混合加密算法
① TLS加密过程
## SSL 证书类型
**certbot**
域名验证(domain validated, DV证书)
组织验证(organization validated,OV 证书):验证组织是否正确
扩展验证(extended validation EV证书):显示友好
根证书-》二级证书-》主站点
## TLS加密过程
1. 验证身份
2. 达成安全套件共识
3. 传递密钥
4. 加密通讯
HTTPS采用混合加密算法,即共享秘钥加密(对称加密)和公开秘钥加密(非对称加密)。
通信前准备工作:
A、数字证书认证机构的公开秘钥(CA公钥)已事先植入到浏览器里;
B、数字证书认证机构用自己的私有密钥对服务器的公开秘钥做数字签名,生成公钥证书,并颁发给服务器。
1、client hello
握手第一步是客户端向服务端发送 Client Hello 消息,这个消息里包含了一个客户端生成的随机数 Random1、客户端支持的加密套件(Support Ciphers)和 SSL Version 等信息。
2、server hello
服务端向客户端发送 Server Hello 消息,这个消息会从 Client Hello 传过来的 Support Ciphers 里确定一份加密套件,这个套件决定了后续加密和生成摘要时具体使用哪些算法,另外还会生成一份随机数 Random2。注意,至此客户端和服务端都拥有了两个随机数(Random1+ Random2),这两个随机数会在后续生成对称秘钥时用到。
3、Certificate
这一步是服务端将自己的公钥证书下发给客户端。
4、Server Hello Done
Server Hello Done 通知客户端 Server Hello 过程结束。
5、Certificate Verify
客户端收到服务端传来的公钥证书后,先从 CA 验证该证书的合法性(CA公钥去解密公钥证书),验证通过后取出证书中的服务端公钥,再生成一个随机数 Random3,再用服务端公钥非对称加密 Random3生成 PreMaster Key。
6、Client Key Exchange
上面客户端根据服务器传来的公钥生成了 PreMaster Key,Client Key Exchange 就是将这个 key 传给服务端,服务端再用自己的私钥解出这个 PreMaster Key 得到客户端生成的 Random3。至此,客户端和服务端都拥有 Random1 + Random2 + Random3,两边再根据同样的算法就可以生成一份秘钥,握手结束后的应用层数据都是使用这个秘钥进行对称加密。
为什么要使用三个随机数呢?这是因为 SSL/TLS 握手过程的数据都是明文传输的,并且多个随机数种子来生成秘钥不容易被破解出来。
② 混合加密算法有哪些
混合加密算法是在上述基础加密算法的基础上,由初始加密算法、改进优化的维热纳尔加密算法以及Base64加密算法共同组成的,井且其实现的过程必须按照固定的顺序依次进行,即先使用自己定义的初始加密算法,再使用改进优化的维热纳尔加密算法,最后使用Base64加密算法。
③ 混合加密系统的过程
本问题所要求的加密,以此为前提:在发送方向接受方发送信息,或接收方向发送方请求信息时,发送方和接收方会在信道上传递信息而不希望第三者知道该信息的真正意义。发送方和接收方留存的、不放在信道的传播的信息是安全的,不会为第三者所知的;放在信道上传播的信息是不安全的,会被第三者截获的。
“混合”加密系统,是混合了对称加密方法和非对称加密方法的加密通信手段。要解释混合加密系统,必须以理解对称加密和非对称加密为前提。
混合加密系统融合了对称加密和非对称加密的优势,并补足了两者的缺点。对称加密速度快,但安全性难以保证;非对称加密安全性高,但速度慢,无法满足大量信息的加密传送。对于两者的详述,请参考网络的解释。为防止喧宾夺主,这里不展开描述。
对称加密非对称加密
在此处首先定义三个概念以方便阐述:
1.对称密钥:即可用于加密明文,又可用于解密密文。
2.非对称私钥:可用于解密密文。
3.非对称公钥:可用于加密明文,但无法用于解密密文。
混合加密系统的工作流程,以乙向单方面甲要求信息为例,至于双向信息交流由同理易得,不做赘述。
1.乙向甲发送请求,希望得到信息。
2.乙创建非对称私钥和非对称公钥,将非对称公钥发送给甲。
3.甲创建明文、对称公钥,以对称公钥加密明文得到密文,再用非对称公钥加密对称公钥得到加密后的对称公钥。甲再将加密后的对称公钥和密文发送给乙。
4.乙用非对称私钥解密加密后的对称公钥,得到对称公钥。乙再用对称公钥解密密文,得到所要的明文。
在斜体加粗所标明的,在传播过程中被第三者截获的信息有:非对称公钥、加密后的对称公钥、密文。第三者欲破解密文,必须有对称公钥;欲破解加密后的对称公钥,必须有非对称私钥。而私钥被乙方保留,第三者无从获得。故第三者无法得到明文。至此,乙得到了向甲要求的信息,而第三者无从得到信息的真正含义。
这种做法既具有非对称加密的安全性,因为非对称密钥是保密的;又具有对称加密的高效率,因为用非对称加密方法加密的是相对短小的对称密钥而非要传输的大量信息。
从其他角度进行的,更加详尽的表述请参阅其他文章:
混合加密1混合加密2混合加密3混合加密4
混合加密5