《白帽子讲WEB安全》学习笔记之第11章 加密算法与随机数

最新推荐文章于 2024-06-03 10:22:32 发布
最新推荐文章于 2024-06-03 10:22:32 发布
阅读量95 收藏 1
点赞数
文章标签: web安全 java 密码学
原文链接:https://yq.aliyun.com/articles/516988
版权

第11章 加密算法与随机数

11.1 概述

攻击密码系统的方法

密码分析者攻击密码系统的方法主要有以下三种:

1)穷举攻击

    所谓穷举攻击是指密码分析者采用依次试遍所有可能的密钥对所获密文进行解密,直至得到正确的明文.

2)统计分析攻击

    所谓统计分析攻击就是指密码分析者通过分析密文和明文的统计规律来破译密码。

3)数学分析攻击

所谓数学分析攻击是指密码分析者针对加解密算法的数学基础和某些密码学特性,通过数学求解的方法来破译密码。

 

破译密码的类型

1唯密文攻击Ciphertext-only attack

已知:

   C1EP1 )C2EKP2 )……CiEK(Pi)

推导出:

   P1P2……PiK或者找出一个算法从Ci1EK(Pi1 )推出Pi1

 

2已知明文攻击Know-plaintext attack

已知:

 P1C1EP1 )P2 C2EK(P2 ) …… PiCiEKPi

推导出:

      密钥k,或从Ci1EK(Pi1 )推出Pi1

 

3选择明文攻击Chosen-plaintext attack

已知:

 P1C1EP1 )P2 C2EK(P2 ) …… PiCiEKPi,其中P1P2…… Pi是由密码分析者选择的。

推导出:

     密钥k,或从Ci1EK(Pi1 )推出Pi1

 

4自适应选择明文攻击Adaptive-chosen-plaintext attack

5选择密文攻击Chosen-ciphertext attack

6选择密钥攻击Chosen-key attack

7软磨硬泡攻击 

11.6 密钥管理

密钥的保密性比算法的保密性重要多了。密钥最好是动态的,会定期更新。

11.7 伪随机数问题

Java中使用java.util.Random是不安全的,因为其是使用系统时间的作为种子生成的伪随机数。在种子相同的情况下,其生成的随机数的顺序都是相同的。

java.security.SecureRandom是安全随机数,可以在项目中使用。

加密算法的最佳实践:

q  不要使用ECB模式

q  不要使用流密码

q  使用HMAC-SHA1代替MD5(甚至代替SHA1

q  不要使用相同的key做不同的事

q  saltsIV需要随机产生

q  不要自己实现加密算法,尽量使用稳定的加密库

q  不要依赖于系统的保密性

 


本文转自 梦朝思夕 51CTO博客,原文链接:http://blog.51cto.com/qiangmzsx/1859557


weixin_34232363
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
密码学小知识(5):唯密文攻击(COA)、已知明文攻击(KPA)、选择明文攻击(CPA),选择密文攻击(CCA)
cryptocxf的博客
06-28 3万+
本篇将介绍密码分析中主要的四种攻击方式 一、唯密文攻击(Ciphtext Only Attack,COA) 定义:唯密文攻击(COA)是指仅仅知道密文的情况下进行分析,求解明文或密钥的密码分析方法。 假定密码分析者拥有密码算法及明文统计特性,并截获了一个或者多个用同一密钥加密的密文,通过对这些密文进行分析求出明文或密钥。COA已知条件最少,经不起唯密文攻击的密码是被认为不安全的。 简单理解:只知道密文,推出明文或密钥,一般用穷举攻击。 二、已知明文攻击(Known Plaintext Attack,KPA
Searchable Encryption for Healthcare Clouds:A Survey 翻译
weixin_41937620的博客
11-21 2018
自己学习用,原文翻译,侵权删 (2017) 摘要: 将医疗数据及其搜索服务外包给第三方云已经成为许多医疗实践的流行趋势,因为使用医疗云服务可以帮助降低电子健康记录(EHR)系统的成本,包括前端拥有成本和IT维护负担。医疗保健云应用程序需要具有以下两种功能的可搜索加密,以保护数据隐私和访问隐私:(1)医疗保健提供商需要与授权用户共享加密数据,并支持通过加密数据进行查询;(2)他们还需要保持查询关键字和相关搜索操作的私密性,这样医疗数据托管服务提供商就不能访问未经授权的内容,或跟踪和推断存储在医疗
CISP——密码学基本概念(术语)
honest_gg的博客
01-24 5139
密码学 研究信息系统安全保密的科学。由两个相互对立、相互斗争,而且又相辅相成、相互促进的分支科学所组成的,分别称为密码编码学CCryptography)和密码分析学(Cryptanalysis) 注:简单来说一个研究加密保密的,另一个研究破解分析的 相关术语 加密(Encryption):明文变成密文的过程。把可懂的语言变成不可懂的语言,这里的语言指的是人类能懂的语言和机器能懂的语言 解密(Decryption):加密的逆过程,即由密文恢复出原明文的过程。把不可懂的语言变...
RSA_ChosenCiphertextAttack:针对普通RSA的攻击(当RSA不填充时),并且能够发送任意密码供服务器解密
05-12
RSA_ChosenCiphertextAttack 攻击普通的RSA(当RSA不填充时),它能够发送任意密码供服务器解密。 example.rb 产生这种攻击的文件 第一个输出是密文,其标志** e mod N 第一个输入是将要解密的(int) 第二个输出是您输入的解密结果 rsachosenciphertextattack_api.rb 提供api进行攻击的文件 用法 a = RSACCA . new ( n , e , c ) #Input your n, e, c payload = a . chosencipher #send out your payload res = # recv the dec(payload) p a . exploit ( res ) #print out m in int p a . to_str #print out m in str
最新论文笔记(+10):Enabling Reliable Keyword Search in Encrypted Decentralized Storage with Fairness/TDSC18
cryptocxf的博客
07-02 1088
Enabling Reliable Keyword Search in Encrypted Decentralized Storage with Fairness (以公平方式在加密去中心化存储中实现可靠的关键字搜索) 在本篇论文中,作者利用智能合约在区块链上记录加密搜索的日志,并设计了一个公平的协议来处理争议和发放公平的付款,以动态高效的可搜索加密方案为例,保留加密加密的搜索能力,并加强了生态系统的健康,从而激励服务对等节点做出实际努力。 原文链接:Enabling Reliable Keyword S
学习笔记白帽子web安全11加密算法随机数
小雨的博客
07-17 893
web应用安全加密算法随机数
白帽子Web安全》| 学习笔记加密算法随机数
qq_42646885的博客
07-12 395
11加密算法随机数 1、加密算法 常见的加密算法通常分为分组加密算法与流密码加密算法。 分组加密算法基于“分组”(block)进行操作,根据算法的不同,每个分组的长度可能不同。分组加密算法的代表有:DES、3-DES、Blowfish、IDEA、AES等。 下图演示了一个使用CBC模式的分组加密算法的加密过程: 流密码加密算法,则每次只处理一个字节,密钥独立于消息之外两者通过...
白帽子Web安全学习笔记安全
Jessechanrui的博客
03-11 599
白帽子Web安全学习笔记 Web安全兴起的里程碑 1、SQL注入 2、XSS(跨站脚本攻击) 安全三要素: 1、机密性 要求保护数据内容不能泄露,加密是实现机密性的常用手段; 2、完整性 要求保护数据内容是完整的,没有被篡改,常见的保证一致性的技术手段是数字签名; 3、可用性 要求保护资源是随需而得的,常见的是拒绝服务攻击,简称DoS; 扩充...
完整精品课件 吉林大学数据结构与算法课程 由浅入深 解清晰 11 第十一 随机数(共84页).ppt
10-06
吉林大学精品数据结构课程,完整课程猎豹如下: 吉林大学数据结构与算法课程01 第一 绪论(共101页).ppt 吉林大学数据结构与算法课程02 第二 ...吉林大学数据结构与算法课程11 第十一 随机数(共84页).ppt
Go语言排序算法之插入排序与生成随机数详解
01-01
算法的学习非常重要,是检验一个程序员水平的重要标准。学习算法不能死记硬背,需要理解其中的思想,这样才能灵活应用到实际的开发中。 七大经典排序算法 插入排序 选择排序 冒泡排序 希尔排序 归并排序 堆...
STM8学习笔记---利用UID码实现开机产生随机数-综合文档
05-20
STM8学习笔记---利用UID码实现开机产生随机数
密码学实验之流密码算法:A5算法与RC4算法加密流程和python代码实现
08-06
A5算法是一种流密码算法,最初由欧洲电信标准协会(ETSI)用于第二代(2G)移动通信系统中的GSM(Global System for Mobile Communications)网络。A5算法用于对语音通信进行加密,以保护用户的通信隐私和安全。 A5...
Java随机数算法原理与实现方法实例详解
08-29
主要介绍了Java随机数算法原理与实现方法,简单分析了随机数算法的原理并结合具体实例形式给出了java编程计算随机数的具体操作技巧,需要的朋友可以参考下
密码学原理_学习笔记
大葱的田地
09-12 1484
密码学原理学习笔记(持续更新)
Gartner发布电信运营商应对持续变化的网络安全环境指南:现代云安全与网络安全的五大核心挑战
lurenjia404的博客
05-30 566
所有组织的云和网络都面临着高级威胁。作为网络安全的关键参与者,电信运营商的 CIO 需要了解行业面临的挑战,并了解应采用哪些解决方案来实现方法的现代化。
基于飞腾 D2000 8 核+ 32G DDR+板载 6 千兆电口+ 4 千兆光口高性能网络安全主板
最新发布
YEYUANGEN的专栏
06-03 944
指令,加速网络数据运算,可广泛应用于边缘计算网关、入侵检测、默认采用网讯 WX1860A4+YT8521。加速引擎,支持单精度、双精度浮点运算。4-2666 内存,芯片内置国密。、网络监控、安全审计等应用领域。4-2666 内存,最大可支持。DDR4-2666MHz,采用。默认采用网讯 WX1860A4。默认采用网讯 WX1860A2。300*195mm(长*宽)路看门狗功能(CPU 内置)PCIe3.0(默认是。GPIO(可选单片机出。台处理器,支持双通道。bypass(可选)M.2 SSD,支持。
【网络安全的神秘世界】使用vulhub搭建漏洞测试靶场
weixin_54750312的博客
05-31 359
Vulhub是一个基于docker和的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。
【网络安全的神秘世界】在win11搭建pikachu靶场
weixin_54750312的博客
05-31 772
这个错误发生在mysql 5.7 版本及以上版本会出现的问题,在mysql5.7版本默认的sql配置是:sql_mode=“ONLY_FULL_GROUP_BY”,这个配置严格执行了"SQL92标准",很多从5.6升级到5.7时,为了语法兼容,大部分都会选择调整sql_mode,使其保持跟5.6一致,为了尽量兼容程序。访问http://pikachu/install.php,这是pikachu自带的初始化数据库的php文件。ok,重新访问首页(index.php),进行测试,成功解决。点击“安装/初始化”
加密算法随机数发生器
09-09
加密算法中的随机数发生器被称为随机数生成器(Random Number Generator,简称RNG)。RNG在加密过程中起着至关重要的作用,它负责生成随机数,用于加密算法中的密钥生成、初始化向量(IV)等。一个好的随机数发生器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值