数字加密技术与数字认证技术

一、数字加密技术

现有信息发送者A,信息接收者B。如何保证B接收到的信息不泄露?

1、对称加密技术

加密和解密都使用同一把私匙。信息发送者A和信息接收者B都保存有私钥。

密钥持有情况:A、B两端都持有私钥。

缺点:任何一端泄露了私钥都会导致信息泄露。

2、非对称加密技术

  1. 消息接收者B生成一对密钥,分为公钥和私钥。
  2. B将公钥发送给信息发送者A,私钥保存在B本地。
  3. A收到公钥后,使用公钥对发送的信息加密,将密文发送给B。
  4. B收到密文后,使用本地保存的私钥解密得到明文。

密钥持有情况:B持有公钥和私钥,A仅持有公钥。

特点:

  1. 私钥只保存在生成密钥的一方,相比对称加密技术,降低了私钥泄露的概率。
  2. 非对称加密技术只能保证密钥提供方的的数据安全。此处由B提供密钥,只能保证B接收到的信息不会泄露。若B发送信息,A接受信息,则A需要再生成一对密钥,才能保证A接收到的信息不会泄露。即需要两对非对称密钥才能保障通信双方的信息不会泄露。

3、数字信封技术

        数字信封 = 对称加密 + 非对称加密,即数字信封需要使用两对密钥。对称密钥由A、B任意一方提供即可,非对称密钥由消息接收方B提供。

密钥生成情况:(0代表私钥,1代表公钥)

  • A生成对称密钥,只有私钥A0
  • B生成非对称密钥,包括私钥B0和公钥B1

密钥持有情况:

  • A持有A0,B1
  • B持有A0,B0,B1

加密过程:

  1. A先使用A0对发送的信息加密形成1层密文;再使用B1对密文进行二次加密形成2层密文。A将2层密文发送给B。
  2. B接收2层密文,先用B0进行1层解密,再用A0进行二次解密得到明文。

特点:

        信息经过两次加密,除非两把私钥同时泄露,否则信息不会泄露。进一步降低了信息泄露的风险。

4、补充

  1. 公钥是公开的,任何人都可以获取的密钥。
  2. 私钥是非公开的,只有特定用户才能持有的密钥。
  3. 不能以加解密的功能判断某密钥为公钥或私钥。

二、数字认证技术

1、数字签名

现有信息发送者A,信息接收者B。使用数字签名技术可以判断B接收到的信息是否被篡改过。

密钥生成情况:消息发送者A生成非对称密钥,包括私钥A0和公钥A1。

密钥持有情况:

  • A持有A0和A1。
  • B仅持有A1。

实现过程:

  1. 发送者A对明文进行hash处理形成hash摘要。使用私钥A0对摘要进行加密,将明文和加密后的摘要一起发送给信息接收者B。
  2. B接收到明文和加密后摘要后,使用公钥A1对摘要解密得到摘要1,然后对明文进行hash处理得到摘要2,对比两份摘要可以判断信息是否被篡改过。

注意:纯粹的数字签名技术,加解密都是针对hash摘要的,目的是判断信息是否被篡改过。信息本身以明文形式传输,存在信息泄露的问题。

2、认证中心CA

用户使用浏览器访问网站,如何保证用户访问到的是正确的网站而非钓鱼网站?

网站为了证明自己,可以向认证中心CA申请数字证书。网站将认证中心CA颁布的数字证书放在服务器上,用户使用的浏览器会自动验证数字证书的真实性。

认证中心CA是一个可靠的机构,CA会对申请证书的网站进行严格的审查,包括验证网站运营者的公司信息,资质等。钓鱼网站无法成功申请数字证书,且数字证书几乎无法被伪造。

密钥生成情况:

  • 网站生成一对非对称密钥,包括私钥web0、公钥web1。
  • CA认证中心生成一对非对称密钥,包括私钥CA0,公钥CA1。

密钥持有情况:

  • 网站持有web0和web1
  • CA持有CA0、CA1、web1
  • 用户持有web1、CA1

证书颁布过程:

  1. 网站运营者申请证书,将公钥web1发送给认证中心CA。
  2. 认证中心CA验证网站的资质,验证通过后给网站颁布数字证书。数字证书中包含CA的数字签名,网站的公钥web1等。
  3. 网站将证书放在服务器上,供用户浏览器器验证。
  4. 用户浏览器自动验证数字证书,验证通过后建立https连接。

补充:

        CA数字签名,即CA使用自身私钥CA0对证书的hash摘要进行加密。浏览器验证数字证书时,使用CA的公钥CA1对数字证书中携带的数字签名解密得到hash摘要1,对数字证书进行hash处理得到hash摘要2,对比两份摘要可以判断数字证书是否被串改过。

数字证书可以证明网站身份的依据:

  • 钓鱼网站无法通过正规途径申请到数字证书。
  • 钓鱼网站没有CA的私钥匙,无法生成CA数字签名。若钓鱼网站使用其他私钥伪造CA数字签名,浏览器使用CA公钥对签名解密会出现解密失败,从而辨别出伪造的数字证书。
  • 钓鱼网站想伪造证书,只能攻克认证中心CA,难度极大。
  • 大公司对数字证书的保管十分严密,窃取数字证书难度极大。

三、PKI技术

PKI(Public Key Infrastructure)即公共密钥基础设施。

PKI技术 = 数字加密技术 + 数字认证技术 + 认证中心CA

密钥生成情况:

  •         网站生成一对非对称密钥,包括私钥web0和公钥web1。
  •         客户端生成一对非对称密钥,包括私钥C0和公钥C1。
  •         认证中心CA生成一对非对称密钥,包括私钥CA0和公钥CA1。

密钥持有情况:

  • 私钥仅保存在本地,公钥可互相持有。

技术实现:

  1. 网站向认证中心CA申请数字证书。
  2. 认证中心CA使用自身私钥CA0生成数字签名,并颁布证书。
  3. 网站将数字证书保存在服务器上。
  4. 客户端使用CA1验证数字证书真伪,验证通过后开始与网站通信。
  5. 客户端欲发送信息,对信息进行hash处理形成hash摘要,使用自身的私钥C0对摘要加密,使用网站的公钥web1对信息加密形成密文。将加密的hash摘要和密文发送给网站。
  6. 网站接收到加密的hash摘要和密文,使用客户端的公钥C1对加密的hash摘要解密得到hash摘要1,使用自身私钥web0对密文解密得到明文,对明文进行hash处理得到hash摘要2,比较两份hash摘要判断信息是否被篡改过。
  7. 网站欲返回信息,对信息进行hash处理形成hash摘要,使用自身私钥web0对摘要加密,使用客户端的公钥C1对信息加密形成密文。将加密的hash摘要和密文发送给客户端。
  8. 客户端接收到加密的hash摘要和密文,使用网站的公钥web1对加密的hash摘要解密得到hash摘要1,使用自身私钥C0对密文解密得到明文,对明文进行hash处理得到hash摘要2,比较两份hash摘要判断信息是否被篡改过。

  • 12
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值