通訊的雙方,使用同乙個secretkey,可以對密文進行解密,得到明文。
問題:在開放的internet如何交換secretkey,這本身就是個問題。這個交換的過程也是需要加密的。這就套娃了無解了。
通訊雙方各自有乙個公鑰,還有私鑰;私鑰只有自己知道,公鑰全世界都知道;非對稱加密演算法,保證了用公鑰加密的資訊,可以用對應的私鑰解密。
比如:curry和klay 需要進行通訊。
curry有私鑰privatekeycurry 和公鑰publickeycurry
klay有私鑰privatekeyklay 和 公鑰publickeyklay
只有curry知道自己的私鑰privatekeycurry
只有klay知道自己的私鑰privatekeyklay
但是全世界都知道他們的公鑰。
curry 和 klay 通訊
需要先約定乙個解密的秘鑰。(之前說只用對稱加密無法解決這個約定問題)
於是我們用非對稱加密來解決這個約定問題。
curry 對 klay 說: 讓我們約定對稱加密的秘鑰是 symmetrickey吧。於是curry 找到klay的公鑰(全世界都知道),然後用他的公鑰publickeyklay對symmetrickey 進行加密,發給klay;
klay收到加密的密文,用自己的私鑰privatekeyklay解密,得到了curry提供的symmetrickey。
約定好了symmetrickey,從此以後他倆就可以愉快地使用對稱加密,都用symmetrickey加密、解密要傳輸的資訊了。
如何解決這些問題?
這時候就需要ca證書了。
ca證書由第三方權威機構頒發,每個公司需要去申請這個證書。
當klay開了一家叫klay的公司,他就去花大價錢申請了乙個caklay證書。ca這個權威機構會對klay公司的證書明文做一些hash得到摘要,再進行加密(用ca權威機構的私鑰),得到乙個簽名。
通訊過程中,curry先找klay公司要證書,klay公司返回證書明文以及證書簽名,curry拿到證書明文,使用相同的hash得到摘要abstractfromklay;然後curry客戶端內用ca機構的公鑰對簽名進行解密,得到證書摘要(abstractfromca),比較abstractfromca和abstractfromklay,如果一致則說明證書有效
這個流程圖很不錯
掘金網文章
極客時間文章1
極客時間文章2
中間人攻擊?
非對稱加密(1)非對稱加密原理
現在我們已經知道對稱加密的乙個最大的問題是如何安全地傳輸金鑰,並且在對稱加密的體系下找不到好的解決方案。1976 年,美國學者 dime 和henman 為解決資訊公開傳送和金鑰管理問題,提出一種新的金鑰交換協議,允許在不安全 上的通訊雙方交換資訊,安全地達成一致的金鑰,這就是 公開金鑰系統 相對於...
非對稱加密(1)非對稱加密原理
現在我們已經知道對稱加密的乙個最大的問題是如何安全地傳輸金鑰,並且在對稱加密的體系下找不到好的解決方案。1976年,美國學者dime和henman為解決資訊公開傳送和金鑰管理問題,提出一種新的金鑰交換協議,允許在不安全 上的通訊雙方交換資訊,安全地達成一致的金鑰,這就是 公開金鑰系統 相對於 對稱加...
https原理以及對稱加密和非對稱加密
對稱加密的原理是資料傳送方將明文 原始資料 和加密金鑰一起經過特殊加密演算法處理後,使其變成複雜的加密密文傳送出去。接收方收到密文後,若想解讀原文,則需要使用加密金鑰及相同演算法的逆演算法對密文進行解密,才能使其恢復成可讀明文。非對稱加密的原理是甲方首先生成一對金鑰同時將其中的一把作為公開金鑰 得到...