【2015小明发布台湾加密】https历程讲解
2015小明发布台湾加密相关介绍,今天我们有时间谈谈https的历史。以前我们知道http和https的区别是https加密的,但其历史和一些细节其实大多数人可能不太清楚。今天我大致说一下第一步:在此之前,传达的内容也直接原封不动
今天我们有时间谈谈https的历史。以前我们知道http和https的区别是https加密的,但其历史和一些细节其实大多数人可能不太清楚。今天我大致说一下
第一步:
在此之前,传达的内容也直接原封不动地展现出来
暴露的问题:
这时,如果有比较强大的黑客来直接拦截你的请求,那就相当于其他人都知道你的一些秘密信息。
步骤2:
根据第一阶段的风险,我们的第一个想法是内容加密,因此不会出现上述问题,对称加密的概念出现了。
加密与解密概述
计算机的文件,无论视频、照片、音乐,它们在硬盘里面的记录形式都是01010101这些数字,二进制的
比如一张照片,假设它在硬盘的数据是1010,那么我把1010乘以2,得出结果是10100。你把10100发送给你朋友,然后告诉他,把10100除以2,就可以得到原来的照片文件
这应该是对加密最简单的理解了
对称加密与上面说的差不多,我们可以这样理解,原文件就是照片,密钥就是类似乘以2这样的一个算法方式,而解密也是用这样的算法
对称加密的网络隐患
比如小明出差在外地,让公司发一份合约过去给他,公司加密了,然后发给小明
那么小明需要密码才能解密,这个密码他不知道,需要公司告诉小明
而这时候安全问题就来了,密码从公司发到小明手里,这过程可能会泄露,假如网络上被截获了加密文件和密码,那么合约内容,截获者就知道了
交易双方都使用同样钥匙,安全性得不到保证。此外,每对用户每次使用对称加密算法时,都需要使用其他人不知道的惟一钥匙,这会使得发收信双方所拥有的钥匙数量成几何级数增长,密钥管理成为用户的负担。对称加密算法在分布式网络系统上使用较为困难,主要是因为密钥管理困难,使用成本较高。
第三阶段
这个时候非对称加密出现了
非对称加密的概述
为了防止这种情况发生,密码学家设计出了这种非对称加密
这与对称加密不同的是,对称加密只有一个密钥,而非对称加密有2个密钥
对称加密用A密钥来加密,也用A密钥来解密
非对称加密用A密钥来加密,但是解密只能用B密钥
非对称加密的安全性
小明需要公司发一份合约给他,为了安全性,小明先生成一对密钥,然后把公钥发给公司,让公司用密钥加密,公司通过小明的密钥加密之后,把加密文件发给小明,小明通过私钥解密
这个过程中,私钥一直在小明的电脑里面,没有经过网络传输,别人截获了加密文件,但是没有私钥,也是解密不了,这大大提高了安全性
非对称加密的应用
主要就是网络传输了,服务器生成一对密钥(公私),然后把公钥发给用户,用户通过公钥加密后发给服务器,服务器再通过它的私钥解密
就算传输数据被黑客截获了,黑客没有私钥,也是没法解密。
然后在非对称加密之后又出现新的问题,什么问题呢?下面我们来看一下
小明需要公司发一份合约给他,为了安全性,小明先生成一对密钥,然后把公钥发给公司,在发给公司的路途中被黑客A截取了,截取之后A用自己生成的公钥发给公司,这样让公司用黑客A给他发的公钥去加密数据,这样A就可以轻松拿到这个公司发的数据并轻松解密出来了,然后利用之前截取小明的公钥去加密自己的数据发给小明,这个时候小明收到了黑客A的数据,但小明自以为是公司的数据,这样就被完美的偷天换日了。
这个问题的出现就是我们根本就不知道有没有中间人,最好是公司那边能判别我就是是不是小明的一个身份验证
这个时候就是我们的第四阶段了。
第四阶段(信息摘要、数字签名、数字证书)
然后有人想可以将小明的信息和公钥利用hash算法(散列加密)形成一个消息摘要,这个Hash算法有个极好的特性,只要输入数据有一点点变化,那生成的消息摘要就会有巨变,这样就可以防止别人修改原始内容。
然后黑客A完全可以无视,可以自己利用上诉操作自己wwW.mUw∽uyA.Com生成一个消息摘要,相当于完全替换掉,还是没办法了
这个时候一个中间产物出现,认证中心(简称CA),利用它自己机构里面的私钥给我们刚才的消息摘要再进行一个加密形成签名
然后将这个经过CA私钥加密过的消息摘要(签名)再跟之前形成签名的一些原始数据(公钥以及一些个人信息)合并形成数字证书
那怎么去验证是不是有中间的人插足呢?其实很简单,就是公司拿着一样的hash算法将小明传过来的原始信息再加密一遍,然后拿着小明发来的签名和CA那边的公钥解密出来对照一下是不是一样的就行了。一样就代表没有被篡改。那么问题又来了CA那个公钥又安全吗?如果不安全那不就是又回到原点了?其实CA那个公钥我们默认就是认为绝对安全的,要不然上诉讲的都不复存在,至于CA机构的公钥为什么是安全的,这个大家可以自己去了解。
数字证书的实例:HTTPS协议。这个协议主要用于网页加密。
1.首先,客户端向服务器发出加密请求。
2.服务器用自己的私钥加密网页以后,连同本身的数字证书,一起发送给客户端。
3.客户端(浏览器)的"证书管理器",有"受信任的根证书颁发机构"列表。客户端会根据这张列表,查看解开数字证书的公钥是否在列表之内。
4.如果数字证书记载的网址,与你正在浏览的网址不一致,就说明这张证书可能被冒用,浏览器会发出警告。
5.如果这张数字证书不是由受信任的机构颁发的,浏览器会发出另一种警告。
6.如果数字证书是可靠的,客户端就可以使用证书中的服务器公钥,对信息进行加密,然后与服务器交换加密信息。
