攻擊私鑰存儲
『壹』 如何保護SSL證書私鑰安全
您好,目前SSL證書有效期1年,只要經常更新私鑰就可以了,內部保證不泄漏就沒有問題,如果發現問題可以在Gworg進行重簽。
『貳』 有了公鑰私鑰系統,還需要傳統賬號密碼方式嗎
密碼學中兩種常見的密碼演算法為對稱密碼演算法(單鑰密碼演算法)和非對稱密碼演算法(公鑰密碼演算法)。 對稱密碼演算法有時又叫傳統密碼演算法,就是加密密鑰能夠從解密密鑰中推算出來,反過來也成立。在大多數對稱演算法中,加密解密密鑰是相同的。這些演算法也叫秘密密鑰演算法或單密鑰演算法,它要求發送者和接收者在安全通信之前,商定一個密鑰。對稱演算法的安全性依賴於密鑰,泄漏密鑰就意味著任何人都能對消息進行加密解密。只要通信需要保密,密鑰就必須保密。對稱演算法的加密和解密表示為: Ek(M)=C Dk(C)=M 對稱密碼術的優點在於效率高(加/解密速度能達到數十兆/秒或更多),演算法簡單,系統開銷小,適合加密大量數據。 盡管對稱密碼術有一些很好的特性,但它也存在著明顯的缺陷,包括: l)進行安全通信前需要以安全方式進行密鑰交換。這一步驟,在某種情況下是可行的,但在某些情況下會非常困難,甚至無法實現。 2)規模復雜。舉例來說,A與B兩人之間的密鑰必須不同於A和C兩人之間的密鑰,否則給B的消息的安全性就會受到威脅。在有1000個用戶的團體中,A需要保持至少999個密鑰(更確切的說是1000個,如果她需要留一個密鑰給他自己加密數據)。對於該團體中的其它用戶,此種倩況同樣存在。這樣,這個團體一共需要將近50萬個不同的密鑰!推而廣之,n個用戶的團體需要N2/2個不同的密鑰。 通過應用基於對稱密碼的中心服務結構,上述問題有所緩解。在這個體系中,團體中的任何一個用戶與中心伺服器(通常稱作密鑰分配中心)共享一個密鑰。因而,需要存儲的密鑰數量基本上和團體的人數差不多,而且中心伺服器也可以為以前互相不認識的用戶充當「介紹人」。但是,這個與安全密切相關的中心伺服器必須隨時都是在線的,因為只要伺服器一掉線,用戶間的通信將不可能進行。這就意味著中心伺服器是整個通信成敗的關鍵和受攻擊的焦點,也意味著它還是一個龐大組織通信服務的「瓶頸」 非對稱密鑰演算法是指一個加密演算法的加密密鑰和解密密鑰是不一樣的,或者說不能由其中一個密鑰推導出另一個密鑰。1、加解密時採用的密鑰的差異:從上述對對稱密鑰演算法和非對稱密鑰演算法的描述中可看出,對稱密鑰加解密使用的同一個密鑰,或者能從加密密鑰很容易推出解密密鑰;②對稱密鑰演算法具有加密處理簡單,加解密速度快,密鑰較短,發展歷史悠久等特點,非對稱密鑰演算法具有加解密速度慢的特點,密鑰尺寸大,發展歷史較短等特點。
『叄』 誰能簡述下公鑰體制和私鑰體制的主要區別
公鑰和私鑰或者稱非對稱密鑰和對稱密鑰是密碼體制的兩種方式。私鑰體制指加解密的密鑰相同或容易推出,因此加解密的密鑰都是保密的。公鑰體制指加解密密鑰彼此無法推出,公鑰公開,私鑰保密。
由上定義可知,公鑰私鑰是兩種不同的密碼體制,而不是兩個不同的應用或兩個不同的密鑰。因此在加密和簽名應用中,公鑰私鑰均可以使用。
『肆』 web伺服器的私鑰保存在什麼地方
是一段代碼
如果要解除HTTP起動時的口令輸入
可以這樣:
# cd /usr/local/apache2/conf/ssl.key/
或創建 /usr/local/apache2/conf/ssl.key/sendsslpwd
此時,Web伺服器的私鑰已經沒有口令加密
『伍』 比特幣基礎教學之:怎樣保護你的私鑰
私鑰安全問題的重要性對比特幣玩家來說不言而喻。對於比特幣的重量級玩家或者比特幣商家而言,如何保護好私鑰更是需要仔細考慮和反復斟酌的。今天編者就和大家探討一下如何保護比特幣私鑰的問題。對於bitcoin-qt客戶端來說,比特幣私鑰一般儲存在客戶端的wallet.dat文件中。對於Blockchain這樣的在線錢包用戶來說,比特幣私鑰是儲存在在線錢包的網路伺服器上,用戶也可以將私鑰下載到本地。對於紙錢包的用戶來說,私鑰可以被列印出來。但是,怎樣保護私鑰的安全性呢?編者列出了幾種方法供大家參考。
用對稱加密的方法保管私鑰 對稱加密(Symmetric-key algorithm)是指加密和解密都用一個密鑰。我們平時用到的加密方法一般都是對稱加密,比如 winrar 中的加密,bitcoin-qt中對私鑰文件的加密也是用的對稱型加密演算法。常用的對稱加密演算法有:AES、DES、RC4、RC5等等。對稱加密需要用戶設置相對比較復雜的密鑰,以防止被暴力破解。Go to top方法一,用bitcoin-qt對私鑰錢包進行加密。我們在命令模式下可以用encryptwallet命令來對錢包進行加密。命令模式的使用方法可以參見比特幣基礎教學之:怎樣使用紙錢包私鑰。這是私鑰加密的最簡易有效的方法。但是在使用walletpassphrase命令進行解密錢包時,密鑰會被讀入計算機內存中,所以存在攻擊者獲取密鑰的可能性。加密命令: encryptwallet YOURPASSWORD解密錢包命令: walletpassphrase YOURPASSWORDTIMEOUT更改密碼命令: walletpassphrasechange OLDPASSWORDNEWPASSWORDGo to top方法二,使用blockchain提供的AES加密。Blockchain為用戶提供基於AES演算法的私鑰文件加密服務。用戶可以將加密好的文件下載下來,並妥善保存。
Go to top方法三,用第三方軟體Truecrypt對密鑰文件加密,這也是編者比較推薦的方法。Truecrypt開源免費,軟體成熟度很高,而且支持雙因素認證和整個硬碟加密。另外,FBI人員在Truecrypt上面吃過虧,因此口碑很不錯。Truecrypt的口碑FBI hackers fail to crack TrueCrypt The FBI has admitted defeat in attempts to break the open source encryption used to secure hard drives seized by Brazilian police ring a 2008 investigation.
The Bureau had been called in by the Brazilian authorities after the country』s own National Institute of Criminology (INC) had been unable to crack the passphrases used to secure the drives by suspect banker, Daniel Dantas.Brazilian reports state that two programs were used to encrypt the drives, one of which was the popular and widely-used free open source program TrueCrypt. Experts in both countries apparently spent months trying to discover the passphrases using a dictionary attack, a technique that involves trying out large numbers of possible character combinations until the correct sequence is found.
完整文章點擊這里Truecrypt只支持對稱加密演算法。使用它的用戶必須要將密鑰牢記,如果你忘記密鑰,那麼沒有人能夠恢復你加密的文件。
Truecrypt官方網站Truecrypt使用文檔 用非對稱加密的方法保管私鑰 非對稱加密方法所採用公鑰和私鑰的形式來對文件進行加密。用戶可以用公鑰來對文件進行加密,用私鑰對文件解密。常見的非對稱加密演算法有RSA、Elgamal、ECC等等。非對稱加密的好處是密鑰的復雜度一般很高,可以很有效的防止被暴力破解。缺點是有一定的使用門檻,不太適合普通級用戶。Go to top 方法一、個人用戶可以考慮使用RSA來進行加密。首先,可以創建公鑰和私鑰,點擊這里生成密鑰。將公鑰私鑰妥善保管後,便可以用公鑰加密和私鑰解密了,點擊這里進行加密和解密。RSA公鑰和私鑰的產生過程RSA公鑰和私鑰的產生過程隨意選擇兩個大的素數p和q,p不等於q,計算N=pq。根據歐拉函數,求得r= φ(N) = φ(p)φ(q) = (p-1)(q-1)選擇一個小於r的整數e,求得e關於模r的模反元素,命名為d。(模反元素存在,當且僅當e與r互質)將p和q的記錄銷毀。(N,e)是公鑰,(N,d)是私鑰。Go to top方法二、比較成熟的非對稱加密軟體有我們可以採用PGP(Pretty Good Privacy)工具來對文件進行加密。PGP加密可以讓每個公鑰邦定到一個用戶的所有信息。相比RSA來講,PGP的功能更加完善可靠。但是隨著PGP的升級,新的加密消息有可能不被舊的PGP系統解密,所以用戶在使用PGP之前應該首先熟悉PGP的設置。PGP加密工具網上有很多,編者就不列舉了。
wiki中關於PGP的介紹PGP在線加解密系統PGP命令FAQ 高級方法保管私鑰 上述保管私鑰的方式都很常見,有經驗的攻擊者依然可能得到用戶的私鑰文件。關於更加高級隱秘的私鑰保管方式,參見以後的比特幣高級教學內容。
『陸』 是不是在數字貨幣存儲中讓私鑰永不觸網的話安全性更高
是的,要記得保管好,如果丟了就沒辦法掛失的
『柒』 什麼是谷歌播放存儲密鑰
谷歌密鑰是用戶身份驗證,也算密碼。
google安全密鑰是通過在輸入密碼後提供額外的安全保護層來消除人們對安全的憂慮。密鑰是雙因素身份驗證的一種形式,用戶也可以通過輸入PIN碼發送到手機,或批准通過應用程序訪問來提供
雙因素身份驗證也是防止非法分子竊取密碼的重要保護方式,攻擊者還需要除了密碼外的其他物理元素(如特定USB)才能成功訪問賬戶
安全密鑰甚至還可以鑒別用戶訪問的網站是否是虛假網站
安全專家們認為密鑰比純數字密碼安全度更高,因為獲取物理密鑰的難度遠高於獲得數字代碼。
『捌』 如何使用Vault安全的存儲密碼和API密鑰
InfoQ:安全是恆久的話題,對於基於WSDL和SOAP的Web Service,我們有WS-Security這樣的安全規范來指導實現認證、授權、身份管理等安全需求。那麼,RESTful API有無成熟可用規范或實現框架呢?如何保證RESTful API的安全性呢?
李錕:保證RESTful API的安全性,主要包括三大方面:
a) 對客戶端做身份認證
b) 對敏感的數據做加密,並且防止篡改
c) 身份認證之後的授權
對客戶端做身份認證,有幾種常見的做法:
在請求中加簽名參數
1.為每個接入方分配一個密鑰,並且規定一種簽名的計算方法。要求接入方的請求中必須加上簽名參數。這個做法是最簡單的,但是需要確保接入方密鑰的安全保存,另外還要注意防範replay攻擊。其優點是容易理解與實現,缺點是需要承擔安全保存密鑰和定期更新密鑰的負擔,而且不夠靈活,更新密鑰和升級簽名演算法很困難。
使用標準的HTTP身份認證機制
HTTP Basic身份認證安全性較低,必須與HTTPS配合使用。HTTP Digest身份認證可以單獨使用,具備中等程度的安全性。
HTTP Digest身份認證機制還支持插入用戶自定義的加密演算法,這樣可以進一步提高API的安全性。不過插入自定義加密演算法在面向互聯網的API中用的不是很多。
這個做法需要確保接入方「安全域-用戶名-密碼」三元組信息的安全保存,另外還要注意防範replay攻擊。
優點:基於標准,得到了廣泛的支持(大量HTTP伺服器端、客戶端庫)。在伺服器端做HTTP身份認證的職責可以由Web Server(例如Nginx)、App Server(例如Tomcat)、安全框架(例如Spring Security)來承擔,對應用開發者來說是透明的。HTTP身份認證機制(RFC 2617)非常好地體現了「分離關注點」的設計原則,而且保持了操作語義的可見性。
2.缺點:這類基於簡單用戶名+密碼機制的安全性不可能高於基於非對稱密鑰的機制(例如數字證書)。
使用OAuth協議做身份認證
OAuth協議適用於為外部應用授權訪問本站資源的情況。其中的加密機制與HTTP Digest身份認證相比,安全性更高。需要注意,OAuth身份認證與HTTP Digest身份認證之間並不是相互取代的關系,它們的適用場景是不同的。OAuth協議更適合於為面向最終用戶維度的API提供授權,例如獲取隸屬於用戶的微博信息等等。如果API並不是面向最終用戶維度的,例如像七牛雲存儲這樣的存儲服務,這並非是OAuth協議的典型適用場景。
『玖』 如何保護數字證書和私鑰
需要澄清的概念 一、關於私鑰的唯一性 嚴格地講,私鑰既然是世上唯一且只由主體本身持有,它就必須由主體的計算機程序來生成。因為如果在別處生成將會有被拷貝的機會。然而在實際應用上並非如此,出於某些特殊需要(例如,如果只有一份私鑰,單位的加密文件就會因為離職員工帶走私鑰而無法解密。)加密用的公/私鑰對會要求在可信的第三方儲存其備份。這樣,加密用的私鑰可能並不唯一。然而簽名用的私鑰則必須保持唯一,否則就無法保證被簽名信息的不可否認性。 在生成用戶的密鑰對時,用於加密的公/私鑰對可以由CA、RA產生,也可以在用戶終端的機器上用專用的程序(如瀏覽器程序或認證軟體)來產生。用於數字簽名的密鑰對原則上只能由用戶終端的程序自行產生,才能保證私鑰信息的私密性以及通信信息的不可否認性。 我們常常聽到有人說:保管好你的軟盤,保管好你的KEY,不要讓別人盜用你的證書。有些教科書上也這樣講。應該說,這句話是有毛病的。數字證書可以在網上公開,並不怕別人盜用和篡改。因為證書的盜用者在沒有掌握相應的私鑰的情況下,盜用別人的證書既不能完成加密通信,又不能實現數字簽名,沒有任何實際用處。而且,由於有CA對證書內容進行了數字簽名,在網上公開的證書也不怕黑客篡改。我們說,更該得到保護的是儲存在介質中的私鑰。如果黑客同時盜走了證書和私鑰,危險就會降臨。 不同的存儲介質,安全性是不同的。如果證書和私鑰儲存在計算機的硬碟里,計算機一旦受到黑客攻擊,(例如被埋置了木馬程序)證書和私鑰就可能被盜用。 使用軟盤或存儲型IC卡來保存證書和私鑰,安全性要比硬碟好一些,因為這兩種介質僅僅在使用時才與電腦相連,用完後即被拔下,證書和私鑰被竊取的可能性有所降低。但是黑客還是有機會,由於軟盤和存儲型IC卡不具備計算能力,在進行加密運算時,用戶的私鑰必須被調出軟盤或IC卡進入外部的電腦,在這個過程中就會造成一定的安全隱患。 產生公私密鑰對的程序(指令集)是智能卡生產者燒制在晶元中的ROM中的,密碼演算法程序也是燒制在ROM中。公私密鑰對在智能卡中生成後,公鑰可以導出到卡外,而私鑰則存儲於晶元中的密鑰區,不允許外部訪問。 USB Key和智能卡除了I/O物理介面不一樣以外,內部結構和技術是完全一樣的,其安全性也一樣。只不過智能卡需要通過讀卡器接到電腦的串列介面上,而USB Key通過電腦的通用串列匯流排(USB)介面直接與電腦相接。另外,USB介面的通信速度要遠遠高於串列介面的通信速度。現在出品的電腦已經把USB介面作為標准配置,而使用智能卡則需要加配讀卡器。出於以上原因,各家CA都把USB Key作為首選的證書和私鑰存儲介質而加以推廣。 為了防止USB key 不慎丟失而可能被他人盜用,不少證書應用系統在使用過程中還設置了口令認證機制。如口令輸入得不對,即使掌握了USB key,也不能登錄進入應用系統。
『拾』 用戶如何生成密鑰對用戶的私鑰存儲在哪裡
你是不是S1T31班的