計算機網路技術與服務/安全與密碼學元素
在網路環境中,安全機制的基本目標是
- 端點認證;
- 資料完整性:我們希望確保資料從源到目的地在傳輸過程中未被篡改;
- 機密性:我們希望確保資料不會被除預期接收者以外的任何人讀取。
這些目標是透過使用密碼機制實現的。這些機制應用於兩種不同的情況下,即兩種不同的操作
- 加密:它包括對交換的資料進行加密,即更改資料包的內容,以便只有授權的人才能重建原始內容;
- 簽名:它用於保證資料完整性和傳送者身份驗證,透過在訊息末尾新增一個小的位元組序列來實現,該序列取決於資料本身以及傳送者所擁有的某些資訊
- 端點可以重新計算此位元組序列,以檢查資料是否被修改;
- 該操作類似於錯誤檢測碼的操作,但與之不同的是,位元組序列基於一個秘密金鑰。
金鑰型別有兩種
- 共享(或對稱)金鑰:相同的金鑰,它是一個位元組序列,既用於加密/簽名,也用於解密/驗證資料。金鑰必須在通訊站之間保密,這帶來了挑戰,因為用於協商金鑰的通訊本身應該安全;
- 非對稱金鑰:使用兩個不同的金鑰來加密/簽名和解密/驗證資料。這兩個金鑰中有一個稱為公鑰,用於解密源主機使用其私鑰加密的資料包,可以隨意共享;另一個金鑰必須保密。這兩個金鑰的關係是,用其中一個金鑰加密的資料只能用另一個金鑰解密。
- 例如,如果您想安全地傳送檔案,可以使用私鑰應用密碼演算法並公開公鑰:這樣,任何希望與該主機安全通訊的人都可以使用該金鑰加密訊息,因為只有該主機擁有私鑰,才能進行解碼。
- 為了檢查傳送者的身份,機制類似:如果您想確保使用者可以檢查訊息是否來自特定傳送者,他們只需使用傳送者的公鑰來解密傳送者傳送的訊息即可。
- 與對稱金鑰相比,非對稱金鑰的魯棒性較低,並且使用它們的演算法需要更多的計算資源。
- 在許多情況下,非對稱金鑰用於安全通訊並協商對稱金鑰
- 主機發送它打算用於該單向通訊的公鑰到目標主機;
- 目標主機選擇一個對稱金鑰,並透過使用之前接收到的公鑰加密它來轉發;
- 源主機使用私鑰解密訊息,從那時起它將使用訊息中包含的對稱金鑰。
關鍵點: 當有人收到與某個實體相關的公鑰時,必須確保該實體的身份,即它確實是它聲稱的實體:為此,我們使用證書。
它們是允許您檢查公鑰是否屬於某個實體的文件。數字證書包含
- 有關金鑰的資訊;
- 有關所有者身份的資訊;
- 已驗證證書內容的實體的數字簽名。
簽名不過是一個位元組序列,一種摘要,使用證書頒發機構的私鑰加密。驗證簽名意味著檢查證書是否已由證書頒發機構驗證,因此您只需使用其證書(其中包含公鑰)來解密簽名即可。認證實體的證書可能已經為主機所知,例如因為它已經存在於作業系統或 Web 瀏覽器中,或者它可能需要下載並依次以相同方式驗證。根 CA 證書必須以可靠的方式獲得。