加密算法筆記

從古埃及的時候就用這種密碼學密鑰的長度越長，加密的可靠性就越強

密鑰是一組特定的字符串，是控制明文和密文轉換的惟一參數，起到「鑰匙」的做用

對稱加密算法：對數據進行解密時使用的密鑰和加密使用的密鑰是徹底相同的，也叫作私鑰算法

對稱密碼算法：不安全的算法  必定要保證密鑰安全性
優勢:加密速度快，加密後的數據不會變大
缺點:在祕鑰交換上存在問題

加密算法只告訴你算法參與n+n  密鑰n+2

對稱加密算法（私鑰算法）
DES:Data Encryption Standard（56bite長度加密）3DES(168bite長度加密)
AES:Advanced Encryption Standard（128/192/256bite長度加密）

公鑰管理
爲了保護數據在網絡中安全傳輸，不被***者非法竊取和惡意篡改，發送方在發送數據以前須要對數據進行加密處理，即經過必定算法，利用密鑰將明文數據換爲密文數據；接收方接收到密文數據後，須要對其進行解密處理，即經過必定的算法，利用密鑰將密文恢復爲明文數據，以獲取原始數據

非對稱密鑰算法：數據加密和解密使用不一樣密鑰
非對稱密鑰算法中，加解密使用的密鑰一個是對外公開的公鑰，一個是由用戶密鑰保存的私鑰，從公鑰很難推算出私鑰

將明文加密時使用一個密鑰，這個密鑰俗稱公鑰，但對密文解密時，必須使用另一個密鑰，這個密鑰俗稱私鑰，公鑰負責加密不負責解密，必須私鑰才能解密

非對稱加密算法
缺點：加密速度慢，加密後的數據會變大
用途：主要用來交換祕鑰等用非對稱加密算法
公鑰加密算法速度慢於私鑰加密算法

非對稱密鑰算法:RSA、DSA（數字簽名算法）、ECDSA

非對稱密鑰算法兩個主要用途:
一、對發送的數據進行加/解密:發送者利用接收者公鑰對數據進行加密，只有擁有對應私鑰的接收者才能使用該私鑰對數據進行解密，從而保證數據的機密性(×××)
二、對數據發送者的身份進行認證:SSH

當數據在傳輸過程當中，若是被劫持後修改了數據，一般數據接受者很難發現數據是否在中途被篡改了，每一個數據包後面都有一個校驗和，利用Hash算法給出值、而後收到數據包計算HASH值是否匹配、不匹配拒絕該數據包

Hash和加密之間的區別：完整性校驗，驗證數據的完整性

一、哈希算法每每被設計成生成具備相同長度的文本，而加密算法生成的文本長度與明文自己的長度有關
二、哈希算法是不可逆的，而加密算法是可逆的

Hash算法
Hash多用於認證、認證對等體雙方在相互認證時、只須要交換密碼的Hash值便可
目前Hash算法:MD5(128bite長度的hash值)、SHA-1(128bite長度的hash值)

若是被保護數據僅僅用做比較驗證，在之後不須要還原成明文形式，則使用哈希；若是被保護數據在之後須要被還原成明文，則須要使用加密

組合加解密過程也叫作數字信封
使用對稱加密算法進行大批量的數據加密 ，每次產生一個新的隨機密鑰 （會話密鑰）使用非對稱加密算法的公鑰對會話密鑰進行加密並傳遞，會話密鑰到達對端以後，用非對稱加密算法公鑰所對應的私鑰進行解密，得出會話密鑰，而後用對稱加密算法的私鑰對會話密鑰進行解密，得出所要的明文數據

數字證書：至關於網絡×××
數字簽名：本身的私鑰加密，本身的公鑰解密
數字簽名使用簽名方的私鑰對信息摘要進行加密的一個過程
簽名過程當中所獲得的密文即稱爲簽名信息
首先將明文信息經過hash算法計算出一個摘要，使用發送方的私鑰對摘要進行加密，獲得加密後的摘要，而後再將明文使用接收方的公鑰進行加密，到達接收方時，使用接收方的私鑰對密文進行解密，獲得明文以後經過hash算法計算出摘要值，而後再將其加密後的摘要使用發送方的公鑰進行解密，得出摘要值，若是相同則證實是發送方發送的。

數字簽名的功能：
一、保證信息傳輸的完整性
二、發送者的身份認證（原認證）

本地證書爲CA簽發給實體的數字證書；CA證書也稱爲根證書
證書信任鏈
第1層是根證書（Thawte Premium Server CA）
第2層是Thawte 專門用來簽名的證書
第3層是Mozilla本身的證書

CA在受理證書請求、頒發證書、吊銷證書和發佈證書做廢列表（CRL）時所採用的一套標準被稱爲CA策略

PKI（Public Key Infrastructure）公鑰基礎設施:經過使用公開密鑰技術和數字證書來確保系統信息安全，並負責驗證數字證書持有者身份的一種體系
經過簽發數字證書來綁定證書持有者的身份和相關的公開密鑰

PKI的工做過程
一、客戶端（PC）向CA服務器申請證書
二、RA（註冊機構）審覈實體身份，將實體身份信息和公開密鑰以數字簽名的方式發給CA（屬於CA服務器一部分）
三、CA驗證數字簽名，贊成實體的申請、頒發證書
四、RA註冊機構接收CA返回的證書，發送到LDAP服務器以提供目錄瀏覽服務，並通知實體證書發行成功
五、客戶端（PC）獲取證書，利用該證書能夠與其它客戶端（PC）使用加密、數字簽名進行安全通訊

六、終端撤銷本身的證書時，向CA提交申請，CA批准撤銷證書，更新CRL，發佈到LDAP服務器