数据通信安全（加密）

Tags: 技术 Last edited: February 2, 2023 2:24 PM 分组: 信息传输

一 公钥私钥

• 对数据通信安全问题，最原始的加密想法是私钥加密，又称之为对称加密算法。思路在于使用同一个密钥，通过这个密钥进行加密解密操作。特点是密钥绝对私密。

  问题在于：加解密使用同一个密钥，除了自己保存外，对方也要知道这个密钥才能对数据进行解密。如果你把密钥也一起传过去，就存在密码泄漏的可能

• 公钥加密算法，又称非对称加密算法。这种算法加密和解密的密码不一样，一个是公钥，另一个是私钥，具体细节如下：

  • 公钥和私钥成对出现
  • 公开的密钥叫公钥，只有自己知道的叫私钥
  • 用公钥加密的数据只有对应的私钥可以解密
  • 用私钥加密的数据只有对应的公钥可以解密
  • 如果可以用公钥解密，则必然是对应的私钥加的密
  • 如果可以用私钥解密，则必然是对应的公钥加的密
  • 公钥和私钥是相对的，两者本身并没有规定哪一个必须是公钥或私钥。

  流程如下：

  1. 首先 接收方 生成一对密钥，即私钥和公钥；
  2. 然后，接收方 将公钥发送给 发送方；
  3. 发送方用收到的公钥对数据加密，再发送给接收方；
  4. 接收方收到数据后，使用自己的私钥解密。

  公钥私钥的缺点在于 效率低下。所以它不适合为大量的原始信息进行加密。为了同时兼顾安全和效率，我们通常结合使用公钥算法和私钥算法： （即加密对称算法的密钥）

  1. 首先，发送方使用对称算法对原始信息进行加密。
  2. 接收方通过公钥机制生成一对密钥，一个公钥，一个私钥。
  3. 接收方 将公钥发送给 发送方。
  4. 发送方用公钥对对称算法的密钥进行加密，并发送给接收方。
  5. 接收方用私钥进行解密得到对称算法的密钥。
  6. 发送方再把已加密的原始信息发送给接收方。
  7. 接收方使用对称算法的密钥进行解密。

二 数字签名

除了保证数据的安全传输之外，公钥体系的另一个用途就是对数据进行签名。通常“数字签名”是用来验证发送方的身份并帮助保护数据的完整性。

例如：一个发送者 A 想要传些资料给大家，用自己的私钥对资料加密，即签名。这样一来，所有收到资料的人都可以用发送者的公钥进行验证，便可确认资料是由 A 发出来的了。（因为只有Ａ使用私钥签名得到的信息，才能用这个公钥来解） 采用数字签名，可以确认两点：

1. 保证信息是由签名者自己签名发送的，签名者不能否认或难以否认。
2. 保证信息自签发后到收到为止未曾作过任何修改。

三 数字证书

数字证书的出现是为了解决公钥归属问题。我们假设一个场景，A与B通过公私钥通信，但是C偷偷篡改了A的公钥，将他的公钥换成自己的，然后就用自己的私钥可以假扮A向B发信息。对此，为了确定公钥的归属，出现了证书中心（certificate authority，简称CA），专门为公钥做认证，证书中心用自己的私钥，对其他人的公钥和一些例如身份姓名等相关信息一起加密，生成“数字证书“（Digital Certificate）。这样其他人收到信息后，用CA的公钥解开数字证书，就可以拿到发送者真实的公钥了，然后就能证明“数字签名“是否真的是发送者签的。

小结

1. 每个用户都有一对私钥和公钥。
   • 私钥用来进行解密和签名，是给自己用的。
   • 公钥由本人公开，用于加密和验证签名，是给别人用的。
2. 当该用户发送文件时，用私钥签名，别人用他给的公钥解密，可以保证该信息是由他发送的。即数字签名。
3. 当该用户接受文件时，别人用他的公钥加密，他用私钥解密，可以保证该信息只能由他看到。即安全传输。