这里讲解一下数字信封、数字摘要、数字证书、数字签名都是什么,有什么特点和用途。
从加密方式讲起。有对称加密和非对称加密:对称加密就是对一段原文使用同一串密钥进行加密和解密;非对称加密就是有公钥和私钥,发送方通过请求公钥获得公钥对原文进行加密,接收方在服务端通过私钥进行解密。对称加密具有加密后密文大小与原文大小相近的优点,但是由于加解密使用同一串密钥,一旦黑客通过抓包获得密钥即可对原文进行解密和篡改,因此安全性不高。非对称加密由于用于解密的私钥在服务端,不会通过网络传输更安全,但是加密后的密文大小比原文大小大很多。
数字信封结合了对称加密和非对称加密的优点,用两层加密提高了安全性和加解密效率,用于原文只有持有私钥的人才能查看的情况。发送方使用仅发送方拥有的密钥对原文进行对称加密后,再使用公钥对该密钥进行非对称加密,将原文密文和发送方密钥密文都发送给接收方,接收方通过私钥解密出发送方密钥,再用这个密钥解密出原文。
数字摘要是将一段较长的原文通过Hash函数,转成固定长度的密文,这个密文称为数字指纹。只要原文有一点改动,数字指纹就会不同。
数字证书是单位或个人通过身份认证机构(CA)注册得到的文件,申请人会拿到一段私钥,公钥则会放在CA公开。
数字签名是结合数字摘要、数字证书,用于检查文件的签名者是否是本人。具有不可伪造和不可抵赖两个特性。发送方将原文通过数字摘要生成的数字指纹使用私钥进行加密(这是签名的过程),将原文、加密后的数字指纹以及数字证书传输给接收方,接收方用数字证书中的公钥解密数字指纹密文获得一份数字指纹,再将原文进行数字摘要生成另一个数字指纹,两个数字指纹进行比对,若一致则原文未被篡改,即验证了签名是本人签的,没有被伪造,这是验证签名的过程。其中,发送方的私钥是自己的,仅本人拥有(需要本人注意保管,避免丢失),接收方的公钥是通过身份认证机构注册的数字证书获取,所有人都可以获取到。
使用https的网站通常能看到网站的证书信息,这个就是数字证书。为什么说https是安全的呢?https = http + ssl,ssl是建立在TCP/IP之上的一层安全套接字层,它使得https的服务在建立连接时,首先会做三次握手,然后进行身份确认,身份确认过后再进行的传输就都是对称加密的了。这个身份确认的过程就是利用非对称加密交换对称加密密钥:发送方是浏览器,浏览器使用网站数字证书中的公钥加密浏览器生成的一个对称加密密钥,将这个密文发送给https服务端,由于只有该https服务端拥有私钥,即只有该服务端能够解密密文获得对称加密密钥,所以即使黑客拦截密文也无法解密出对称加密密钥。服务端获得对称加密密钥后,此后所有的请求响应报文都会被对称加密,因此https传输是加密的、安全的。
1541
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
