加密算法与随机数生成算法

最新推荐文章于 2022-10-27 21:15:08 发布
最新推荐文章于 2022-10-27 21:15:08 发布
阅读量869 收藏 2
点赞数
文章标签: 数据库 密码学 java
原文链接:http://www.cnblogs.com/shilxfly/p/6855753.html
版权

使用安全可靠的加密算法和随机数生成算法

密钥管理

在密码学里有个基本原则:密码系统的安全性应该依赖于密钥的复杂性,而不是算法的保密性。

在安全领域里,选择一个足够安全的加密算法不是困难的事,难的是密钥管理。在密钥管理中常见的错误是,将密钥硬编码在代码里。硬编码的密钥容易泄露:

① 代码被广泛传播(开源软件,商业软件的二进制文件,逆向工程反编译)。安全方案:通过 Diffie-Hellman 交换密钥体系,生成公私密钥来完成密钥的分发。

② 软件开发团队的成员都能看到代码,从而获知密钥,如果人员流动性较大,则密钥的保密性无法保证。安全方案:改善密钥管理,限制代码读写权限等。

Web 应用中常见做法:将密钥(包括密码)保存在配置文件或数据库中,在使用时由程序读取并加载至内存。密钥所在的配置文件或数据库需要严格的控制访问权限,同时也要确保运维或 DBA 中具有访问权限的人员越少越好。在应用发布到生产环境时需要重新生成新的密钥或密码,以免与测试环境中使用的密钥相同。

密钥管理的主要目的是为了防止密钥从非正常渠道泄露。定期更换密钥是一种有效的做法。一个比较安全的密钥管理系统,可以将所有的密钥(包括敏感的配置文件)都集中保存在一个服务器或集群上,并通过 Web Service 的方式提供获取密钥的 API。每个 Web 应用在需要使用密钥时,通过带认证信息的 API 请求密钥管理系统,动态获取密钥。Web 应用不能呢把密钥写入本地文件中,只加载到内存。密钥集中管理降低了系统对密钥的耦合性,也有利于定期更换密钥。

使用可靠的伪随机数算法

伪随机数是通过一些数学算法生成的随机数,并非真正的随机数。密码学上的安全伪随机数是不可压缩的。对应的真随机数通常由物理系统产生,比如电压的波动、空中电磁波的噪声等。

安全的随机数生成算法:在 Java 中,可以使用 java.security.SecureRandom;在 Linux 中,可以使用 /dev/random 或者 /dev/urandom;在 PHP5.3.0 及之后的版本中,若支持 OpenSSL 扩展,也可以直接使用函数来生成( string openssl_random_pseudo_bytes(int $length [, bool &$scrypto_strong]) )

此外,从算法上可以通过多个随机数的组合来增加随机数的复杂性。比如给随机数使用 MD5 算法后再连接一个随机字符,然后再使用 MD5算法。

 

转载于:https://www.cnblogs.com/shilxfly/p/6855753.html

R芮R
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
密码学中的随
weixin_49067499的博客
07-10 2843
数,顾名思义就是随出现的数,其在密码学、统计学及其它方面都有很广阔的应用。在前端领域,我们也经常使用随数来防止缓存。那么随数是如何生成的,另外经常听到的伪随,这些是什么意思,今天我们就来学习一下。 随数的特点 在密码学中,随数的随性检验分为三个标准: 统计学伪随性 即在给定的数列中,每个数字出现的数量大致相等。就如同掷骰子一样,掷的次数足够多,1 - 6 每个数字出现的次数基本是相等的。 密码学安全伪随 定义为,给定随样本的一部分和随算法,不能有效地演算出随样本的剩余部分。 真
加密算法与随
qq_26002283的博客
04-30 2167
1.1 概述: 常见的加密算法分为分组加密算法和流加密算法两种,两者的实现原理不同。 1)分组加密算法基于分组(block)进行操作,根据算法的不同,每个分组的长度可能不同。分组加密算法的代表有DES 3-DES Blowfish IDEA AES 等。 2)流加密算法则每次只处理一个字节,秘钥独立于消息之外,连个通过异或实现加密与解密,流加密算法的代表有RC4 ORYX SEAL等。 ...
「第十一章」加密算法与随
hacckjacking
01-22 1114
「第三篇」服务器端应用安全 批注 [……] 表示他人、自己、网络批注 参考资料来源于 * 书中批注 * CSDN * GitHub * Google * 维基百科 * YouTube * MDN Web Docs 由于编写过程中无法记录所有的URL 所以如需原文,请自行查询 {……} 重点内容 *……* 表示先前提到的内容,不赘述 .
服务端应用安全——加密算法与随
Charle的博客
03-23 800
0.基础知识 加密算法分类: 分组加密 将明文消息编码表示后的数字(简称明文数字)序列,划分成长度为n的组(可看成长度为n的矢量),每组分别在密钥的控制下变换成等长的输出数字(简称密文数字)序列 代表算法:DES、3-DES、Blowfish、IDEA、AES等 流加密 明文数据每次与密钥数据流顺次对应加密,得到密文数据流 代表算法:RC4、ORYX、SEAL 攻击者攻击方式: 唯密...
java rsa加密数,【笔记】如何快速生成随机数 RSA算法
weixin_42641869的博客
03-20 782
今天学了一下随化贪心,于是也就顺势学了一下随机数生成。以下是扯淡众所周知,系统有一个rand()函数,windows下可以生成32767以内的随数,linux下可以生成2147483647以内的随数。它是用线性同余的方法生成。形如:Xn=(aXn-1+b)%c于是每次都要取一个随数种子,作为X0来递推。一般情况都这么写:srand(time(0));这样以时间作为种子,每一秒的种子就不同,...
一个伪随机数生成算法
yangsh3002的专栏
02-12 6459
<br />一个伪随机数生成算法<br />这几天逛程序员论坛,发现了不少好帖子,增长了不少知识,现拿其中一则为例说明。<br />某人提出一个问题,说怎么样能生成一亿个不重复的随数呢?<br />问题表述起来很简单,似乎只要弄明白什么叫随数以及怎样用电脑生成随机数,就能解决问题了。这俩问题大多数程序员都会,我在这里再表述一番。<br />随数,个人理解为一定范围内出现的毫无规律的数,比如扔一个骰子,落在桌面上时朝上的一面所表示的数就是随数,这个数只能是从1到6这个范围内的数,但是具体是什么数,谁也
随机数生成算法
热门推荐
日拱一卒
08-22 1万+
参考 Random number generation Pseudorandom number generator Linear congruential generator RANDU Randomness tests Randomness Tests: A Literature Survey Testing Pseudo-Random Number Generators Validatio...
加密PKCS#11国际加密标准解读-概念和常用接口函数(1)
好习惯成就伟大
04-22 2717
PKCS#11是使用非常普遍的密码设备接口,在实际应用中,国密的密码设备应用接口规范GMT0018与之作用相同,在技术体系架构中处于类似的位置。 在密码产品的开发中,按照PKCS#11或者GMT0018接口规范提供相应的接口封装,应用程序无需改动或者微小改动就可以更换底层密码设备。 PKCS#11的标准内容比较多,v2-20版本有400页,相应的,PKCS#11的标准解读,将按照概念及常用接口、角色、会话、对象、制分别进行,最后介绍应用的调用流程,串起各个概念和接口。 此为开篇,简介一下概念
密码学常见基本概念-随数,伪随数产生器
三千幻想乡
12-22 9346
密码学都会涉及到随数,因为许多密码系统的安全性依赖于随数的生成。     序列密码的保密性完全取决于密钥的随性。如果密钥是真正的随数,那么这种体制理论上就是不可破译的。但这种方式所需要的密钥量大的惊人,实际中是不可行的。     目前一般采用伪随序列来代替随序列,也就是密钥存在的一定的循环周期。这样循环周期的长短就成了保密的关键,如果周期足够长,就会有比较好的保密性。一般周期小于10
java数字加密_java数之Random和SecureRandom
weixin_39777875的博客
02-13 677
一、前言在一次项目的安全测试源代码扫描中,报由random()实施的随机数生成器不能抵挡加密攻击。其中报漏洞的源代码如下:int number = (int) ((Math.random() * 9 + 1) * Math.pow(10, 6 -1));String numStr= String.valueOf(number);其中的报漏洞的解释是这样说的,在对安全性要求较高的环境中,使用能够生成...
生成加密
07-29
生成一个加密数,同时启动一个计时器,每20秒进行一次刷新。
利用密码技术或者专门的随数产生算法产生随数,并对产生的随数进行统计分析
03-04
一、实验内容 利用密码技术或者专门的随数产生算法产生随数,并对产生的随数进行统计分析。 二、实验原理 (一)本次实验使用了两种方法生成随机数,分别如下: 1、使用RC4算法产生随数: 原理:RC4算法的原理很简单,包括初始化算法和伪随子密码生成算法两大部分。在初始化的过程中,密钥的主要功能是将S-box搅乱,i确保S-box的每个元素都得到处理,j保证S-box的搅乱是随的。而不同的S-box在经过伪随子密码生成算法的处理后可以得到不同的子密钥序列,并且,该序列是随的。 详细代码请见代码附录。 2、使用rand函数生成随机数: rand函数不是真正的随机数生成器,而srand()会设置供rand()使用的随数种子。如果你在第一次调用rand()之前没有调用srand(),那么系统会为你自动调用srand()。而使用同种子相同的数调用 rand()会导致相同的随数序列被生成。 因此,在这个实验中,我使用了时间作为随数种子,时间时刻在变化,因此每次生成的随数都是不同的 详细代码请见代码附录。 (二)生成的随数序列,我采用了matlab对随数进行统计分析。
密码生成器(非常强大)
09-01
一款非常强大的密码生成器,可以任意设置密码强度及使用的符号.
如何给随加密
fcsfcsfcs的博客
07-21 1442
作者: 字体:[增加 减小] 类型:转载 时间:2013-03-07 我要评论 随加密的简单算法,需要的朋友可以参考一下 复制代码代码如下: // 随加密算法  A^B = C , A^C =B , B^C = A 异或加密  // Etual  2011-3-14  #include  // 7byte 数据 和 1byte ke
Python 生成随机数函数和加密函数(MD5)
weixin_30348519的博客
08-17 243
内容来自debugtalk import hashlib import random import string def gen_random_string(str_len):  '''生成指定长度的随数函数''' return ''.join( random.choice(string.ascii_letters + string.digi...
OS服务——加密——随机数生成
wayne2018的博客-心情驿站
10-27 224
API子系统在加密和非加密安全实例中提供随机数生成API。使用哪种随API是基于随数的加密要求的。如果需要非加密值,非加密api将更快地返回随值。
加密随机数生成
keyu0915的专栏
08-26 3170
除了传统的线性同余法(即C语言里的rand())产生伪随数外,还可以用密码来编写能够生成强伪随数的伪随 数生成器。密码的密性是支撑伪随机数生成器不可预测性的基础。原理如下图: 有关的DES 的 openssl API和数据结构: openssl 有关的DES 的API和数据结构 void DES_string_to_
密码学安全强随机数生成器_强密码学简介
danpu0978的博客
05-10 1682
密码学安全强随机数生成器 让我惊讶的一件事是,大多数开发人员都不熟悉强大的加密技术。 在我的职业生涯中,我已经看到过各种各样的错误,这些错误会导致数据泄漏,可猜测的密码,不幸的泄露甚至更糟。 令人高兴的是,您不必了解算法背后的荒谬复杂的数学,只需知道正确使用它们的规则即可。 在本系列文章的最后,我的目标是消除魔术的神秘感,因此您可以立即开始在代码中使用原语! 但是首先,当我说“强密码学”时,...
《白帽子讲Web安全》11-加密算法与随
CD的博客
03-30 1323
常见的加密算法
加密算法的随数发生器
最新发布
09-09
加密算法中的随数发生器被称为随机数生成器(Random Number Generator,简称RNG)。RNG在加密过程中起着至关重要的作用,它负责生成随机数,用于加密算法中的密钥生成、初始化向量(IV)等。一个好的随数发生器应该具备以下特点: 1. 高度随性:生成的随数应该是高度随的,不能被预测或重现。 2. 均匀性:生成的随数应该在可接受的范围内具有均匀分布,避免出现偏向某一部分的情况。 3. 不可预测性:生成的随数应该是不可预测的,即使知道部分输出结果也不能推测出下一个输出结果。 4. 高速性:随数发生器应该能够高效地生成足够数量的随数,以满足加密算法的需求。 常见的随机数生成器包括硬件随数发生器(如热噪声发生器、放射性衰变等)、伪随机数生成器(通过算法生成的)以及混合型随数发生器(结合前两种)。在实际应用中,为了确保安全性,通常会使用经过严格测试和认证的随数发生器。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值