磁盤加密技術(shù) 及工作原理原理

1、第4章 數(shù)據(jù)加密技術(shù)1本章提要按使用密鑰的不同，數(shù)據(jù)加密體制可分為“對稱密鑰”加密體制和“非對稱密鑰”加密體制對稱加密、非對稱加密、哈希、數(shù)字簽名、數(shù)字認證等技術(shù)都是數(shù)據(jù)加密技術(shù)的組成部分數(shù)據(jù)加密技術(shù)在電子商務(wù)領(lǐng)域以及VPN技術(shù)中都有現(xiàn)實應(yīng)用2引言事件一：A公司正在進行著某個招標(biāo)項目的投標(biāo)工作，工作人員通過電子郵件的方式把經(jīng)過充分準備的標(biāo)書發(fā)給了招標(biāo)單位，A公司的競爭對手從網(wǎng)絡(luò)上竊取到了這封電子郵件，拿到A公司的標(biāo)書，從中知道A公司投標(biāo)的標(biāo)的。后果有多么嚴重，你應(yīng)該可以想象吧？事件二：B公司在網(wǎng)上接到了一大筆訂單，興奮異常，貨準備好了，對方卻否認曾簽定過這份電子訂單。從網(wǎng)上發(fā)來的訂單上確實又沒

2、有對方的蓋章和簽字，無法證明訂貨方的身份，B公司白白耗費了時間，物力，人力。這樣的電子商務(wù)，帶來了多少的煩惱??！3以上事件引發(fā)我們一系列的思考：在互聯(lián)網(wǎng)上進行文件傳輸、電子郵件商務(wù)往來存在許多不安全因素，特別是對于一些機密文件，而這種不安全性是互聯(lián)網(wǎng)存在的基礎(chǔ)TCP/IP協(xié)議所固有的；互聯(lián)網(wǎng)給眾多的商家?guī)砹藷o限的商機，但只有做到了電子合同的抗抵賴，防篡改，才能使商家開展正常的、有序的商務(wù)往來。解決以上問題，只能選擇數(shù)據(jù)加密技術(shù)。44.1概述54.1.1 關(guān)于數(shù)據(jù)加密的術(shù)語數(shù)據(jù)加密就是對存儲或者傳輸?shù)男畔茨撤N算法進行處理，使其成為不可讀的一段代碼，只有在輸入相應(yīng)的密鑰之后才能顯示出本來內(nèi)容，

3、通過這樣的途徑來達到保護數(shù)據(jù)不被非法竊取、閱讀的目的。6被變換的信息稱為明文，它可以是一段有意義的文字或者數(shù)據(jù)；變換后的形式稱為密文，密文應(yīng)該是一串雜亂排列的數(shù)據(jù)，從字面上沒有任何含義。從明文到密文的變換過程稱為加密。密文經(jīng)過通信信道的傳輸?shù)竭_目的地后需要還原成有意義的明文才能被通信接收方理解，將密文還原為明文的變換過程稱為解密。74.1.2 數(shù)據(jù)加密的歷史數(shù)據(jù)加密作為保障數(shù)據(jù)安全的一種方式，它的起源要追溯到公元前2000年。古埃及人是最先使用特別的象形文字作為信息編碼的，隨著時間推移，巴比倫、美索不達米亞和希臘文明都開始使用一些方法來保護他們的書面信息。近代數(shù)據(jù)加密主要應(yīng)用于軍事領(lǐng)域，如美國

4、獨立戰(zhàn)爭、美國內(nèi)戰(zhàn)和兩次世界大戰(zhàn)。最廣為人知的編碼機器是German Enigma機，在第二次世界大戰(zhàn)中德國人利用它創(chuàng)建了加密信息。此后，由于Alan Turing和Ultra計劃以及其他人的努力，終于對德國人的密碼進行了破解。當(dāng)初，計算機的研究就是為了破解德國人的密碼，人們并沒有想到計算機給今天帶來的信息革命。隨著計算機的發(fā)展，運算能力的增強，過去的密碼都變得十分簡單了，于是人們又不斷地研究出了新的數(shù)據(jù)加密方式，如利用RSA算法產(chǎn)生的私鑰和公鑰就是在這個基礎(chǔ)上產(chǎn)生的。 84.1.3 密碼學(xué)與數(shù)據(jù)加密密碼學(xué)研究包含兩部分內(nèi)容：一是加密算法的設(shè)計和研究；一是密碼分析，即密碼破譯技術(shù)。94.2 數(shù)

5、據(jù)加密體制雖然數(shù)據(jù)加密算法多種多樣，但是，按使用密鑰的不同，數(shù)據(jù)加密體制可分為“對稱密鑰”加密體制和“非對稱密鑰”加密體制?！皩ΨQ密鑰”加密體制“非對稱密鑰”加密體制104.2.1 “對稱密鑰”加密體制114.2.1.1 “對稱密鑰”加密體制如何進行加密解密在“對稱密鑰”加密體制中，加密和解密采用的是同一密鑰，即加密時用什么密鑰來加密數(shù)據(jù)，解密時就用同樣的密鑰來解密數(shù)據(jù)。（注：在某些“對稱密鑰”加密算法中，加密密鑰和解密密鑰不完全相同，但加密密鑰可以從解密密鑰求得，反之亦然。在大多數(shù)“對稱密鑰”加密算法中，加密密鑰和解密密鑰是相同的。）“對稱密鑰”加密體制的發(fā)送方和接收方必須事先約定密鑰。12

6、13“對稱密鑰”加密體制從加密數(shù)據(jù)的模式上可以分為兩類：第一類：序列加密：通過有限狀態(tài)機產(chǎn)生性優(yōu)良的偽隨機序列，使用該序列加密信息流。加密時，對信息流逐位加密得到密文序列。所以，序列加密的安全強度完全取決于它所產(chǎn)生的偽隨機序列的好壞。第二類：分組加密：分組加密的工作方式是將明文分成固定長度的組（如64位一組），用同一密鑰和算法對每一組數(shù)據(jù)加密，輸出固定長度的密文。 144.2.1.2 “對稱密鑰”加密體制的優(yōu)缺點“對稱密鑰”加密體制具有加解密速度快、安全強度高的優(yōu)點，在軍事、外交以及商業(yè)應(yīng)用中使用越來越普遍?！皩ΨQ密鑰”加密體制的最大缺點就是存在密鑰交付的問題。154.2.1.3 “對稱密鑰”

7、加密體制的密鑰管理對“對稱密鑰”加密體制來說，在進行通信之前，雙方必須持有相同的密鑰。與不同的人通信時，要使用不同的密鑰，去管理這些密鑰是一件可怕的事。密鑰分發(fā)中心（Key Distribution Center，KDC）在密鑰的管理、分配中充當(dāng)可信任的第三方角色。KDC保存有每個用戶和KDC之間的共享的惟一密鑰，以便進行分配。在密鑰分發(fā)過程中，KDC按照需要生成各對端用戶之間的會話密鑰，并由用戶和KDC共享的密鑰進行加密，通過安全協(xié)議將會話密鑰安全地傳送給需要進行通信的雙方。164.2.1.4 “對稱密鑰”加密體制的典型算法（DES）比較著名的常規(guī)加密算法有：美國的DES及其各種變形，比如T

8、riple DES、GDES、New DES和DES的前身Lucifer；歐洲的IDEA；日本的FEALN、LOKI91、Skipjack、RC4、RC5以及以代換密碼和轉(zhuǎn)輪密碼為代表的古典密碼等。在眾多的常規(guī)加密算法中影響最大的是DES加密算法。 17DES（Data Encryption Standard，數(shù)據(jù)加密標(biāo)準） DES需經(jīng)過16圈迭代，這意味著要在明文的分組上16次實施相同的運算。每圈迭代運算的方式用簡圖表示如下：184.2.2 “非對稱密鑰”加密體制194.3.2.1 “非對稱密鑰”加密體制如何進行加密解密現(xiàn)代加密體制中加密和解密采用不同的密鑰，因此稱為“非對稱密鑰”加密體制。

9、每個通信方均需要有兩個密鑰（一個加密鑰，一個解密鑰），在進行保密通信時，通常將加密密鑰公開（稱為公鑰，Public Key），而保留解密密鑰（稱為私鑰，Private Key）。雖然兩者之間存在一定的關(guān)系，但不可能輕易地從一個推導(dǎo)出另一個。發(fā)送方想發(fā)送機密信息給接收方，可以從任意公開渠道獲得對方的公鑰，將明文用對方的公鑰加密成密文后，發(fā)送給接收方。接收方在接到密文后，用保留的解密密鑰將密文還原成明文。20 由于在通信信道上傳輸?shù)男畔⒅挥泄€和密文，即使從網(wǎng)上獲取到這些信息，由于無法獲得接收方保留的解密密鑰，就不能將密文還原為明文。 214.2.2.2 “非對稱密鑰”加密體制的優(yōu)缺點“非對稱密鑰

10、”加密體制的最大優(yōu)點就是適應(yīng)網(wǎng)絡(luò)開放性的要求，不存在密鑰分發(fā)的問題。 由于“非對稱密鑰”加密體制的算法比“對稱密鑰”加密體制的算法復(fù)雜度高，大量數(shù)據(jù)加密時“對稱密鑰”加密體制要比“非對稱密鑰”加密體制的速度快1001000倍，因此，“非對稱密鑰”密碼體制常被用于對少量關(guān)鍵數(shù)據(jù)（例如：“對稱密鑰”加密體制的密鑰）進行加密，或者用于數(shù)字簽名領(lǐng)域，一般不用于對大量數(shù)據(jù)的加密。224.2.2.3 “非對稱密鑰”加密體制的密鑰管理公鑰是指可以提供給很多人的密鑰，相反，私鑰是特定個人所獨有的?！胺菍ΨQ密鑰”加密體制中公鑰的管理通常采用數(shù)字證書的方式。由CA（Certification Authority，

11、證書權(quán)威）負責(zé)對數(shù)字證書進行管理、維護和驗證。234.2.2.4 “非對稱密鑰”加密體制的典型算法（RSA）常用的“非對稱密鑰”加密算法有Rivest，Shamir和Adleman提出的并以他們的名字首字母命名的RSA算法，它可以實現(xiàn)加密和數(shù)據(jù)簽名的功能；E1 Gamal 和DSS算法實現(xiàn)簽名但是沒有加密；Diffie Hellman算法用于建立共享密鑰，沒有簽名也沒有加密，一般與“對稱密鑰”加密算法共同使用。這些算法復(fù)雜度各不相同，提供的功能也不完全一樣。244.3 數(shù)據(jù)加密技術(shù)對稱加密技術(shù)非對稱加密技術(shù)哈希（Hash）技術(shù)數(shù)字簽名、電子印章數(shù)字認證254.3.3 哈希（Hash）技術(shù)哈希技

12、術(shù)也稱為雜湊技術(shù)，這是一個簡單的不可逆過程，也就是Hash后的密文，無法再還原。哈希技術(shù)原來是用于計算機中作索引的，但Hash算法在保證文件的完整性和不可改性上也有根好的用途，一般用法是明文后加一段由明文Hash而成的密文，由于Hash過程需要一個密鑰，雖然明文修改很容易，但要修改hash后的密文就不那么容易了，由此來保證文件的完整性和不可改性。264.3.4 數(shù)字簽名、電子印章書信或文件是根據(jù)親筆簽名或印章來證明其真實性的，但在計算機網(wǎng)絡(luò)中傳送的書信或文件又如何簽字或蓋章呢？這就是數(shù)字簽名和電子印章技術(shù)所要解決的問題。27數(shù)字簽名、電子印章數(shù)字簽名就是基于加密技術(shù)的，它的作用就是用來確定用戶

13、是否是真實的。應(yīng)用最多的還是電子郵件，如當(dāng)用戶收到一封電子郵件時，郵件上面標(biāo)有發(fā)信人的姓名和信箱地址，很多人可能會簡單地認為發(fā)信人就是信上說明的那個人，但實際上偽造一封電子郵件對于一個通常人來說是極為容易的事。在這種情況下，就要用到加密技術(shù)基礎(chǔ)上的數(shù)字簽名，用它來確認發(fā)信人身份的真實性。 28數(shù)字簽名、電子印章數(shù)字簽名技術(shù)力圖保證3點：（1）接收者能夠核實發(fā)送者對報文的簽名；（2）發(fā)送者事后不能抵賴對報文的簽名；（3）接收者不能偽造對報文的簽名。29數(shù)字簽名的原理 30在現(xiàn)實的應(yīng)用中，由于進行數(shù)字簽名的報文可能非常大，需要先用哈希技術(shù)對報文進行處理，生成哈希值，再用私鑰對哈希值進行加密，生成數(shù)

14、字簽名，將數(shù)字簽名和報文一同發(fā)送給接收方，接收方用發(fā)送方的公鑰核實簽名后，就可以確認發(fā)送方的身份。 31數(shù)字簽名的生成過程 324.3.5 數(shù)字認證334.3.5.1 數(shù)字證書什么是數(shù)字證書：數(shù)字證書是網(wǎng)絡(luò)用戶的身份證明，相當(dāng)于現(xiàn)實生活在中的個人身份證。 數(shù)字證書由一個值得信賴的權(quán)威機構(gòu)（證書頒發(fā)機構(gòu)，簡稱CA）發(fā)行，人們可以在交往中用它來鑒別對方的身份和表明自身的身份。數(shù)字證書的格式一般采用X.509國際標(biāo)準。34數(shù)字證書2. 數(shù)字證書的內(nèi)容數(shù)字證書一般包括下列內(nèi)容：證書公鑰，用戶信息，公鑰有效期限，發(fā)證機構(gòu)的名稱，數(shù)字證書的序列號，發(fā)證機構(gòu)的數(shù)字簽名。35數(shù)字證書3. 數(shù)字證書的作用與數(shù)字

15、證書相對應(yīng)有一個私鑰，用數(shù)字證書中公鑰加密的數(shù)據(jù)只有私鑰能夠解密，用私鑰加密的數(shù)據(jù)只有公鑰能解密。運用上述原理使用數(shù)字證書，可以建立一套嚴密的身份認證系統(tǒng)，從而保證：信息除發(fā)送方和接收方外不被其它人竊取 信息在傳輸過程中不被篡改 發(fā)送方能夠通過數(shù)字證書來確認接收方的身份 發(fā)送方對于自己的信息不能抵賴364.3.5.1 CA和PKICA稱為證書頒發(fā)機構(gòu)。它向用戶頒發(fā)數(shù)字證書，證書中含有用戶名、公鑰以及其他身份信息。由于這些信息都由證書頒發(fā)機構(gòu)對之進行了數(shù)字簽名，形成了一個可以證明這個公鑰可靠性的證書。37PKI體系即“公鑰基礎(chǔ)設(shè)施”，是一個由多個認證機構(gòu)及最終用戶，以及密鑰恢復(fù)服務(wù)器、注冊服務(wù)器

16、等組成的公鑰證書的管理體制?；赑KI的數(shù)字證書一定要有標(biāo)準格式，才能達到相互認證。目前，被廣泛采用的是國際電信聯(lián)盟（ITU）提出的X.509。384.3.5.3 數(shù)字認證過程394.3.6 數(shù)據(jù)加密技術(shù)的選擇面對不同的需求，可以選擇不同的數(shù)據(jù)加密技術(shù)幫助我們解決問題。第一：要永久性保留數(shù)據(jù)，應(yīng)該選擇對稱加密技術(shù)。第二：雙方事先共享密鑰，并確保沒有第三方獲得此密鑰，應(yīng)該選擇對稱加密技術(shù)來提高加密和解密的速度。第三：想通過不安全的媒介安全地交換數(shù)據(jù)，應(yīng)該選擇非對稱加密技術(shù)。第四：驗證數(shù)據(jù)在傳輸過程中沒有被篡改，應(yīng)該選擇哈希技術(shù)。第五：要進行身份驗證和實現(xiàn)不可否認性，應(yīng)該選擇數(shù)字簽名技術(shù)。第六：要

17、驗證聲稱是公鑰所有者的人員的身份，應(yīng)使用證書。404.4 數(shù)據(jù)加密技術(shù)的現(xiàn)實應(yīng)用4.4.1數(shù)據(jù)加密技術(shù)在電子商務(wù)領(lǐng)域的應(yīng)用4.4.2數(shù)據(jù)加密技術(shù)在VPN中的應(yīng)用414.4.1數(shù)據(jù)加密技術(shù)在電子商務(wù)領(lǐng)域的應(yīng)用4.4.1.1 安全套接層（SSL）SSL用一種電子證書（electric certificate）來實行身份認證后，雙方就可以用私有密鑰進行安全的會話了。在客戶與電子商務(wù)的服務(wù)器進行溝通的過程中，客戶會產(chǎn)生一個會話密鑰（Session Key），然后客戶用服務(wù)器端的公鑰將會話密鑰（Session Key）加密，再傳給服務(wù)器端，在雙方都知道會話密鑰（Session Key）后，傳輸?shù)臄?shù)據(jù)都是

18、以會話密鑰（Session Key）進行加密與解密的，但服務(wù)器端發(fā)給用戶的公鑰必需先向有關(guān)發(fā)證機關(guān)申請，以得到公證。 424.4.1數(shù)據(jù)加密技術(shù)在電子商務(wù)領(lǐng)域的應(yīng)用4.4.1.2 安全電子交易（SET）SET是IBM、信用卡國際組織（VISA和MasterCard）以及相關(guān)廠商針對網(wǎng)絡(luò)電子交易共同制定的安全協(xié)議，它運用了RSA安全的“非對稱密鑰”加密技術(shù)，具有資料保密性、資料完整性、資料來源可辨識性及不可否認性，主要為了解決用戶、商家和銀行之間通過信用卡支付的交易而設(shè)計的，以保證支付信息的機密，支付過程的完整，商家及信用卡用戶的合法身份，以及可操作性。 434.4.2數(shù)據(jù)加密技術(shù)在VPN中的應(yīng)

19、用在不同的設(shè)備之間使用VPN技術(shù)時，必須有一個統(tǒng)一的標(biāo)準才能實現(xiàn)互相“理解”，就好像人和人之間溝通時需要有相同的語言一樣，所以針對此點也就產(chǎn)生了眾多的VPN協(xié)議。目前國際上比較流行的VPN協(xié)議主要有IPSec、PPTP、L2TP、MPLS、SSL等，這些不同的協(xié)議各有它獨特的優(yōu)勢和缺陷。國際上眾多設(shè)備廠商在生產(chǎn)自己的VPN設(shè)備時，通常會采用其中一到兩種協(xié)議來作為該設(shè)備所支持的標(biāo)準，目前使用的最多的當(dāng)數(shù)IPSec和PPTP兩種協(xié)議。444.5 主要產(chǎn)品及應(yīng)用實例454.5.1 PGP加密軟件4.5.1.1 PGP加密軟件的歷史4.5.1.2 PGP加密軟件的原理及工作流程4.5.1.3 產(chǎn)品464.5.1.1 PGP加密軟件的歷史作者 Philip Zimmermann 他將程序原始碼印刷成書(12大本，超過6000頁)，然后合法的出口到國外，在歐洲由熱心的義工群，將書本重新電子掃描，轉(zhuǎn)譯回程序代碼后，再編譯成原來的 PGP 5.0。