，所以该报文能顺利到达电商网站，电商网站再用私钥解密这个报文，然后回复，“那给我银行卡和支付密码吧”。

其实还是有问题的。回复的这句话，是电商网站拿私钥加密的，互联网上人人都可以把它打开，当然包括黑客。

那电商网站可以拿公钥加密吗？

不能，因为它自己的私钥只有自己知道，谁也解不开。

而且黑客也能模拟发送“我要买娃娃”，因为它也拿得到电商网站的公钥。
所以一对公钥私钥远远不够，客户端也要有自己的公钥和私钥，并且客户端要把自己的公钥，给电商网站。

这样，客户端给电商网站发送时，用电商网站的公钥加密。
而电商网站给客户端发消息时，使用客户端的公钥。这样就算有黑客企图模拟客户端获取一些信息或半路截获回复信息，由于没有私钥，就无法打开这些信息。

数字证书

不对称加密也面临同样问题，如何将不对称加密的公钥给对方：

• 放在一个公网地址上，让对方下载
• 在建立连接时，传给对方

俩方案有相同的问题：作为一个普通用户，如何甄别别人给你的公钥是对的。
会不会有人冒充电商网站，发给你一个它的公钥。接下来，你和它所有的互通，看起来都是没有任何问题的。毕竟每个人都可以创建自己的公钥和私钥。

例如，我自个儿搭建了一个网站xxxsite，先创建私钥：

openssl genrsa -out xxxsiteprivate.key 1024

然后，再根据这个私钥，创建对应的公钥。

openssl rsa -in xxxsiteprivate.key -pubout -outcliu8sitepublic.pem

这时候就需要权威部门介入，就像每个人都可以自己打印简历，说自己是谁，但最后还是要有公安局证明的比如身份证，才能证明你是你。这个由权威部门颁发的称为证书（Certificate）。

证书

里面有啥：

• 公钥
  最重要的
• 证书的所有者
  就像身份证上有你的姓名和身份证号，说明这个身份证是你的
• 证书的发布机构和证书的有效期
  就像身份证上的机构是哪个区公安局，有效期到xx年

如何生成证书？

会不会有人假冒权威机构颁发证书呢？就像有假身份证一样。
生成证书需要发起一个证书请求，然后将该请求发给一个权威机构去认证，这个权威机构称为CA（ Certificate Authority）。

证书请求可以通过这个命令生成。

openssl req -key xxxsiteprivate.key -new -out cliu8sitecertificate.req

将这个请求发给权威机构，权威机构会给这个证书卡一个章，我们称为签名算法。
怎么签名才能保证是真的权威机构签名的呢？
用只掌握在权威机构里的东西签名才行，这就是CA的私钥。

签名算法

对信息做一个Hash计算，得到一个Hash值，该过程是不可逆的，即无法通过Hash值得出原信息内容。
把信息发送出去时，把这个Hash值加密后，作为一个签名和信息一起发出去。

权威机构给证书签名的命令是这样的。

openssl x509 -req -in xxxsitecertificate.req -CA cacertificate.pem 
	-CAkey caprivate.key -out xxxsitecertificate.pem

该命令会返回Signature ok，xxxsitecertificate.pem就是签过名的证书。CA用自己的私钥给电商网站的公钥签名，就相当于给电商网站背书，形成了外卖网站的证书。

该证书的内容：

openssl x509 -in xxxsitecertificate.pem -noout -text 

• Issuer
  证书是谁颁发的
• Subject
  证书颁发给谁
• Validity
  证书期限
• Public-key
  公钥内容
• Signature Algorithm
  签名算法

你不会从电商网站得到一个公钥，而是会得到一个证书，该证书有个发布机构CA，你只要得到这个发布机构CA的公钥，去解密电商网站证书的签名，解密成功，Hash也对的上，就说明这个电商网站的公钥没问题。

想验证证书，就需要CA的公钥，但怎么确定CA的公钥就是对的？

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以戳这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

尝辄止，不再深入研究，那么很难做到真正的技术提升。**

需要这份系统化资料的朋友，可以戳这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！