常见加密算法原理及概念

在安全领域，利用密钥加密算法来对通信的过程进行加密是一种常见的安全手段。利用该手段能够保障数据安全通信的三个目标：

而常见的密钥加密算法类型大体可以分为三类：对称加密、非对称加密、单向加密。下面我们来了解下相关的算法原理及其常见的算法。

对称加密算法采用单密钥加密，在通信过程中，数据发送方将原始数据分割成固定大小的块，经过密钥和加密算法逐个加密后，发送给接收方；接收方收到加密后的报文后，结合密钥和解密算法解密组合后得出原始数据。由于加解密算法是公开的，因此在这过程中，密钥的安全传递就成为了至关重要的事了。而密钥通常来说是通过双方协商，以物理的方式传递给对方，或者利用第三方平台传递给对方，一旦这过程出现了密钥泄露，不怀好意的人就能结合相应的算法拦截解密出其加密传输的内容。

对称加密算法拥有着算法公开、计算量小、加密速度和效率高得特定，但是也有着密钥单一、密钥管理困难等缺点。

常见的对称加密算法有：

DES：分组式加密算法，以64位为分组对数据加密，加解密使用同一个算法。

3DES：三重数据加密算法，对每个数据块应用三次DES加密算法。

AES：高级加密标准算法，是美国联邦政府采用的一种区块加密标准，用于替代原先的DES，目前已被广泛应用。

Blowfish：Blowfish算法是一个64位分组及可变密钥长度的对称密钥分组密码算法，可用来加密64比特长度的字符串。

非对称加密算法采用公钥和私钥两种不同的密码来进行加解密。公钥和私钥是成对存在，公钥是从私钥中提取产生公开给所有人的，如果使用公钥对数据进行加密，那么只有对应的私钥才能解密，反之亦然。

下图为简单非对称加密算法的常见流程：

发送方Bob从接收方Alice获取其对应的公钥，并结合相应的非对称算法将明文加密后发送给Alice；Alice接收到加密的密文后，结合自己的私钥和非对称算法解密得到明文。这种简单的非对称加密算法的应用其安全性比对称加密算法来说要高，但是其不足之处在于无法确认公钥的来源合法性以及数据的完整性。

非对称加密算法具有安全性高、算法强度负复杂的优点，其缺点为加解密耗时长、速度慢，只适合对少量数据进行加密，其常见算法包括：

RSA ：RSA算法基于一个十分简单的数论事实：将两个大素数相乘十分容易，但那时想要对其乘积进行因式分解却极其困难，因此可以将乘积公开作为加密密钥，可用于加密，也能用于签名。

DSA ：数字签名算法，仅能用于签名，不能用于加解密。

DSS ：数字签名标准，技能用于签名，也可以用于加解密。

ELGamal ：利用离散对数的原理对数据进行加解密或数据签名，其速度是最慢的。

单向加密算法常用于提取数据指纹，验证数据的完整性。发送者将明文通过单向加密算法加密生成定长的密文串，然后传递给接收方。接收方在收到加密的报文后进行解密，将解密获取到的明文使用相同的单向加密算法进行加密，得出加密后的密文串。随后将之与发送者发送过来的密文串进行对比，若发送前和发送后的密文串相一致，则说明传输过程中数据没有损坏；若不一致，说明传输过程中数据丢失了。单向加密算法只能用于对数据的加密，无法被解密，其特点为定长输出、雪崩效应。常见的算法包括：MD5、sha1、sha224等等，其常见用途包括：数字摘要、数字签名等等。

密钥交换IKE（Internet Key Exchange）通常是指双方通过交换密钥来实现数据加密和解密，常见的密钥交换方式有下面两种：

1、公钥加密，将公钥加密后通过网络传输到对方进行解密，这种方式缺点在于具有很大的可能性被拦截破解，因此不常用；

2、Diffie-Hellman，DH算法是一种密钥交换算法，其既不用于加密，也不产生数字签名。DH算法的巧妙在于需要安全通信的双方可以用这个方法确定对称密钥。然后可以用这个密钥进行加密和解密。但是注意，这个密钥交换协议/算法只能用于密钥的交换，而不能进行消息的加密和解密。双方确定要用的密钥后，要使用其他对称密钥操作加密算法实际加密和解密消息。DH算法通过双方共有的参数、私有参数和算法信息来进行加密，然后双方将计算后的结果进行交换，交换完成后再和属于自己私有的参数进行特殊算法，经过双方计算后的结果是相同的，此结果即为密钥。

如：

在整个过程中，第三方人员只能获取p、g两个值，AB双方交换的是计算后的结果，因此这种方式是很安全的。

公钥基础设施是一个包括硬件、软件、人员、策略和规程的集合，用于实现基于公钥密码机制的密钥和证书的生成、管理、存储、分发和撤销的功能，其组成包括：签证机构CA、注册机构RA、证书吊销列表CRL和证书存取库CB。

PKI采用证书管理公钥，通过第三方可信任CA中心，把用户的公钥和其他用户信息组生成证书，用于验证用户的身份。

公钥证书是以数字签名的方式声明，它将公钥的值绑定到持有对应私钥的个人、设备或服务身份。公钥证书的生成遵循X509协议的规定，其内容包括：证书名称、证书版本、序列号、算法标识、颁发者、有效期、有效起始日期、有效终止日期、公钥 、证书签名等等的内容。

CA证书认证的流程如下图，Bob为了向Alice证明自己是Bob和某个公钥是自己的，她便向一个Bob和Alice都信任的CA机构申请证书，Bob先自己生成了一对密钥对（私钥和公钥），把自己的私钥保存在自己电脑上，然后把公钥给CA申请证书，CA接受申请于是给Bob颁发了一个数字证书，证书中包含了Bob的那个公钥以及其它身份信息，当然，CA会计算这些信息的消息摘要并用自己的私钥加密消息摘要（数字签名）一并附在Bob的证书上，以此来证明这个证书就是CA自己颁发的。Alice得到Bob的证书后用CA的证书（自签署的）中的公钥来解密消息摘要，随后将摘要和Bob的公钥发送到CA服务器上进行核对。CA在接收到Alice的核对请求后，会根据Alice提供的信息核对Bob的证书是否合法，如果确认合法则回复Alice证书合法。Alice收到CA的确认回复后，再去使用从证书中获取的Bob的公钥加密邮件然后发送给Bob，Bob接收后再以自己的私钥进行解密。

C/S结构软件（即客户机/服务器模式）分为客户机和服务器两层，客户机不是毫无运算能力的输入、输出设备，而是具有了一定的数据处理和数据存储能力，通过把应用软件的计算和数据合理地分配在客户机和服务器两端，可以有效地降低网络通信量和服务器运算量。由于服务器连接个数和数据通信量的限制，这种结构的软件适于在用户数目不多的局域网内使用。国内的大部分ERP（财务）软件产品即属于此类结构。使用C/S架构的情况下首先就避免了使用B/S那种纯明文的传输协议。C/S的安全性保证应该是在通讯协议方面而不是简单的加密解密这块。当然借鉴B/S的也行。如果C/S架构的只是登陆密码做限制那安全性也太弱了。监听一样可以获得有关的通讯方式，比如和数据库直连的话不就能获得数据库的通讯IP和账户密码了。

上述过程中，出现了公钥(3233,17)和私钥(3233,2753)，这两组数字是怎么找出来的呢？参考 RSA算法原理（二）

首字母缩写说明：E是加密（Encryption）D是解密（Decryption）N是数字（Number）。

1随机选择两个不相等的质数p和q。

alice选择了61和53。（实际应用中，这两个质数越大，就越难破解。）

2计算p和q的乘积n。

n = 61×53 = 3233

n的长度就是密钥长度。3233写成二进制是110010100001，一共有12位，所以这个密钥就是12位。实际应用中，RSA密钥一般是1024位，重要场合则为2048位。

3计算n的欧拉函数φ(n)。称作L

根据公式φ(n) = (p-1)(q-1)

alice算出φ(3233)等于60×52，即3120。

4随机选择一个整数e，也就是公钥当中用来加密的那个数字

条件是1< e < φ(n)，且e与φ(n) 互质。

alice就在1到3120之间，随机选择了17。（实际应用中，常常选择65537。）

5计算e对于φ(n)的模反元素d。也就是密钥当中用来解密的那个数字

所谓"模反元素"就是指有一个整数d，可以使得ed被φ(n)除的余数为1。ed ≡ 1 (mod φ(n))

alice找到了2753，即172753 mode 3120 = 1

6将n和e封装成公钥，n和d封装成私钥。

在alice的例子中，n=3233，e=17，d=2753，所以公钥就是 (3233,17)，私钥就是（3233, 2753）。

上述故事中，blob为了偷偷地传输移动位数6，使用了公钥做加密，即6^17 mode 3233 = 824。alice收到824之后，进行解密，即824^2753 mod 3233 = 6。也就是说，alice成功收到了blob使用的移动位数。

再来复习一下整个流程：

p=17,q=19

n = 17 19 = 323

L = 16 18 = 144

E = 5(E需要满足以下两个条件：1<E<144,E和144互质)

D = 29(D要满足两个条件，1<D<144,D mode 144 = 1)

假设某个需要传递123，则加密后：123^5 mode 323 = 225

接收者收到225后，进行解密，225^ 29 mode 323 = 123

回顾上面的密钥生成步骤，一共出现六个数字：

p

q

n

L即φ(n)

e

d

这六个数字之中，公钥用到了两个（n和e），其余四个数字都是不公开的。其中最关键的是d，因为n和d组成了私钥，一旦d泄漏，就等于私钥泄漏。那么，有无可能在已知n和e的情况下，推导出d？

（1）ed≡1 (mod φ(n))。只有知道e和φ(n)，才能算出d。

（2）φ(n)=(p-1)(q-1)。只有知道p和q，才能算出φ(n)。

（3）n=pq。只有将n因数分解，才能算出p和q。

结论：如果n可以被因数分解，d就可以算出，也就意味着私钥被破解。

可是，大整数的因数分解，是一件非常困难的事情。目前，除了暴力破解，还没有发现别的有效方法。维基百科这样写道："对极大整数做因数分解的难度决定了RSA算法的可靠性。换言之，对一极大整数做因数分解愈困难，RSA算法愈可靠。假如有人找到一种快速因数分解的算法，那么RSA的可靠性就会极度下降。但找到这样的算法的可能性是非常小的。今天只有短的RSA密钥才可能被暴力破解。到2008年为止，世界上还没有任何可靠的攻击RSA算法的方式。只要密钥长度足够长，用RSA加密的信息实际上是不能被解破的。"

然而，虽然RSA的安全性依赖于大数的因子分解，但并没有从理论上证明破译RSA的难度与大数分解难度等价。即RSA的重大缺陷是无法从理论上把握它的保密性能如何。此外，RSA的缺点还有：

A)产生密钥很麻烦，受到素数产生技术的限制，因而难以做到一次一密。

B)分组长度太大，为保证安全性，n 至少也要 600bits以上，使运算代价很高，尤其是速度较慢，较对称密码算法慢几个数量级；且随着大数分解技术的发展，这个长度还在增加，不利于数据格式的标准化。因此， 使用RSA只能加密少量数据，大量的数据加密还要靠对称密码算法 。

加密和解密是自古就有技术了。经常看到侦探**的桥段，勇敢又机智的主角，拿着一长串毫无意义的数字苦恼，忽然灵光一闪，翻出一本厚书，将第一个数字对应页码数，第二个数字对应行数，第三个数字对应那一行的某个词。数字变成了一串非常有意义的话：

Eat the beancurd with the peanut Taste like the ham

这种加密方法是将原来的某种信息按照某个规律打乱。某种打乱的方式就叫做密钥(cipher code)。发出信息的人根据密钥来给信息加密，而接收信息的人利用相同的密钥，来给信息解密。 就好像一个带锁的盒子。发送信息的人将信息放到盒子里，用钥匙锁上。而接受信息的人则用相同的钥匙打开。加密和解密用的是同一个密钥，这种加密称为对称加密（symmetric encryption）。

如果一对一的话，那么两人需要交换一个密钥。一对多的话，比如总部和多个特工的通信，依然可以使用同一套密钥。 但这种情况下，对手偷到一个密钥的话，就知道所有交流的信息了。 二战中盟军的情报战成果，很多都来自于破获这种对称加密的密钥。

为了更安全，总部需要给每个特工都设计一个不同的密钥。如果是FBI这样庞大的机构，恐怕很难维护这么多的密钥。在现代社会，每个人的信用卡信息都需要加密。一一设计密钥的话，银行怕是要跪了。

对称加密的薄弱之处在于给了太多人的钥匙。如果只给特工锁，而总部保有钥匙，那就容易了。特工将信息用锁锁到盒子里，谁也打不开，除非到总部用唯一的一把钥匙打开。只是这样的话，特工每次出门都要带上许多锁，太容易被识破身份了。总部老大想了想，干脆就把造锁的技术公开了。特工，或者任何其它人，可以就地取材，按照图纸造锁，但无法根据图纸造出钥匙。钥匙只有总部的那一把。

上面的关键是锁和钥匙工艺不同。知道了锁，并不能知道钥匙。这样，银行可以将“造锁”的方法公布给所有用户。 每个用户可以用锁来加密自己的信用卡信息。即使被别人窃听到，也不用担心：只有银行才有钥匙呢！这样一种加密算法叫做非对称加密(asymmetric encryption)。非对称加密的经典算法是RSA算法。它来自于数论与计算机计数的奇妙结合。

1976年，两位美国计算机学家Whitfield Diffie 和 Martin Hellman，提出了一种崭新构思，可以在不直接传递密钥的情况下，完成解密。这被称为"Diffie-Hellman密钥交换算法"。这个算法启发了其他科学家。人们认识到，加密和解密可以使用不同的规则，只要这两种规则之间存在某种对应关系即可，这样就避免了直接传递密钥。这种新的加密模式被称为"非对称加密算法"。

1977年，三位数学家Rivest、Shamir 和 Adleman 设计了一种算法，可以实现非对称加密。这种算法用他们三个人的名字命名，叫做RSA算法。从那时直到现在，RSA算法一直是最广为使用的"非对称加密算法"。毫不夸张地说，只要有计算机网络的地方，就有RSA算法。

1能“撞”上的保险箱（非对称/公钥加密体制，Asymmetric / Public Key Encryption）

数据加密解密和门锁很像。最开始的时候，人们只想到了那种只能用钥匙“锁”数据的锁。如果在自己的电脑上自己加密数据，当然可以用最开始这种门锁的形式啦，方便快捷，简单易用有木有。

但是我们现在是通信时代啊，双方都想做安全的通信怎么办呢？如果也用这种方法，通信就好像互相发送密码保险箱一样…而且双方必须都有钥匙才能进行加密和解密。也就是说，两个人都拿着保险箱的钥匙，你把数据放进去，用钥匙锁上发给我。我用同样的钥匙把保险箱打开，再把我的数据锁进保险箱，发送给你。

这样看起来好像没什么问题。但是，这里面 最大的问题是：我们两个怎么弄到同一个保险箱的同一个钥匙呢？ 好像仅有的办法就是我们两个一起去买个保险箱，然后一人拿一把钥匙，以后就用这个保险箱了。可是，现代通信社会，绝大多数情况下别说一起去买保险箱了，连见个面都难，这怎么办啊？

于是，人们想到了“撞门”的方法。我这有个可以“撞上”的保险箱，你那里自己也买一个这样的保险箱。通信最开始，我把保险箱打开，就这么开着把保险箱发给你。你把数据放进去以后，把保险箱“撞”上发给我。撞上以后，除了我以外，谁都打不开保险箱了。这就是RSA了，公开的保险箱就是公钥，但是我有私钥，我才能打开。

2数字签名

这种锁看起来好像很不错，但是锁在运输的过程中有这么一个严重的问题：你怎么确定你收到的开着的保险箱就是我发来的呢？对于一个聪明人，他完全可以这么干：

(a)装作运输工人。我现在把我开着的保险箱运给对方。运输工人自己也弄这么一个保险箱，运输的时候把保险箱换成他做的。

(b)对方收到保险箱后，没法知道这个保险箱是我最初发过去的，还是运输工人替换的。对方把数据放进去，把保险箱撞上。

(c)运输工人往回运的时候，用自己的钥匙打开自己的保险箱，把数据拿走。然后复印也好，伪造也好，弄出一份数据，把这份数据放进我的保险箱，撞上，然后发给我。

从我的角度，从对方的角度，都会觉得这数据传输过程没问题。但是，运输工人成功拿到了数据，整个过程还是不安全的，大概的过程是这样：

这怎么办啊？这个问题的本质原因是，人们没办法获知，保险箱到底是“我”做的，还是运输工人做的。那干脆，我们都别做保险箱了，让权威机构做保险箱，然后在每个保险箱上用特殊的工具刻上一个编号。对方收到保险箱的时候，在权威机构的“公告栏”上查一下编号，要是和保险箱上的编号一样，我就知道这个保险箱是“我”的，就安心把数据放进去。大概过程是这样的：

如何做出刻上编号，而且编号没法修改的保险箱呢？这涉及到了公钥体制中的另一个问题：数字签名。

要知道，刻字这种事情吧，谁都能干，所以想做出只能自己刻字，还没法让别人修改的保险箱确实有点难度。那么怎么办呢？这其实困扰了人们很长的时间。直到有一天，人们发现：我们不一定非要在保险箱上刻规规矩矩的字，我们干脆在保险箱上刻手写名字好了。而且，刻字有点麻烦，干脆我们在上面弄张纸，让人直接在上面写，简单不费事。具体做法是，我们在保险箱上嵌进去一张纸，然后每个出产的保险箱都让权威机构的CEO签上自己的名字。然后，CEO把自己的签名公开在权威机构的“公告栏”上面。比如这个CEO就叫“学酥”，那么整个流程差不多是这个样子：

这个方法的本质原理是，每个人都能够通过笔迹看出保险箱上的字是不是学酥CEO签的。但是呢，这个字体是学酥CEO唯一的字体。别人很难模仿。如果模仿我们就能自己分辨出来了。要是实在分辨不出来呢，我们就请一个笔迹专家来分辨。这不是很好嘛。这个在密码学上就是数字签名。

上面这个签字的方法虽然好，但是还有一个比较蛋疼的问题。因为签字的样子是公开的，一个聪明人可以把公开的签字影印一份，自己造个保险箱，然后把这个影印的字也嵌进去。这样一来，这个聪明人也可以造一个相同签字的保险箱了。解决这个问题一个非常简单的方法就是在看保险箱上的签名时，不光看字体本身，还要看字体是不是和公开的字体完全一样。要是完全一样，就可以考虑这个签名可能是影印出来的。甚至，还要考察字体是不是和其他保险柜上的字体一模一样。因为聪明人为了欺骗大家，可能不影印公开的签名，而影印其他保险箱上的签名。这种解决方法虽然简单，但是验证签名的时候麻烦了一些。麻烦的地方在于我不仅需要对比保险箱上的签名是否与公开的笔迹一样，还需要对比得到的签名是否与公开的笔迹完全一样，乃至是否和所有发布的保险箱上的签名完全一样。有没有什么更好的方法呢？

当然有，人们想到了一个比较好的方法。那就是，学酥CEO签字的时候吧，不光把名字签上，还得带上签字得日期，或者带上这个保险箱的编号。这样一来，每一个保险箱上的签字就唯一了，这个签字是学酥CEO的签名+学酥CEO写上的时间或者编号。这样一来，就算有人伪造，也只能伪造用过的保险箱。这个问题就彻底解决了。这个过程大概是这么个样子：

3 造价问题（密钥封装机制，Key Encapsulation Mechanism）

解决了上面的各种问题，我们要考虑考虑成本了… 这种能“撞”门的保险箱虽然好，但是这种锁造价一般来说要比普通的锁要高，而且锁生产时间也会变长。在密码学中，对于同样“结实”的锁，能“撞”门的锁的造价一般来说是普通锁的上千倍。同时，能“撞”门的锁一般来说只能安装在小的保险柜里面。毕竟，这么复杂的锁，装起来很费事啊！而普通锁安装在多大的保险柜上面都可以呢。如果两个人想传输大量数据的话，用一个大的保险柜比用一堆小的保险柜慢慢传要好的多呀。怎么解决这个问题呢？人们又想出了一个非常棒的方法：我们把两种锁结合起来。能“撞”上的保险柜里面放一个普通锁的钥匙。然后造一个用普通的保险柜来锁大量的数据。这样一来，我们相当于用能“撞”上的保险柜发一个钥匙过去。对方收到两个保险柜后，先用自己的钥匙把小保险柜打开，取出钥匙。然后在用这个钥匙开大的保险柜。这样做更棒的一个地方在于，既然对方得到了一个钥匙，后续再通信的时候，我们就不再需要能“撞”上的保险柜了啊，在以后一定时间内就用普通保险柜就好了，方便快捷嘛。

以下参考 数字签名、数字证书、SSL、https是什么关系？

4数字签名（Digital Signature）

数据在浏览器和服务器之间传输时，有可能在传输过程中被冒充的盗贼把内容替换了，那么如何保证数据是真实服务器发送的而不被调包呢，同时如何保证传输的数据没有被人篡改呢，要解决这两个问题就必须用到数字签名，数字签名就如同日常生活的中的签名一样，一旦在合同书上落下了你的大名，从法律意义上就确定是你本人签的字儿，这是任何人都没法仿造的，因为这是你专有的手迹，任何人是造不出来的。那么在计算机中的数字签名怎么回事呢？数字签名就是用于验证传输的内容是不是真实服务器发送的数据，发送的数据有没有被篡改过，它就干这两件事，是非对称加密的一种应用场景。不过他是反过来用私钥来加密，通过与之配对的公钥来解密。

第一步：服务端把报文经过Hash处理后生成摘要信息Digest，摘要信息使用私钥private-key加密之后就生成签名，服务器把签名连同报文一起发送给客户端。

第二步：客户端接收到数据后，把签名提取出来用public-key解密，如果能正常的解密出来Digest2，那么就能确认是对方发的。

第三步：客户端把报文Text提取出来做同样的Hash处理，得到的摘要信息Digest1，再与之前解密出来的Digist2对比，如果两者相等，就表示内容没有被篡改，否则内容就是被人改过了。因为只要文本内容哪怕有任何一点点改动都会Hash出一个完全不一样的摘要信息出来。

5数字证书（Certificate Authority）

数字证书简称CA，它由权威机构给某网站颁发的一种认可凭证，这个凭证是被大家（浏览器）所认可的，为什么需要用数字证书呢，难道有了数字签名还不够安全吗？有这样一种情况，就是浏览器无法确定所有的真实服务器是不是真的是真实的，举一个简单的例子：A厂家给你们家安装锁，同时把钥匙也交给你，只要钥匙能打开锁，你就可以确定钥匙和锁是配对的，如果有人把钥匙换了或者把锁换了，你是打不开门的，你就知道肯定被窃取了，但是如果有人把锁和钥匙替换成另一套表面看起来差不多的，但质量差很多的，虽然钥匙和锁配套，但是你却不能确定这是否真的是A厂家给你的，那么这时候，你可以找质检部门来检验一下，这套锁是不是真的来自于A厂家，质检部门是权威机构，他说的话是可以被公众认可的（呵呵）。

同样的， 因为如果有人（张三）用自己的公钥把真实服务器发送给浏览器的公钥替换了，于是张三用自己的私钥执行相同的步骤对文本Hash、数字签名，最后得到的结果都没什么问题，但事实上浏览器看到的东西却不是真实服务器给的，而是被张三从里到外（公钥到私钥）换了一通。那么如何保证你现在使用的公钥就是真实服务器发给你的呢？我们就用数字证书来解决这个问题。数字证书一般由数字证书认证机构（Certificate Authority）颁发，证书里面包含了真实服务器的公钥和网站的一些其他信息，数字证书机构用自己的私钥加密后发给浏览器，浏览器使用数字证书机构的公钥解密后得到真实服务器的公钥。这个过程是建立在被大家所认可的证书机构之上得到的公钥，所以这是一种安全的方式。

常见的对称加密算法有DES、3DES、AES、RC5、RC6。非对称加密算法应用非常广泛，如SSH,

HTTPS, TLS，电子证书，电子签名，电子身份证等等。

参考 DES/3DES/AES区别

别人用A的公钥加密传输的信息，只有A的私钥可以解密。保证了传输的信息的安全性。

A用A的私钥加密的信息，别人用A的公钥才可以解密。可以证明这个信息一定是A传输而来的。

共享秘钥（对称加密）：速度快，但无法保证客户端与服务器之间传输时秘钥的安全性。

和公开密钥（非对称加密）：安全，速度慢。

一、客户端请求SSL（安全套接层）通信，报文中包含自己支持的SSL版本、加密算法等。

二、服务器应答，附带自己的公钥证书，协商定好的SSL版本、加密组件。

三、客户端根据自己本地的收信任的CA公钥，解封服务器公钥证书，得到服务器公钥。客户端生成一个随机码序列，用服务器公钥加密后，发回服务器。

四、服务器用私钥解密后，再加密将字符串传回客户端。

五、客户端确认服务器身份后，生成对称加密算法和共享秘钥，使用服务器公钥加密后，传给服务器。

六、此后，双方使用对称加密算法加密数据，进行传输。

上面过程中，一二用于获得合法的服务器公钥，三四用于确认服务器是否为真正私钥持有者（因为，服务器公钥谁都可以得到）。

使用与明文比特序列一样长的，真正的随机数序列，进行加密，绝对安全，因为穷举破译后能得到整个秘钥空间，毫无意义。

以分组为单位进行处理的密码算法称为 分组密码。

采用 Feistel网络。

以 64 bit 为一个加密单位，首先分成两部分，各32 bit 。

加密过程持续数轮，每轮中，使用子秘钥与右侧数据经过轮函数生成一个序列，然后与左侧做 XOR 。

每轮结束后，左右两侧交换。

加解密结构相同，轮数任意，函数任意。

使用秘钥1、2、3对明文进行加密、解密、加密三个过程，称为三重DES。

解密过程是为了兼容老版DES，如果1、2、3秘钥相同，则成为了普通DES。

1、3秘钥相同，2不同时，称为DES-EDE2 。

1、2、3秘钥不同，称为DES-EDE3 。

采用的是 Rijndael 算法，SPN结构。

输入分组为 128bit（16字节），秘钥长度可以以 32bit 为单位，在128~256bit之间选择。

该算法由多轮构成，10~14轮。

一轮中：

SubBytes，按字节，将输入分开，以每个字节为索引，查表找值，替换。

ShiftRows（平移行），按字节，打乱上面的输出。

MixColumns （混合列），按4个字节，比特运算。

与轮秘钥进行 XOR 。

分组密码：每次处理，特定长度的一块数据。

流密码：对数据流，连续处理，需要保持内部状态，记录进度。

明文分组加密后，直接成为，密文分组。

特点：攻击者无需破译，即可操纵明文。

明文分组，与前一个密文分组XOR，加密得到自己的密文分组。

第一个分组的前一个密文分组，由 初始化向量（随机比特序列） 代替。

加密时，需要从头开始。因为需要与密文分组做 XOR 。

解密时，对密文分组解密，直接与密文分组 XOR 即可。

同样的明文分组，密文值可以不相等。

密文分组可以损坏，影响部分。

密文分组比特缺失，影响全部。

前一个密文分组，通过加密算法得到一个比特序列，称为 密钥流 。

明文分组，与密钥流 XOR，得到自己的密文分组。

解密时，加密算法对密文分组进行加密，得到密钥流，与密文 XOR 可得到明文。

重复攻击：假设秘钥相同。发送 4 个分组，攻击者保存了后面3个。转天，你又发送了 4 个分组，攻击者将你后面三个替换，接收方解密后，只有 2 号分组有错。

对于每个分组，初始化向量加密后，得到密钥流。明文与密钥流 XOR 后，得到密文。

速度快，密钥流可以提前生成，或者，生成秘钥过程可以和 XOR 运算并行。

对每个计数器加密得到密钥流。密钥流与明文分组 XOR ，得到密文分组。

计数器生成的数，由 一个随机序列 nonce + 从1开始的递增数字 组成。

对每个分组，计数器递增后，加密，得到密钥流。

能够以任意顺序处理分组，因为加密时需要的初始数字序列能够计算出来。

为了确保安全，有地理局限，与不同的人通信需要不同密钥，共享繁琐。

每个员工有自己的密钥，密钥分配中心使用个人密钥，包裹临时会话密钥，分配给各个员工使用。

密文=明文的E次方 MOD N

E 和 N 是RSA加密用的密钥，也就是说，E 和 N 的组合就是公钥。

明文=密文的D次方 MOD N

D 和 N 的组合就是私钥。

寻两个很大的质数 p 和 q，相乘得到 N

L为 p-1 和 q-1 的最小公倍数

随机数生成器，不停地生成数字，直到满足如下条件：

1 < E < L

E 和 L 的最大公约数为 1

根据 E ，计算 D

1 < E < L

E × D MOD L = 1

保证 E 与 L 互质，则 D 一定存在。

求对数很容易，求 离散对数 很困难

对一个大数字进行质因数分解，人类未找到高效算法

利用了 MOD N下，求离散对数的困难度

加密后，密文长度翻倍

利用了 MOD N下，求平方根的困难度

密码实现通过 对椭圆曲线上的特定点进行特殊乘法。

利用了该种乘法的逆运算非常困难这一特性

单向散列函数 又称为，消息摘要函数、哈希函数、杂凑函数

输入的消息 又称为，原像

散列值 又称为，消息摘要、指纹

完整性 又称为，一致性

根据任意消息，计算出的散列值长度，固定

用时短

消息不同，散列值不同

具备单向性

MD是消息摘要的意思

可以产生 128bit 的散列值，但它们的抗碰撞性已被攻破

SHA-1散列值长度为 160bit，强碰撞性已被攻破

其余的统称为 SHA-2，散列值长度为各自后面的数字

欧盟版本

第三代 SHA

消息上限 2^64 bit。

消息长度需要是 512bit 的整数倍。这样的 512比特 称为一个输入分组。

过程：

消息末尾添加 1

然后添加 0，直到最后一个分组的 448比特 的位置

最后 64比特 需要保存原是消息的长度

对每个分组计算 80 个 32bit 的值。

过程：

将 512bit 分成 32bit × 16组，称为 W0~W15

从15组中按规律取4组，进行 XOR 运算，结果循环左移 1 位，得到另外一组。如此反复，得到总共 80 组。

ABCDE 五个 32bit 的缓冲区，保存了 160bit 的消息内部状态。

内部状态与每个 512bit 的输入分组混合，一共 80 个步骤。

最终得到 160bit 的最终内部状态。

暴力破解：暴力寻找与 1亿元合同 散列值相同的文件

生日攻击：准备两份 散列值相同的 1亿元合同

可以辨别 篡改，无法辨别 伪装，因此还需要 认证技术

认证技术包括 消息验证码 和 数字签名

消息验证码：可以向通信对象保证消息不被篡改

数字签名：可以向任何人保证通信对象不被篡改

message authentication code，简称 MAC。

相当于 使用共享密钥的单向散列函数

SWIFT：负责银行间的交易，公钥密码使用前，都是人工配送密钥的。

IPsec：对IP协议增加安全性，采用的是消息认证码

SSL/TLS：网上购物等场景中所用协议。

过程：

密钥填充 至单向散列函数要求的输入分组大小

填充后的密钥 与 ipad（16进制的36不断循环）XOR，得到ipadkey

与 消息 组合，计算散列值

填充后的密钥 与 opad（16进制的5C不断循环）XOR，得到opadkey

与 上面得到的散列值 组合，计算新的散列值，为最终的MAC值

对第三方证明

防止否认

因为知晓密钥的只有两个当事人，第三者无法确定能拿到合法的密钥，无法自己计算合法MAC值

RSA：利用质因数分解难度的那个

ElGamal：利用求离散对数的困难度的那个，数字签名有漏洞，现仅用于公钥密码

DSA：Schnorr算法与ElGamal方式的变体，只能用于数字签名

Rabin：利用了求MOD N中平方根的困难度，可用于数字签名和公钥密码

例如，verisign公司的认证业务分为三个等级，等级越高，越严格

ITU 国际电信联盟和 ISO 国际标准化组织制定的 X509 规范如下

大体包含以下内容：

签名前的证书——签名对象的各种消息

数字签名算法——签名时所用的算法

数字签名——得到的数字签名

PKI ：为了能有效使用公钥而制定的一系列规范和规格

PKI 的组成要素如下

两种方法：一种是由认证机构生成，一种是由 PKI 用户自行生成

认证机构有一个 CRL（认证作废清单），具有数字签名，记载了已经作废的证书的编号。

认证时，从上（根证书）往下

对于密钥，关键的是 密钥空间的大小

DES 的密钥 实质长度（即，除去校验错误的比特后的长度）7字节

DES-EDE2 的实质长度 14字节，DES-EDE3 的实质长度 21字节

AES 的密钥长度可以从 128、192 和 256bit 当中选

会话密钥：每次通信中，仅使用一次的密钥

主密钥：一直被重复使用的密钥

CEK：Contents Encrypting Key

KEK: Key Encrypting Key

各个步骤中的密钥管理方法

两种方法：

用随机数生成密钥：使用具备不可预测性的伪随机数生成器生成随机数

用口令生成密钥：一般使用，口令 + 一串称为 salt 的随机数，得到他们的散列值作为密钥（这种方法称为：基于口令的密码）

事先共享

秘钥分配中心

使用公钥密钥

Diffie-Hellman 密钥交换

密钥更新：一种提高通信机密性的技术

原理：

使用 共享密钥 进行通信时，定期改变密钥。

双方使用同样的方法，对当前密钥求 散列值，并作为下一个密钥

优点：

后向安全：防止破译过去的内容

对密钥进行加密，然后保存

意义：

同时对多个密钥进行加密，可以减少保存密钥的数量

步骤：

P 为非常大的质数，G 为 P 的 生成元

目的为，将 随机数 A 的信息 含蓄地发给了 B

目的为，将 随机数 B 的信息 含蓄地发给了 A

计算方法：密钥 = （G ^ B MOD P) ^ A MOD P = G^(A × B) MOD P

计算方法：密钥 = （G ^ A MOD P) ^ B MOD P = G^(A × B) MOD P

对于一个质数 P ，只有它的生成元在进行 G ^ x MOD P 时，结果能够覆盖 0 ~ P-1 的所有数字

用途：用于安全的保存密钥

由来：

一 生成会话密钥 CEK ，加密消息

二 需要保密 会话密钥CEK，使用 密钥加密密钥KEK 对会话密钥进行保密

三 现在需要保密 KEK 这个密钥，选择使用口令生成这个 KEK

保密的问题最终都归结为了 安全保存密钥，然而我们记不住密钥。

于是，选择单向散列函数对口令生成散列值，作为密钥。

这个密钥无需保存，我们可以通过口令随时求得，口令也无法被反向推出，且口令方便记忆。

顺带，为了防止字典攻击，生成口令散列值时，需要使用 口令 + salt（随机数序列）

事先 已准备好 候选列表 的攻击方法

随机性

不可预测性

不可重见性

这三个性质，越往下越严格。分别称为：

弱伪随机数（不可用于密码学）

强伪随机数

真随机数

伪随机数生成器是公开的，种子是保密的。

确保种子的不可预测性，更加容易些。

种子是用来对伪随机数生成器的 内部状态进行初始化 的

R1 = （A × R0 + C) MOD M

数据有限，不能用于密码学

单向散列函数的单向性是支撑伪随机数序列不可预测性的基础

利用 AES 等对称密钥对内部状态进行加密

从当前时间开始，利用加密算法 求得加密后的时间的掩码 （因为密钥未知，别人无法推测出掩码信息）

与内部状态 XOR，加密后输出， 得到伪随机数序列

对伪随机数序列加密后，作为 下一个内部状态

针对极端情况的密码软件，具有全部功能。

TLS 由 TLS 记录协议 和 TLS 握手协议 叠加而成。

负责消息的 加密、压缩 和 认证

商定 客户端和服务器 所用的加密算法和密钥

负责 传递 变更密码的信号

发生错误时 通知对方

传输数据