- 技术路线
- Hash等摘要算法-->数字摘要
- 对称和非对称加密技术-->数字信封
- Hash等摘要算法、对称和非对称加密技术-->数字签名
- 数字签名和CA-->数字证书
- 数字信封、数字证书和TCP-->SSL/TLS
- 对称加密和非对称加密
- 对称加密也叫作私钥加密,因为加解密用的密钥是一样的,所以要保密
- 效率高,通常加密大规模的数据如正文内容。
- 最常见的非对称加密算法是RSA,512或1024位
- 非对称加密也叫作公钥加密,因为加解密用的密钥是不一样的,但是是一对,一起生成的,一个自己留着用来解密的叫做私钥,一个发布给大家用来加密的叫做公钥。
- 效率低,比对称加密慢上千几千倍,通常用来加密摘要等小量数据,或者解决密钥分发的问题
- 常见的对称加密算法有DES、3DES、RC-5(RSA数据安全公司的很多产品都用了它)
- 这两种算法经常结合在一起使用
- 对称加密也叫作私钥加密,因为加解密用的密钥是一样的,所以要保密
- 数字摘要
- MD5:密钥长度为128
- SHA:密钥为160位,较长,安全性较高
- 数字信封和数字签名
- 数字信封(保密性,保证只有对方可以解密消息内容): 发送方用对称密钥加密内容,然后用接收方的非对称加密的公钥来加密这个对称密钥,这两者一起作为数字信封给接收方,然后接收方用自己的非对称加密的私钥解密得到对称加密的密钥,再解密内容即可。
- 数字签名(完整性和可抵赖性,验证这个消息真的是特定的人发送的):先生成数字摘要,然后用发送者的非对称加密私钥对摘要进行加密,然后把它发送给接收者,接收者用发送者的非对称加密公钥进行解密,成功就说明这个消息一定是该发送者发送的。
- 对比(两者在发送时加密所使用的密钥不同):从发送者的角度看(虽然HTTPS等是一个交互的过程,但可以拆开看,因为每一次都是一个独立的要保证安全性的过程),数字信封用别人的公钥加密信息以保证只有对方可以拿到(也就是说是多个发送者对应一个接收者);数字签名用自己的私钥加密信息以保证是自己亲自发送的、别人可以用公钥验证(也就是说是一个发送者对应多个接收者)。
- 数字证书和SSL/TLS
- 数字证书包含主体名、CA提供的服务端的数字签名(为服务端背书,帮他签字)、服务端的公钥等信息。
- 同时达到了数字签名和数字信封的效果,并且节省了两组公私钥对(如果不让客户端和服务端的公私钥对同时承担这两项工作的话,就需要服务端和客户端各两组公私钥对了,一组用来数字信封,一组用来数字签名)。
- 结合了CA、对称和非对称加密、数字摘要等技术于一体。
- 这个过程中存在三组公私钥对和一个对称加解密密钥
- CA的公钥(用于验证服务端提供的数字证书(其实是验证其中的签名),需要安装在客户端,如操作系统、浏览器或特定软件的要求的位置以供使用)和CA的私钥(用于验证申请证书的服务端的信息和服务端提供的自己的公钥,对这些信息生成数字证书中的数字签名,也就是说证书中已经是服务端的公钥了,并且通过客户端验证后就说该公钥是有效的确实是这个服务端的)
- 服务端的公私钥对(起到解密客户端数字信封和签服务端数字签名的作用)。私钥自己用来解密客户端发来的数据(数字信封),也用来发送给客户端时进行数字签名。公钥已经放在服务端的数字证书中一起提供给客户端,让客户端用来加密发送给服务端的数据,也让客户端用来在收到数据时验证服务端的数字签名。
- 客户端的公私钥对(起到解密服务端数字信封和签客户端数字签名的作用)。私钥自己用来解密服务端发来的数据(数字信封),也用来发送给服务端时进行数字签名。公钥在握手过程中提供给服务端,让服务端用来加密发送给客户端的数据,也让服务端用来在收到数据时验证客户端的数字签名。
- 对称加密密钥用于加解密最终的大量交互数据,也就是真正的消息内容
- 常见安全协议
- SSL
- 提供三方面的服务
- 用户和服务器的合法性认证(数字签名)
- 加密数据以隐藏被传送的数据(加解密技术)
- 保护数据的完整性(数字摘要)
- 提供三方面的服务
- SET
- 信用卡
- PGP
- 用于邮件,基于RSA公钥加密体系,可以防止非授权者阅读,也可以加上数字签名让收件人确信发件人。这个过程类似HTTPS。
- SSL
- Windows安全相关
- IE浏览器的区域设置按安全级别从低到高是:Internet区域、Intranet区域、可信任站点区域、受限站点区域。
- 用户组按默认权限从低到高是:Everyone、Users、power users、Administrators。
- 本地策略中有很多安全设置