加密技术与PKI

1.对称加密

一个明文数据，使用对称算法（DES、3DES、）对明文数据加密，得到密文数据和一个56bit的共享密钥，对端先收到共享密钥，然后用共享密钥对密文数据解密，得到明文数据。

2.非对称加密

一个明文数据，使用对端公钥对数据进行（RSA）加密，得到密文数据，对端收到后，使用自己的私钥进行解密得到明文数据。不存在明文传输、不存在密钥生成和管理的问题、支持数字签名和不可否认性。

3.数据信封

实质是对称加密+非对称加密

一个明文数据，先使用对称加密得到密文数据和56bit的共享密钥，再使用对端公钥对共享密钥进行RSA加密，得到一个密钥包，对端收到密钥包和加密数据，使用私钥对密钥包进行解密，得到共享密钥，使用共享密钥对密文数据解密，得到明文数据。

4.数字签名

目的为了验证数据的完整性、源认证、不可否认性。

明文数据，使用散列函数（HASH）计算出一个HASH（MD5值）值，使用对端私钥加对这个HASH值加密，得到的即是数字签名。对端收到后，使用自己公钥解密，得到这个HASH值，再和已经得到的明文数据计算出的另一个HASH值进行比较，相等则表明数据完整，又是私钥加密，可保证源认证和不可否认性；否则丢弃。

5.数字证书

是一个CA数字签名的文件，包含公钥和身份信息。

自签名证书（根证书）、CA证书、本地证书，设备本地证书。

6.PKI（公钥基础设施）工作流程

目的验证公钥的真实性

先向CA申请根证书，并安装根证书（验证对端发送的设备证书）。然后申请自己的设备证书，并安装。再和对端进行交换设备证书，使用CA证书验证对端设备证书，成功后，可证明公钥的真实性。