混合加密演算法
① TLS加密過程
## SSL 證書類型
**certbot**
域名驗證(domain validated, DV證書)
組織驗證(organization validated,OV 證書):驗證組織是否正確
擴展驗證(extended validation EV證書):顯示友好
根證書-》二級證書-》主站點
## TLS加密過程
1. 驗證身份
2. 達成安全套件共識
3. 傳遞密鑰
4. 加密通訊
HTTPS採用混合加密演算法,即共享秘鑰加密(對稱加密)和公開秘鑰加密(非對稱加密)。
通信前准備工作:
A、數字證書認證機構的公開秘鑰(CA公鑰)已事先植入到瀏覽器里;
B、數字證書認證機構用自己的私有密鑰對伺服器的公開秘鑰做數字簽名,生成公鑰證書,並頒發給伺服器。
1、client hello
握手第一步是客戶端向服務端發送 Client Hello 消息,這個消息里包含了一個客戶端生成的隨機數 Random1、客戶端支持的加密套件(Support Ciphers)和 SSL Version 等信息。
2、server hello
服務端向客戶端發送 Server Hello 消息,這個消息會從 Client Hello 傳過來的 Support Ciphers 里確定一份加密套件,這個套件決定了後續加密和生成摘要時具體使用哪些演算法,另外還會生成一份隨機數 Random2。注意,至此客戶端和服務端都擁有了兩個隨機數(Random1+ Random2),這兩個隨機數會在後續生成對稱秘鑰時用到。
3、Certificate
這一步是服務端將自己的公鑰證書下發給客戶端。
4、Server Hello Done
Server Hello Done 通知客戶端 Server Hello 過程結束。
5、Certificate Verify
客戶端收到服務端傳來的公鑰證書後,先從 CA 驗證該證書的合法性(CA公鑰去解密公鑰證書),驗證通過後取出證書中的服務端公鑰,再生成一個隨機數 Random3,再用服務端公鑰非對稱加密 Random3生成 PreMaster Key。
6、Client Key Exchange
上面客戶端根據伺服器傳來的公鑰生成了 PreMaster Key,Client Key Exchange 就是將這個 key 傳給服務端,服務端再用自己的私鑰解出這個 PreMaster Key 得到客戶端生成的 Random3。至此,客戶端和服務端都擁有 Random1 + Random2 + Random3,兩邊再根據同樣的演算法就可以生成一份秘鑰,握手結束後的應用層數據都是使用這個秘鑰進行對稱加密。
為什麼要使用三個隨機數呢?這是因為 SSL/TLS 握手過程的數據都是明文傳輸的,並且多個隨機數種子來生成秘鑰不容易被破解出來。
② 混合加密演算法有哪些
混合加密演算法是在上述基礎加密演算法的基礎上,由初始加密演算法、改進優化的維熱納爾加密演算法以及Base64加密演算法共同組成的,井且其實現的過程必須按照固定的順序依次進行,即先使用自己定義的初始加密演算法,再使用改進優化的維熱納爾加密演算法,最後使用Base64加密演算法。
③ 混合加密系統的過程
本問題所要求的加密,以此為前提:在發送方向接受方發送信息,或接收方向發送方請求信息時,發送方和接收方會在信道上傳遞信息而不希望第三者知道該信息的真正意義。發送方和接收方留存的、不放在信道的傳播的信息是安全的,不會為第三者所知的;放在信道上傳播的信息是不安全的,會被第三者截獲的。
「混合」加密系統,是混合了對稱加密方法和非對稱加密方法的加密通信手段。要解釋混合加密系統,必須以理解對稱加密和非對稱加密為前提。
混合加密系統融合了對稱加密和非對稱加密的優勢,並補足了兩者的缺點。對稱加密速度快,但安全性難以保證;非對稱加密安全性高,但速度慢,無法滿足大量信息的加密傳送。對於兩者的詳述,請參考網路的解釋。為防止喧賓奪主,這里不展開描述。
對稱加密非對稱加密
在此處首先定義三個概念以方便闡述:
1.對稱密鑰:即可用於加密明文,又可用於解密密文。
2.非對稱私鑰:可用於解密密文。
3.非對稱公鑰:可用於加密明文,但無法用於解密密文。
混合加密系統的工作流程,以乙向單方面甲要求信息為例,至於雙向信息交流由同理易得,不做贅述。
1.乙向甲發送請求,希望得到信息。
2.乙創建非對稱私鑰和非對稱公鑰,將非對稱公鑰發送給甲。
3.甲創建明文、對稱公鑰,以對稱公鑰加密明文得到密文,再用非對稱公鑰加密對稱公鑰得到加密後的對稱公鑰。甲再將加密後的對稱公鑰和密文發送給乙。
4.乙用非對稱私鑰解密加密後的對稱公鑰,得到對稱公鑰。乙再用對稱公鑰解密密文,得到所要的明文。
在斜體加粗所標明的,在傳播過程中被第三者截獲的信息有:非對稱公鑰、加密後的對稱公鑰、密文。第三者欲破解密文,必須有對稱公鑰;欲破解加密後的對稱公鑰,必須有非對稱私鑰。而私鑰被乙方保留,第三者無從獲得。故第三者無法得到明文。至此,乙得到了向甲要求的信息,而第三者無從得到信息的真正含義。
這種做法既具有非對稱加密的安全性,因為非對稱密鑰是保密的;又具有對稱加密的高效率,因為用非對稱加密方法加密的是相對短小的對稱密鑰而非要傳輸的大量信息。
從其他角度進行的,更加詳盡的表述請參閱其他文章:
混合加密1混合加密2混合加密3混合加密4
混合加密5