通信加密技术不加密,不安全。 用明文将密码等内容传递给网络的简单加密(对称加密)有一定要传递秘密密钥的过程。 如果该过程不安全,在线传递私钥是昂贵的,如果不方便,如果传递私钥的过程中途被盗,所有后续内容都可以被第三方解密,消除非对称加密技术的概念,一次生成公私私钥。 用公钥加密的内容,不能用公钥解密,私钥类似; 只有一方可以加密,对方解密自己,用私钥加密消息,发送的话,对方可以用公钥解密。 ”该过程的网络传输可以监听,能够获取对外传输内容的对方可以用公钥加密、发送消息,自己用私钥解密。 ”网络监听不能用公钥解密。 在无法取得内容加密/解密处理的情况下,将消息的内容设为正整数m (将字符串设为unicode/ascii码) (发送侧算法处理,从正整数m计算正整数c的接收侧算法处理,将计算正整数c的正整数m按照编码号码即原始信息的内容RSA算法随机将2个不等的大素数) ) p,q ) n=p * qn变换为二进制数的全长。 称为私钥比特数,通常要求该比特数达到1024。 为了确保安全性(已知解密的最长700比特),算法计算两个e,d包) n,e作为公钥,并用私钥RSA算法补充包(n,d ) 公钥) n e )只能加密小于n整数的m的解决方案1 )将长消息分段的解决方案2 )首先对称加密, 缩短长度的https加密流程的大致流程(“client hello”消息)客户端通过发送“client hello”消息向服务器发出握手请求,该消息由客户端支持服务器可以选择的" server hello "消息:服务器发送" server hello "消息以响应客户端。 此消息包含数字证书、服务器选择的加密方法和" server random "随机字符串。 验证:客户端验证服务器发送的证书,验证对方的合法身份域名、证书有效期、签名等服务器端公钥“premaster secret”字符串:客户端使用另一个随机字符串“premaster secret” 服务器生成用私钥解密的“premaster”共享密钥:客户端和服务器使用客户端random、服务器random和premaster secret,并使用相同的算法生成相同的共享密钥KEY。 客户端就绪:客户端发送用共享密钥KEY加密的“已完成”信号。 服务器就绪:服务器发送用共享密钥KEY加密的“已完成”信号。 达成安全通信:握手完成,双方使用对称加密进行安全通信。 证书验证使用解密前的证书对象明文证书的内容服务端公钥证书的信息服务器的注册信息“数字签名”明文中的hash算法,计算hash,并比较解密后的hash vs自身计算出的hash。 如果内容发生更改,则两个混列不符合参考链路https://img 2018.cn blogs.com/blog/1169376/201910/1169376-201910006
证书申请在本地生成公钥/私钥并提交申请信息。 域名、公钥、申请人信息CA手动审核后,为了返回证书链,提高证书颁发效率根证书的使用方法简介:“各级证书都有签名值,根证书使用自己的根CA公钥验证自己的签名,中间证书的签名值也进行验证。 中间证书的公钥用于验证下一级服务器实体证书的签名值。 至此,信任链“https://img 2020.cn blogs.com/blog/1110857/202104/11110857-20210427234304719-1149954198.png证书链验证过程一次通过本地cng获取整个证书链”hash明文证书的内容, 比较解密值和散列值用本地CA公钥解密“中间证书”签名散列明文证书的内容,比较解密值和散列值,取出“中间证书”内容中的公钥,解密“服务器证书”签名; 对明文证书的内容进行散列,将解密值和散列值进行比较,取出“服务器证书”内容中的公钥,即服务器的公钥。 过程结束,证书安全存在什么风险,是由黑客自己生成公钥,用公钥注册签名,黑客主动信任私钥泄露且不可信的证书。 如果google收到用户向google发出的请求时,黑客会拦截该请求,并返回自己申请的证书,然后用户验证并通过证书,如果目标是真正的中介与google建立了SSL,那么就可以窃取/篡改通信内容黑客拿到网站证书后,拦截/篡改双方通信内容的法国/美国情报局可以故意伪造证书窃取数据。 证书透明度程序在生成证书时如何安全,同时生成唯一的id。 可以通过区块链方式在全网广播全网进行审计的证书颁发谷歌在此基础上,提供了浏览器查询某个证书是否伪造SSL远程登录结论的查询服务。如果第一次连接时有中介,安全步骤客户端发送登录请求,服务端返回公钥客户端用公钥加密登录的用户名/密码服务端认证,不能返回私钥
加密后的内容客户端用公钥解密 说明:一般在步骤2的时候,会出现如下内容。 The authenticity of host 'host (1.1.1.1.1)' can't be established. RSA key fingerprint is 98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d. Are you sure you want to continue connecting (yes/no)? 这个内容里的中间一段就是远程机器的公钥,需要人工校验改公钥是否匹配因为这里是会被篡改的, 总结: 通信安全演进过程说明 1. 明文传输 - 可以窃听,可以中间人修改2. 对称加密 - 通信过程安全 - 但是有一个前提:第一次通信时”传递秘钥“过程没有被窃听3. 非对称加密 - 双方对外广播公钥;发送消息时,用对方的公钥加密;接受消息时,用自己的私钥解密 - 不足:可以防窃听,不能防冒充;发消息时只需要接收方公钥,没有提供发送方自己身份证明的环节4. 数字签名 - jzdxs向wndkf发送消息时,用自己的私钥对消息内容计算出一个”签名“,该签名只有用jzdxs的公钥才能解析出来 - wndkf收到消息后,先用jzdxs的公钥解析签名,能成功就是真的jzdxs - 遗留问题 1. 签名的计算消耗较大5. 内容摘要 - 对消息内容,先计算出一个摘要(Hash等方式) - 对 较简介,且无实际含义的"摘要",计算”签名“ - 接收方: 1. 取出”签名“,公钥解密 计算出”摘要1“ 2. 去除明文的”正文“,hash计算出”摘要2“ 3. 比较两份摘要,相同则数据正常 - 遗留问题 1. 需要有一个明文的正文;可以防篡改,不能防窃听了 2. 三方可以广播自己的公钥,冒充真正的jzdxs的公钥 6. 数字证书 - 通过公认的机构来登记注册 公钥 - 身份 的关系 - 证书颁布机构(CA)将 wndkf的注册信息 用CA的私钥进行签名,”注册信息“+“签名”整理成一个”证书“ - 网络通信时,先传递证书,证书内容签名解析成功,且与发送方信息匹配,则表示对方是真实的目标 - CA的公钥被广泛保存在各个浏览器、操作系统的基础文件里,不需要网路传递