之前在看arm关于trustzoon的一些材料,发现对安全的东西了解的太少。刚好老板说买书可以报销,于是买了一本《计算机安全导论》,可惜翻译的太烂了,通读了一遍,体会有几点,记录下:

1. 计算机世界各种安全问题,像内存、cache之类的***,如果信息在这些易失存储器内没有加密,是很容易被窃取的;

2. 安全性里有很多注明的概念: 机密性,完整性,可用性(CIA),现代计算机又加入了保证,真实性,匿名(AAA)概念。

3. 对称加密(例如AES),和非对称加密(例如RSA),对称加密比非对称的算法速度要快一个量级。所以一般是用非对称来交换秘钥,然后用对称加密来交换数据。当时对称加密也有自己的秘钥交换方法,及时通过非安全的介质,同样可以安全的交换秘钥.

4. wifi的安全,

5. https原理和过程:

  • 浏览器向服务器请求建立https,并提供客户端支持的加密算法和散列函数;

  • 服务器选择双方都支持的最强的加密算法和散列函数,并通着浏览器;

  • 将自己的证书发给浏览器,该证书包含了服务器的公钥(证书为服务器所有者向CA申请,由CA使用自己的秘钥加密后发给服务器所有者);

  • 浏览器根据公钥的颁发机构的公钥(应该内置于浏览器或操作系统),去解密证书,并和证书内的散列值进行校验,如果正确,则说明对方的公钥和对方的身份匹配;

  • 浏览器使用服务器公钥来加密随机数,只有使用服务器的私钥才能对加密的随机数进行解密,这一组加密的随机数就是服务器和客户端生成的共享秘钥;

  • 使用对称加密系统和消息认证码(MAC)对后续消息进行加密和验证。

值得注意的是证书提供了一种证明,即证书中的公钥和证书所有者是匹配的,而不需要确认证书所有者身份。


6. 一般银行办法key或者密码锁,应该是内置私钥。