SSL證書(https)中的非對稱加密與對稱加密

  • 人閱讀
  • 2017-11-15 16:03:48

  • 來源:互聯(lián)網(wǎng)

  • 相關關鍵詞

有兩種加密方法常常在SSL生態(tài)系統(tǒng)中被提及——非對稱加密與對稱加密。

asymmetric-encryption-algorithms-vs-symmetric-encryption-algorithms.png

對稱加密(Symmetric Cryptography),又稱私鑰加密

對稱加密是最快速、最簡單的一種加密方式,加密(encryption)與解密(decryption)用的是同樣的密鑰(secret key),這種方法在密碼學中叫做對稱加密算法。對稱加密有很多種算法,由于它效率很高,所以被廣泛使用在很多加密協(xié)議的核心當中。對稱加密通常使用的是相對較小的密鑰,一般小于256 bit。因為密鑰越大,加密越強,但加密與解密的過程越慢。如果你只用1 bit來做這個密鑰,那黑客們可以先試著用0來解密,不行的話就再用1解;但如果你的密鑰有1 MB大,黑客們可能永遠也無法破解,但加密和解密的過程要花費很長的時間。密鑰的大小既要照顧到安全性,也要照顧到效率,

非對稱加密(Asymmetric Cryptography),又稱公鑰加密

1976年,美國學者Dime和Henman為解決信息公開傳送和密鑰管理問題,提出一種新的密鑰交換協(xié)議,允許在不安全的媒體上的通訊雙方交換信息,安全地達成一致的密鑰,這就是“公開密鑰系統(tǒng)”。相對于“對稱加密算法”這種方法也叫做“非對稱加密算法”。非對稱加密為數(shù)據(jù)的加密與解密提供了一個非常安全的方法,它使用了一對密鑰,公鑰(public key)和私鑰(private key)。私鑰只能由一方安全保管,不能外泄,而公鑰則可以發(fā)給任何請求它的人。非對稱加密使用這對密鑰中的一個進行加密,而解密則需要另一個密鑰。比如,你向銀行請求公鑰,銀行將公鑰發(fā)給你,你使用公鑰對消息加密,那么只有私鑰的持有人--銀行才能對你的消息解密。與對稱加密不同的是,銀行不需要將私鑰通過網(wǎng)絡發(fā)送出去,因此安全性大大提高。

SSL握手期間的非對稱加密

當你瀏覽一個使用SSL證書的網(wǎng)站時,瀏覽器做的第一件事就是和帶著證書的服務器實行SSL握手。

這個SSL握手是瀏覽器查看SSL證書有效性和磋商加密鏈接細節(jié)的關鍵一環(huán)。這一過程在幾毫秒的時間里完成。

瀏覽器確定證書簽發(fā)自可信CA(如GlobalSign)、依舊有效且沒有被撤回后,還要確保有問題的證書是其相應公鑰的合法所有者。

你可能聽說過公鑰私鑰。公鑰更易識別,常見的有2048位簽名密鑰。數(shù)字越大,密鑰越復雜。

公鑰私鑰是非對稱加密的典型例子。公鑰負責加密,私鑰負責解密。使用非對稱加密,連接方式只有一條路。

瀏覽器使用非對稱加密來驗證公私鑰對,以及擴展證書本身。為此,瀏覽器將使用隨時可用的公鑰來加密一小撮一次性數(shù)據(jù)。 如果服務器能夠解密這個數(shù)據(jù)并以明文形式發(fā)回,那么它證明了它的私鑰對應于公鑰。

至此,瀏覽器和服務器可以開始他們的加密鏈接了。

會話密鑰形式的對稱加密

在SSL握手期間使用非對稱加密作為一種驗證方法之后,瀏覽器和服務器協(xié)商加密連接的條款并交換會話密鑰。

會話密鑰提供了一種在安全會話期間用于通信的對稱加密形式, 分為40位,128位,256位。

使用對稱加密,密鑰可以執(zhí)行兩種功能:既可以加密,也可以解密。 這使得擁有相應會話密鑰的客戶端和服務器能夠安全地進行通信。 畢竟,沒有正確的鑰匙,沒有人可以監(jiān)視這個連接,不管第三方,無論多么復雜 。

會話密鑰在加密連接的整個持續(xù)時間內(nèi)保持活動狀態(tài)。 在連接結束時密鑰被丟棄,并且在下一次訪問時生成新的密鑰。 這很簡單,但相當有效。

如你所見,對稱或非對稱密鑰的運作方式不同,一種允許雙方進行加密和解密,另一種則是單方面通信。但兩者都是SSL的組成部分。非對稱加密有助于在SSL握手期間驗證公鑰/私鑰對的所有權,而對稱加密是在安全連接期間用于實際通信的方法。

簡而言之,就是SSL證書使用對稱密鑰加密算法和非對稱密鑰加密算法相結合的方法對網(wǎng)站進行加密,能夠保證發(fā)送信息保密性。GlobalSign 提供的SSL證書支持2048位公鑰以及最高256位的對稱加密,是國內(nèi)SSL證書的首選品牌。

極客網(wǎng)企業(yè)會員

免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內(nèi)容或斷開相關鏈接。

2017-11-15
SSL證書(https)中的非對稱加密與對稱加密
有兩種加密方法常常在SSL生態(tài)系統(tǒng)中被提及——非對稱加密與對稱加密。對稱加密(Symmetric Cryptography),又稱私鑰加密對稱加密是最快速、最簡單的一種加密方式,加密(encryption)與解密(decryption)用的是同樣的密鑰(secret key),這種方法在密碼學中叫做對稱加密算法。對

長按掃碼 閱讀全文