一、背景
成都創(chuàng)新互聯(lián)專注于企業(yè)營銷型網(wǎng)站建設(shè)���、網(wǎng)站重做改版�����、溫縣網(wǎng)站定制設(shè)計(jì)��、自適應(yīng)品牌網(wǎng)站建設(shè)�����、H5場景定制����、商城系統(tǒng)網(wǎng)站開發(fā)����、集團(tuán)公司官網(wǎng)建設(shè)�����、外貿(mào)營銷網(wǎng)站建設(shè)���、高端網(wǎng)站制作����、響應(yīng)式網(wǎng)頁設(shè)計(jì)等建站業(yè)務(wù),價(jià)格優(yōu)惠性價(jià)比高��,為溫縣等各大城市提供網(wǎng)站開發(fā)制作服務(wù)��。
SSL(安全套接字層)是一種標(biāo)準(zhǔn)的安全技術(shù)�,用于在服務(wù)器和客戶端之間建立加密鏈接,通常作用于Web服務(wù)器(網(wǎng)站)和瀏覽器��,或郵件服務(wù)器和郵件客戶端的信息加密�����。 網(wǎng)站通過安裝SSL證書可以安全地傳輸身份證號��,手機(jī)號等敏感信息�����。
因此要建立安全連接�����,瀏覽器和服務(wù)器需要SSL證書����。那么����,SSL是如何實(shí)現(xiàn)數(shù)據(jù)加密的呢�?以至于沒有人可以破解它?接下來讓我們一起去探索SSL加密幕后工作的技術(shù)���。
SSL涵蓋了非對稱密鑰和對稱密鑰以及它們?nèi)绾螀f(xié)同工作創(chuàng)建SSL加密連接��。SSL通過不同類型的算法�,使它們形成幾乎不可能破解的數(shù)學(xué)方程式���。
二�����、非對稱加密
非對稱加密算法需要兩個(gè)密鑰:公開密鑰和私有密鑰�。公開密鑰與私有密鑰是一對����,如果用公開密鑰對數(shù)據(jù)進(jìn)行加密�����,只有用對應(yīng)的私有密鑰才能解密;如果用私有密鑰對數(shù)據(jù)進(jìn)行加密���,那么只有用對應(yīng)的公鑰才能解密����。加密和解密使用的是不同非對稱加密(或公鑰加密)單獨(dú)進(jìn)行加密和解密�。任何人都可以使用加密密鑰(公鑰)來加密消息,但是�����,解密密鑰(私鑰)是機(jī)密的����。這樣,只有預(yù)期的接收者才能解密該消息���,最常見的非對稱加密算法是RSA���。什么是RSA?后面會(huì)有解釋。
非對稱密鑰通常為1024或2048位�����。但是�,小于2048位的密鑰不再被認(rèn)為是安全的。2048位密鑰是唯一足夠的加密代碼�,雖然可以創(chuàng)建更大的密鑰,但是會(huì)增加計(jì)算的負(fù)擔(dān)����,因此很少使用大于2048位的密鑰。從破解的角度來看�����,普通計(jì)算機(jī)破解2048位SSL證書需要超過140億年���。
三����、對稱加密
對稱加密(或預(yù)共享密鑰加密)使用單個(gè)密鑰來加密和解密數(shù)據(jù)�。發(fā)送方和接收方都需要相同的密鑰才能進(jìn)行通信。
對稱密鑰大小通常為128或256位(密鑰大小越大���,密鑰越難破解)�����。 例如�,128位密鑰具有340,282,366,920,938,463,463,374,607,431,768,211,456加密代碼的可能性�。 正如您可以想象的那樣,“暴力攻擊”(攻擊者嘗試每個(gè)可能的密鑰��,直到找到正確的密鑰)將花費(fèi)相當(dāng)多的時(shí)間來破解����。
是使用128位還是256位密鑰取決于服務(wù)器和客戶端軟件的加密功能。 SSL證書不指定使用的密鑰大小����。
非對稱密鑰與對稱密鑰哪個(gè)更強(qiáng)?
由于非對稱密鑰大于對稱密鑰�,因此非對稱加密的數(shù)據(jù)比對稱加密的數(shù)據(jù)更難破解。但是����,這并不意味著非對稱密鑰更好。這些密鑰不應(yīng)通過它們的大小進(jìn)行比較���,而應(yīng)通過“計(jì)算負(fù)擔(dān)”和“易于分發(fā)”屬性進(jìn)行比較�����。
對稱密鑰小于非對稱密鑰��,因此它們只需較少的計(jì)算負(fù)擔(dān)��。但是�����,對稱密鑰也有一個(gè)主要缺點(diǎn)��,特別是使用它們來保護(hù)數(shù)據(jù)傳輸?shù)臅r(shí)候�。由于相同的密鑰用于對稱加密和解密,因此您和收件人都需要密鑰���。如果您告訴收件人鑰匙��,該問題就不存在���。但是,如果您將密鑰發(fā)送給世界各地的用戶��,這時(shí)候數(shù)據(jù)安全將不會(huì)得到保障。
而非對稱加密沒有這個(gè)問題��,只要您保密私鑰���,任何人都無法解密您的郵件。您可以分發(fā)相應(yīng)的公鑰�,而無需擔(dān)心誰獲得它。擁有公鑰的任何人都可以加密數(shù)據(jù)�,但只有擁有私鑰的人才能對其進(jìn)行解密。
SSL證書是如何使用非對稱和對稱加密��?
公鑰基礎(chǔ)結(jié)構(gòu)(PKI)是創(chuàng)建���、管理��、分發(fā)��、使用����、存儲(chǔ)和撤銷數(shù)字證書所需的一組硬件���。SSL證書頒發(fā)機(jī)構(gòu)(CA)通過PKI將密鑰與用戶身份綁定���, PKI使用混合密碼系統(tǒng)����,并且可以使用這兩種類型的加密����。例如,服務(wù)器的SSL證書包含非對稱公鑰和對稱私鑰��,服務(wù)器和瀏覽器在SSL握手期間創(chuàng)建的會(huì)話密鑰是對稱的�。如圖:
1. 服務(wù)器發(fā)送其非對稱公鑰的副本。
2. 瀏覽器創(chuàng)建對稱會(huì)話密鑰�����,并使用服務(wù)器的非對稱公鑰對其進(jìn)行加密���。然后將其發(fā)送到服務(wù)器����。
3. 服務(wù)器使用其非對稱私鑰解密加密的會(huì)話密鑰以獲得對稱會(huì)話密鑰���。
4. 服務(wù)器和瀏覽器使用對稱會(huì)話密鑰加密和解密所有傳輸?shù)臄?shù)據(jù)��。這是被允許的安全通道����,因?yàn)橹挥袨g覽器和服務(wù)器知道對稱會(huì)話密鑰,并且會(huì)話密鑰僅用于該會(huì)話����。 如果瀏覽器第二天要連接到同一服務(wù)器����,則會(huì)創(chuàng)建一個(gè)新的會(huì)話密鑰。
四�����、公鑰加密算法
公鑰加密(非對稱)使用RSA和橢圓曲線加密(ECC)等加密算法來創(chuàng)建公鑰和私鑰���。
通過非對稱加密�����,可以輕松地生成公鑰和私鑰����,使用公鑰加密消息,以及使用私鑰解密消息��。但是�����,任何人都很難(或不可能)僅基于公鑰導(dǎo)出私鑰��。
RSA
RSA基于假定的大于整數(shù)因子分解(整數(shù)分解)�。在假設(shè)不存在用于整數(shù)分解的有效算法的情況下,認(rèn)為RSA密文的完全解密是不可行的�。
RSA的用戶創(chuàng)建并發(fā)布兩個(gè)大于質(zhì)數(shù)的乘積以及輔助值作為其公鑰。任何人都可以使用公鑰來加密消息���,但只有了解主要因素的人才能解碼���。
RSA代表Ron Rivest,Adi Shamir和Leonard Adleman-- 1977年首次公開描述該算法的人���。
ECC
橢圓曲線密碼學(xué)(ECC)依賴于有限域上橢圓曲線的代數(shù)結(jié)構(gòu)����。1985年����,Neal Koblitz和Victor S. Miller獨(dú)立地提出了在密碼學(xué)中使用橢圓曲線; ECC算法于2004年投入使用��。
ECC算法優(yōu)于RSA的優(yōu)點(diǎn)是密鑰可以更小�����,從而提高了速度和安全性���。 缺點(diǎn)在于并非所有服務(wù)和應(yīng)用程序都可使用基于ECC的SSL證書。
五����、預(yù)共享密鑰加密算法
預(yù)共享密鑰加密(對稱)使用Twofish�,AES或Blowfish等算法來創(chuàng)建目前最受歡迎的密鑰-AES。 所有這些加密算法分為兩種類型:流密碼和分組密碼�。流密碼將加密密鑰和算法應(yīng)用于數(shù)據(jù)流中的每個(gè)二進(jìn)制數(shù)字,一次一位���。 分組密碼將加密密鑰和算法作為一組應(yīng)用于數(shù)據(jù)塊(例如�����,64個(gè)連續(xù)位)��,分組密碼是目前最常用的對稱加密算法��。
通過探索SSL密碼學(xué)的幕后基本上可以看出SSL證書的加密系統(tǒng)是多么的強(qiáng)大�����,為網(wǎng)站安裝SSL證書將成為未來互聯(lián)網(wǎng)的一種趨勢����。
文章來源:安信SSL證書(www.anxinssl.com)
分享文章:探索SSL密碼學(xué)的幕后
URL鏈接:
http://weahome.cn/article/jheose.html
重慶分公司
重慶分公司
