加密算法筆記

從古埃及的時(shí)候就用這種密碼學(xué)密鑰的長度越長，加密的可靠性就越強(qiáng)

密鑰是一組特定的字符串，是控制明文和密文轉(zhuǎn)換的唯一參數(shù)，起到“鑰匙”的作用

對稱加密算法：對數(shù)據(jù)進(jìn)行解密時(shí)使用的密鑰和加密使用的密鑰是完全相同的，也叫做私鑰算法

對稱密碼算法：不安全的算法  一定要保證密鑰安全性
優(yōu)點(diǎn):加密速度快，加密后的數(shù)據(jù)不會變大
缺點(diǎn):在秘鑰交換上存在問題

加密算法只告訴你算法參與n+n  密鑰n+2

對稱加密算法（私鑰算法）
DES:Data Encryption Standard（56bite長度加密）3DES(168bite長度加密)
AES:Advanced Encryption Standard（128/192/256bite長度加密）

公鑰管理
為了保護(hù)數(shù)據(jù)在網(wǎng)絡(luò)中安全傳輸，不被***者非法竊取和惡意篡改，發(fā)送方在發(fā)送數(shù)據(jù)之前需要對數(shù)據(jù)進(jìn)行加密處理，即通過一定算法，利用密鑰將明文數(shù)據(jù)換為密文數(shù)據(jù)；接收方接收到密文數(shù)據(jù)后，需要對其進(jìn)行解密處理，即通過一定的算法，利用密鑰將密文恢復(fù)為明文數(shù)據(jù)，以獲取原始數(shù)據(jù)

非對稱密鑰算法：數(shù)據(jù)加密和解密使用不同密鑰
非對稱密鑰算法中，加解密使用的密鑰一個(gè)是對外公開的公鑰，一個(gè)是由用戶密鑰保存的私鑰，從公鑰很難推算出私鑰

將明文加密時(shí)使用一個(gè)密鑰，這個(gè)密鑰俗稱公鑰，但對密文解密時(shí)，必須使用另外一個(gè)密鑰，這個(gè)密鑰俗稱私鑰，公鑰負(fù)責(zé)加密不負(fù)責(zé)解密，必須私鑰才能解密

非對稱加密算法
缺點(diǎn)：加密速度慢，加密后的數(shù)據(jù)會變大
用途：主要用來交換秘鑰等用非對稱加密算法
公鑰加密算法速度慢于私鑰加密算法

非對稱密鑰算法:RSA、DSA（數(shù)字簽名算法）、ECDSA

非對稱密鑰算法兩個(gè)主要用途:
1、對發(fā)送的數(shù)據(jù)進(jìn)行加/解密:發(fā)送者利用接收者公鑰對數(shù)據(jù)進(jìn)行加密，只有擁有對應(yīng)私鑰的接收者才能使用該私鑰對數(shù)據(jù)進(jìn)行解密，從而保證數(shù)據(jù)的機(jī)密性(×××)
2、對數(shù)據(jù)發(fā)送者的身份進(jìn)行認(rèn)證:SSH

當(dāng)數(shù)據(jù)在傳輸過程中，如果被劫持后修改了數(shù)據(jù)，通常數(shù)據(jù)接受者很難發(fā)現(xiàn)數(shù)據(jù)是否在中途被篡改了，每個(gè)數(shù)據(jù)包后面都有一個(gè)校驗(yàn)和，利用Hash算法給出值、然后收到數(shù)據(jù)包計(jì)算HASH值是否匹配、不匹配拒絕該數(shù)據(jù)包

Hash和加密之間的區(qū)別：完整性校驗(yàn)，驗(yàn)證數(shù)據(jù)的完整性

1、哈希算法往往被設(shè)計(jì)成生成具有相同長度的文本，而加密算法生成的文本長度與明文本身的長度有關(guān)
2、哈希算法是不可逆的，而加密算法是可逆的

Hash算法
Hash多用于認(rèn)證、認(rèn)證對等體雙方在相互認(rèn)證時(shí)、只需要交換密碼的Hash值即可
目前Hash算法:MD5(128bite長度的hash值)、SHA-1(128bite長度的hash值)

如果被保護(hù)數(shù)據(jù)僅僅用作比較驗(yàn)證，在以后不需要還原成明文形式，則使用哈希；如果被保護(hù)數(shù)據(jù)在以后需要被還原成明文，則需要使用加密

組合加解密過程也叫做數(shù)字信封
使用對稱加密算法進(jìn)行大批量的數(shù)據(jù)加密 ，每次產(chǎn)生一個(gè)新的隨機(jī)密鑰 （會話密鑰）使用非對稱加密算法的公鑰對會話密鑰進(jìn)行加密并傳遞，會話密鑰到達(dá)對端之后，用非對稱加密算法公鑰所對應(yīng)的私鑰進(jìn)行解密，得出會話密鑰，然后用對稱加密算法的私鑰對會話密鑰進(jìn)行解密，得出所要的明文數(shù)據(jù)

數(shù)字證書：相當(dāng)于網(wǎng)絡(luò)×××
數(shù)字簽名：自己的私鑰加密，自己的公鑰解密
數(shù)字簽名使用簽名方的私鑰對信息摘要進(jìn)行加密的一個(gè)過程
簽名過程中所得到的密文即稱為簽名信息
首先將明文信息通過hash算法計(jì)算出一個(gè)摘要，使用發(fā)送方的私鑰對摘要進(jìn)行加密，得到加密后的摘要，然后再將明文使用接收方的公鑰進(jìn)行加密，到達(dá)接收方時(shí)，使用接收方的私鑰對密文進(jìn)行解密，得到明文之后通過hash算法計(jì)算出摘要值，然后再將其加密后的摘要使用發(fā)送方的公鑰進(jìn)行解密，得出摘要值，如果相同則證明是發(fā)送方發(fā)送的。

數(shù)字簽名的功能：
1、保證信息傳輸?shù)耐暾?br/>2、發(fā)送者的身份認(rèn)證（原認(rèn)證）

本地證書為CA簽發(fā)給實(shí)體的數(shù)字證書；CA證書也稱為根證書
證書信任鏈
第1層是根證書（Thawte Premium Server CA）
第2層是Thawte 專門用來簽名的證書
第3層是Mozilla自己的證書

CA在受理證書請求、頒發(fā)證書、吊銷證書和發(fā)布證書作廢列表（CRL）時(shí)所采用的一套標(biāo)準(zhǔn)被稱為CA策略

PKI（Public Key Infrastructure）公鑰基礎(chǔ)設(shè)施:通過使用公開密鑰技術(shù)和數(shù)字證書來確保系統(tǒng)信息安全，并負(fù)責(zé)驗(yàn)證數(shù)字證書持有者身份的一種體系
通過簽發(fā)數(shù)字證書來綁定證書持有者的身份和相關(guān)的公開密鑰

PKI的工作過程
1、客戶端（PC）向CA服務(wù)器申請證書
2、RA（注冊機(jī)構(gòu)）審核實(shí)體身份，將實(shí)體身份信息和公開密鑰以數(shù)字簽名的方式發(fā)給CA（屬于CA服務(wù)器一部分）
3、CA驗(yàn)證數(shù)字簽名，同意實(shí)體的申請、頒發(fā)證書
4、RA注冊機(jī)構(gòu)接收CA返回的證書，發(fā)送到LDAP服務(wù)器以提供目錄瀏覽服務(wù)，并通知實(shí)體證書發(fā)行成功
5、客戶端（PC）獲取證書，利用該證書可以與其它客戶端（PC）使用加密、數(shù)字簽名進(jìn)行安全通信

6、終端撤銷自己的證書時(shí)，向CA提交申請，CA批準(zhǔn)撤銷證書，更新CRL，發(fā)布到LDAP服務(wù)器