網(wǎng)絡(luò)工程師:加密概念和PKI基礎(chǔ)知識

字號:

加密是通過Intranet、Extranet和Internet進(jìn)行安全的信息交換的基礎(chǔ)。從業(yè)務(wù)的角度來看,通過加密實(shí)現(xiàn)的安全功能包括:身份驗(yàn)證,使收件人確信發(fā)件人就是他或她所聲明的那個人;機(jī)密性,確保只有預(yù)期的收件人能夠閱讀郵件;以及完整性,確保郵件在傳輸過程中沒有被更改。從技術(shù)的角度來看,加密是利用數(shù)學(xué)方法將郵件轉(zhuǎn)換為不可讀格式從而達(dá)到保護(hù)數(shù)據(jù)的目的的一門科學(xué)。
    加密概念
    加密是通過Intranet、Extr anet和Internet進(jìn)行安全的信息交換的基礎(chǔ)。從業(yè)務(wù)的角度來看,通過加密實(shí)現(xiàn)的安全功能包括:身份驗(yàn)證,使收件人確信發(fā)件人就是他或她所聲明的那個人;機(jī)密性,確保只有預(yù)期的收件人能夠閱讀郵件;以及完整性,確保郵件在傳輸過程中沒有被更改。從技術(shù)的角度來看,加密是利用數(shù)學(xué)方法將郵件轉(zhuǎn)換為不可讀格式從而達(dá)到保護(hù)數(shù)據(jù)的目的的一門科學(xué)。
    本文將介紹下列加密概念:
    對稱密鑰加密:一個密鑰
    公鑰加密:兩個密鑰
    單向散列算法
    數(shù)字簽名:結(jié)合使用公鑰與散列
    密鑰交換:結(jié)合使用對稱密鑰與公鑰
    對稱密鑰加密:一個密鑰
    對稱密鑰加密,也叫做共享密鑰加密或機(jī)密密鑰加密,使用發(fā)件人和收件人共同擁有的單個密鑰。這種密鑰既用于加密,也用于解密,叫做機(jī)密密鑰(也稱為對稱密鑰或會話密鑰)。對稱密鑰加密是加密大量數(shù)據(jù)的一種行之有效的方法。
    對稱密鑰加密有許多種算法,但所有這些算法都有一個共同的目的---可以還原的方式將明文(未加密的數(shù)據(jù))轉(zhuǎn)換為暗文。暗文使用加密密鑰編碼,對于沒有解密密鑰的任何人來說它都是沒有意義的。由于對稱密鑰加密在加密和解密時使用相同的密鑰,所以這種加密過程的安全性取決于是否有未經(jīng)授權(quán)的人獲得了對稱密鑰。這就是它為什么也叫做機(jī)密密鑰加密的原因。希望使用對稱密鑰加密通信的雙方,在交換加密數(shù)據(jù)之前必須先安全地交換密鑰。
    衡量對稱算法優(yōu)劣的主要尺度是其密鑰的長度。密鑰越長,在找到解密數(shù)據(jù)所需的正確密鑰之前必須測試的密鑰數(shù)量就越多。需要測試的密鑰越多,*這種算法就越困難。有了好的加密算法和足夠長的密鑰,如果有人想在一段實(shí)際可行的時間內(nèi)逆轉(zhuǎn)轉(zhuǎn)換過程,并從暗文中推導(dǎo)出明文,從計(jì)算的角度來講,這種做法是行不通的。
    公鑰加密:兩個密鑰
    公鑰加密使用兩個密鑰:一個公鑰和一個私鑰,這兩個密鑰在數(shù)學(xué)上是相關(guān)的。為了與對稱密鑰加密相對照,公鑰加密有時也叫做不對稱密鑰加密。在公鑰加密中,公鑰可在通信雙方之間公開傳遞,或在公用儲備庫中發(fā)布,但相關(guān)的私鑰是保密的。只有使用私鑰才能解密用公鑰加密的數(shù)據(jù)。使用私鑰加密的數(shù)據(jù)只能用公鑰解密。與對稱密鑰加密相似,公鑰加密也有許多種算法。然而,對稱密鑰和公鑰算法在設(shè)計(jì)上并無相似之處。您可以在程序內(nèi)部使用一種對稱算法替換另一種,而變化卻不大,因?yàn)樗鼈兊墓ぷ鞣绞绞窍嗤?。而另一方面,不同公鑰算法的工作方式卻完全不同,因此它們不可互換。公鑰算法是復(fù)雜的數(shù)學(xué)方程式,使用十分大的數(shù)字。公鑰算法的主要局限在于,這種加密形式的速度相對較低。實(shí)際上,通常僅在關(guān)鍵時刻才使用公鑰算法,如在實(shí)體之間交換對稱密鑰時,或者在簽署一封郵件的散列時(散列是通過應(yīng)用一種單向數(shù)學(xué)函數(shù)獲得的一個定長結(jié)果,對于數(shù)據(jù)而言,叫做散列算法)。將公鑰加密與其它加密形式(如對稱密鑰加密)結(jié)合使用,可以優(yōu)化性能。公鑰加密提供了一種有效的方法,可用來把為大量數(shù)據(jù)執(zhí)行對稱加密時使用的機(jī)密密鑰發(fā)送給某人。也可以將公鑰加密與散列算法結(jié)合使用以生成數(shù)字簽名。
    將公鑰加密用于數(shù)字簽名
    數(shù)字簽名是郵件、文件或其它數(shù)字編碼信息的發(fā)件人將他們的身份與信息綁定在一起(即為信息提供簽名)的方法。對信息進(jìn)行數(shù)字簽名的過程,需要將信息與由發(fā)件人掌握的秘密信息一起轉(zhuǎn)換為叫做簽名的標(biāo)記。數(shù)字簽名用于公鑰環(huán)境中,它通過驗(yàn)證發(fā)件人確實(shí)是他或她所聲明的那個人,并確認(rèn)收到的郵件與發(fā)送的郵件完全相同,來幫助確保電子商務(wù)交易的安全。通常,數(shù)字簽名用于以明文(如電子郵件)分發(fā)數(shù)據(jù)的情形。在這種情況下,當(dāng)郵件本身的敏感性可能無法保證加密的安全性時,確保數(shù)據(jù)處于其原始格式且并非由假冒者發(fā)送,是非常重要的。