加密技术和PKI系统

对称加密VS 非对称加密

 

对称加密技术：

●DES：数据加密标准算法（Data Encryption Standard），主要采用替换和移位的方法加密，用56位密钥对64位二进制数据块进行加密。

●TDES : 在DES上采用三重DES，用两个密钥K1和K2，通过K1加密，K2解密，K1再加密实现。

●RC-5：采用基本变换数据相依旋转（Data-DependentRotations）方法，即一个中间的字是另一个中间的低位所决定的循环移位结果，以提高密码强度

●IDEA：国际数据加密算法（International Data Encryption Adleman），类似于TDES

●AES：高级加密标准（Advanced Encryption Standard），基于排列和置换运算。

 

非对称加密技术：

●RSA：公钥加密算法，目前最有影响力的公钥加密算法，它能够抵抗到目前为止已知的绝大多数密码攻击。

●ECC：椭圆加密算法技术，是目前已知的公钥体制中，对每比特所提供加密强度最高的一种体制。

●ElGamal：较为常见的加密算法，它是基于公钥密码体制和椭圆曲线加密体系。

 

对称VS非对称

      对称加密是，加密和解密都是使用相同的密钥。和某些车锁一样，打开和关闭都是同一把钥匙。

      非对称加密是，需要两个成对的密钥，公钥和私钥。用其中一个加密，只能用另一个解密。打个比方，就像父母和孩子，如果爸爸把孩子惹哭了，只能妈妈把孩子哄好，如果妈妈把孩子惹哭了，只能爸爸把孩子哄好。

 

 

非对称加密的应用

      由于非对称加密产生公钥和私钥的这个特性，可以演化出两个模型。

      一个是「加密模型」，另一个是「认证模型」

 

      加密-发送消息：如果别人向我发送消息，用我的公钥对消息加密，那么只有我能用私钥对消息解密。这样一来，发送方可以容易的加密，其它人截获也无法破解。

      认证-确认身份：如果我们要签署文件，就用私钥对其加密，那么收到方通过公钥即可验证是否为本人签署。这样一来，接收方可以确认身份，发送方也不能对其发送过的内容抵赖，具有签名效果。

 

 

PKI系统

      一个完整的PKI系统必须具备权威认证机构（CA）、数字证书库、密钥备份及恢复系统、证书作废系统和应用接口（API）等基本组成部分。

 

基本组成部分

●权威认证机构：简称CA（Certificate Authority），是PKI的核心组成部分，是数字证书的签发机构。　

●数字证书库：（1）证书是公开密钥体制的一种密钥管理媒介。它是网络环境中的一种身份证，用于证明某一主体的身份以及其公开密钥的合法性。（2）证书库是证书的集中存放地，供广大公众进行开放式查询（CA的数字签名保证了证书的合法性和权威性）。

●密钥备份及恢复系统：如果用户丢失了密钥，会造成已经加密的文件无法解密，引起数据丢失，为了避免这种情况，PKI提供密钥备份及恢复机制。

●证书作废系统：有时因为用户身份变更或者密钥遗失，需要将证书停止使用，所以提供证书作废机制。

●PKI应用接口系统：PKI应用接口系统是为各种各样的应用提供安全、一致、可信任的方式与PKI交互，确保所建立起来的网络环境安全可信，并降低管理成本。

 

工作原理

       现在假设客户A向银行B传送数字信息，为了保证信息传送的真实性、完整性和不可否认性，需要对要传送的信息进行数字加密和数字签名，其传送过程如下：

 

❶客户A准备好要传送的数字信息（明文）。（准备明文）

❷客户A对数字信息进行哈希（hash）运算，得到一个信息摘要。（准备摘要）

❸客户A用自己的私钥（SK）对信息摘要进行加密得到客户A的数字签名，并将其附在数字信息上。　（用私钥对数字信息进行数字签名）　

❹客户A随机产生一个加密密钥（DES密钥），并用此密钥对要发送的信息进行加密，形成密文。 （生成密文）

❺客户A用双方共有的公钥（PK）对刚才随机产生的加密密钥进行加密，将加密后的DES密钥连同密文一起传送给乙。（用公钥对DES密钥进行加密）　　

❻银行B收到客户A传送过来的密文和加过密的DES密钥，先用自己的私钥（SK）对加密的DES密钥进行解密，得到DES密钥。（用私钥对DES密钥解密）　　

❼银行B然后用DES密钥对收到的密文进行解密，得到明文的数字信息，然后将DES密钥抛弃（即DES密钥作废）。（解密文）　　

❽银行B用双方共有的公钥（PK）对客户A的数字签名进行解密，得到信息摘要。银行B用相同的hash算法对收到的明文再进行一次hash运算，得到一个新的信息摘要。　　

（用公钥解密数字签名）

❾银行B将收到的信息摘要和新产生的信息摘要进行比较，如果一致，说明收到的信息没有被修改过。（对比信息摘要和信息）

 

注：本段工作原理部分引用博客 http://wlh269.iteye.com/blog/733398

 

 

总结

      对称加密和非对称加密都各有所长。

      对称加密的效率很高，但是在解决互联网信息安全传输不是很好。

      而非对称加密技术很好的解决了互联网上信息传输的安全问题，并在此技术上发展处PKI系统。

      关于这块知识，主要掌握对称和非对称技术的原理，同时应该清楚PKI系统的工作原理。