目录
- 加密技术
- 对称加密算法
- 非对称加密算法
- 认证技术
- PKI基本构成部分
- 数字签名
- 例题部分
加密技术
加密技术是最常用的安全保密手段,其中密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种,相应的,对数据加密的技术分为对称加密(私人密钥加密)和对称密钥加密(公开密钥加密)。
对称加密算法
算法 | 说明 |
数据加密标准(DES) | 主要采用替换和移位的方法加密 |
三重DES(3DES,又称TDEA) | 在DES的基础上采用三重DES,效果相当于将密钥加密的长度加倍 |
RC-5 | RC-5是在RCF2040中定义的,RSA数据安全公司的很多产品都在使用RC-5 |
国际数据加密算法(IDEA) | 在DES算法的基础上发展起来的,类型类似于三重DES |
高级加密标准(AES) | 基于排列和置换运算。排列是对数据重新进行安排,置换是将一个数据单元替换为另一个数据单元 |
非对称加密算法
非对称加密算法与对称加密算法不同,非对称加密算法需要连哥哥密钥:公开密钥和私有密钥。两者是一对,如果公开密钥对数据进行加密,只有对应的私有密钥才能解密;如果用私有密钥对数据进行加密,只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法被称为非对称加密算法。非对称加密算法有两个不同的体制,
认证技术
加密使用加密算法对数据进行加密,加密可防止数据泄露,但并不能防止对数据的破坏。而认证可以对数据进行正确性和完整性检查。认证技术有两种,一种是身份验证,二是数字签名。
所有与数字证书相关的概念和技术,统称为公钥基础设施(PKI,Public Key Infrastructure)
PKI基本构成部分
构成 | 说明 |
认证机构 | 即数字证书的申请签发机关(CA) |
数字证书库 | 存储已签发的数字证书即公钥 |
密钥备份及恢复系统 | 用户如果丢失密钥,将无法对数据进行解密,为避免这种情况,PKI提供了备份和恢复密钥的机制 |
证书作废系统 | 证书在有效期以内也存在被作废的可能,原因是密钥介质丢失或用户身份变更等。为实现这一点,PKI提供证书作废系统 |
应用接口 | 一个完整的PKI必须提供良好的应用接口系统,使各种应用能够以安全、抑制、可信的方式与PKI交互,确保安全网络环境的完整性和易用性 |
数字签名
数字签名的主要过程:
- 信息发送者使用一个单项散列函数(Hash函数)对信息生成信息摘要;
- 信息发送者使用自己的私钥签名信息摘要;
- 信息发送者把信息本身和已签名的信息摘要一起发送出去;
- 信息接收者使用与发送者相同的单项散列函数(Hash函数)对接收的信息生成新的信息摘要,再使用发送者的公钥对信息进行验证,来确认信息发送者的身份和信息是否被修改。
数字加密的主要过程:
- 当信息发送者需要发送信息时,首先生成一对密钥,用该对密钥加密要发送的报文;
- 信息发送者用信息接收者的公钥加密上述对称的密钥;
- 信息发送者将上述两个步骤的结果集合在一起传给信息接收者,称为数字信封;
- 信息接收者使用自己的私钥解密被加密的对称密钥,再用此对称密钥解密被发送方加密的密文,得到真正的报文。
例题部分
解析:S作为发送者要对发送的信息用S的私钥进行数字签名,T是接收者,要用发送者S的公钥来验证信息的真实性。这是一道比较经典的题,完美的呈现了加密和认证的过程。
解析:要验证网站的真伪,其实就是用CA的公钥来验证CA的私钥,因为数字签名就是用CA的私钥加密得来的,用私钥加密或者是签名的证书,用它的公钥就能进行解密。如果能验证得开说明验证成功了网站的数字证书,这样就能验证网站的真伪。
解析:这道题跟上面验证网站的真伪有异曲同工之妙,这道题还是验证CA的数字证书来验证数字证书的真伪,在上一题也提到了,数字签名是用CA的私钥加密得来的,用私钥加密或者是签名的证书,用它的公钥就能进行解密,所以这道题还是选CA的公钥。
解析:从CA处获取的数字证书要用CA的私钥进行数字签名。
解析:第一空还是用CA的公钥来验证数字证书的真伪,验证M的真实性,因为消息M是用户A带数字签名发出的,数字签名是发送方A的私钥进行的签名,所以要用A的公钥来验证消息的真假。
解析:我们先看一下数字签名怎样确保消息不可否认,因为数字签名使用发送方的私钥来进行签名的,接收方需要用发送方的公钥来进行验证,如果验证成功,就肯定消息是发送方发送的,不能否认,因为只有发送方才有私钥。
用数字证书来对用户身份进行验证,因为一开始用户把个人信息和公钥交给CA,然后CA交给用户数字证书。