加密和证书1、概念1对称加密和非对称加密1.对称加密
对称加密即加密解密都使用相同的秘密密钥,安全级别较低,现在为了和旧程序的互换性以外不使用对称加密。
常见的对称加密三次加密(DES )、高级加密(AES )。 其中,AES加密由于使用了密码分组技术,效果很好。
2.不对称加密
非对称加密PKI(publickeyinfrastructure )目前最常用。 该加密有两个私钥,分别是公钥和私钥。 公钥进行加密和验证,私钥进行解密和签名。
2私钥、公钥和私钥在公钥体系中为私钥=公钥私钥。 生成时成对生成。 其中一个可以作为公钥,发送到公共场所。 私钥必须自己保存,不要泄露。
3数字签名、证书和CA数字签名可以通过使用私钥签名信息摘要来被另一方(拥有公钥的人)解密并可以用类似摘要算法进行比较。 如果摘要相同,则信息没有被篡改。
4如果将密码分组,将密码分组,密码的解读就会变得困难。
AES使用了密码分组技术。
常见的是电子密码本-电子码簿(ECB )、密码组链接-CBC (密码块检查)。 其中,ECB模式可以进行重复攻击,如果各段的密码有重复值,则可以将该重复值作为已知密码用于攻击,尝试解密密码。 由于CBC模式为链式,因此将前一块的密码值作为自身块的密码值的盐进行再加密,因此无法受到重复攻击。
5加盐6指纹和签名指纹是证书所有信息的哈希值,可以通过指纹验证数据是否被篡改。
签名:用私钥加密指纹,即签名。 签名后,验证者必须用公钥验证签名。
通常,签名由CA执行,CA用CA的私钥加密指纹,验证方用CA的公钥解密,对证书的其他信息进行散列并与指纹核对。 公钥所有者发送的信息是保密的,不能从外部截获信息。 私钥所有者发送的信息不保密(因为任何人都可以获得公钥)。 在PKI体系中,秘密数据是单向的,公钥持有方-私钥持有方的数据是秘密的。 一般而言,使用这种单向秘密保持,约定另一个对称加密的私钥(DH算法),并用于随后的通信(对称加密的私钥是高效的且双向秘密保持的)。 私钥持有者可以签名,但任何人的签名都不是别人信任的。 一般来说,只有CA的签名才会被信任。 二、过程1 .百度资料1 .贴心的棉花糖发送的数字信息(明文);
2 .喜欢的棉花糖对数字信息进行哈希运算,得到信息摘要;
3 .喜欢的棉花糖用自己的私钥加密信息摘要,得到喜欢的棉花糖的数字签名,并将其附加在数字信息上;
4 .喜欢的棉花糖随机生成加密密钥,用这个密码加密发送的信息,制作密文;
5 .喜欢的棉花糖用Bob的公钥加密刚才随机生成的加密密钥,将加密的DES密钥与密文一起发送给Bob;
6 .鲍勃接收从他喜欢的棉花糖发送的密文和加密的DES密钥,首先用他/她的私钥解密加密的DES密钥,然后获得他喜欢的棉花糖随机生成的加密密钥;
7 .鲍勃随后用随机密钥对收到的密文进行解密以获得明文数字信息,并丢弃随机密钥;
8.Bob用喜欢的棉花糖公钥解密喜欢的棉花糖的数字签名,获得信息摘要;
9 .鲍勃对收到的明文用同一哈希算法再进行一次哈希运算,得到新的信息摘要;
10 .鲍勃将收到的信息摘要与新生成的信息摘要进行比较,如果一致,则表明收到的信息没有修改。
2 .其他资料来源: https://www.zhi Hu.com/question/52493697
步骤1 :浏览器与某宝建立TCP连接
步骤2 :服务器将显示一个页面,提示您安装数字证书。 不安装的话,接下来就不好了
第三步:浏览器需要认证某个宝物是真的服务器,服务器向其发送了自己的数字证书。 一句话:某宝的数字证书从哪里来? 某宝自身的认证中心简称CA(certificateauthority ),ca向某宝颁发了证书。 对于这个证书,如果证书按原样传递给某个宝,例如有发行者证书用途的宝的公钥某个宝的加密算法某个宝的散列算法证书的有效期限等,在传输过程中有人篡改了这个证书,那么该证书有什么权限呢? 简单来说,就是将上述内容散列一次,得到固定长度(例如128位的散列,然后用CA的密钥加密,就得到数字签名,附加在上述证书的末尾,传输给某个宝物。 想象一下,如果不加密该散列,任何人都可以篡改证书,然后计算散列并将其传递给证书后面的宝藏,那么某个宝藏就无法知道是否有人篡改了。 用CA秘密密钥加密后,生成类似人体指纹的签名,篡改证书的尝试被数字签名发现。
步骤4 )浏览器接受某个宝的数字证书,根据在步骤2中得到的CA公开密钥的值,可以获得对数字证书末尾的数字签名进行解密(用CA秘密密钥加密、CA公开密钥可以解密,将其称为非对称加密)的根源
的HASHs然后自己也按照证书的HASH算法,自己也计算一个HASHc,如果HASHc== HASHs,则认证通过,否则认证失败。假设认证成功,否则故事无法编下去了…第五步:双方会运行 Diffie Hellman 算法,简称 DH算法。通俗地说:双方会协商一个master-key,这个master-key 不会在网络上传输、交换,它们独立计算出来的,其值是相同的,只有它们自己双方知道,任何第三方不会知道,俗称的天不知,地不知,你知,我知。然后以master-key推导出 session-key,用于双方SSL数据流的加密/解密,采用对称加密,保证数据不被偷窥,加密算法一般用AES。以master-key推导出 hash-key,用于数据完整性检查(Integrity Check Verification)的加密密钥,HASH算法一般有:MD5、SHA,通俗滴说,保证数据不被篡改。
第六步:然后就可以正常发送订单了,用HASH key 生成一个MAC( Message Authentication Code),附在HTTP报文的后面,然后用session key 加密所有数据(HTTP + MAC),然后发送出去
第七步:服务器先用session key 解密数据,得到HTTP + MAC,然后自己用相同的算法计算自己的MAC,如果两个MAC相等,则数据没有被篡改。第八步:所有购物安全无误地完成,手下给zxdzfj买了一件神秘礼物,一件COS Play装
3.自己的理解