加密與數(shù)字簽名

第4章加密與數(shù)字簽名本章要點(diǎn)對稱加密算法和非對稱加密算法的工作原理。數(shù)字簽名技術(shù)工作原理。公鑰基礎(chǔ)架構(gòu)（PKI）、CA、數(shù)字證書的工作原理和相關(guān)概念。PGP工具軟件的應(yīng)用。EFS工作原理及應(yīng)用。SSL安全傳輸及安全Web站點(diǎn)的應(yīng)用配置。4.1加密技術(shù)4.1.1加密技術(shù)概述加密技術(shù)是網(wǎng)絡(luò)安全的核心技術(shù)之一，也是對付網(wǎng)絡(luò)中各種安全威脅和安全隱患的有力武器，通過適當(dāng)?shù)募用芄芾頇C(jī)制可以保證網(wǎng)絡(luò)通信的安全。本章所介紹的密碼技術(shù)是一種新型的數(shù)字化信息加密技術(shù)，并不是指普通意義上利用“密碼保護(hù)”使數(shù)據(jù)僅被授權(quán)用戶訪問。加密技術(shù)能將一段通俗易懂的明文變換成一段晦澀難懂的密文，實(shí)現(xiàn)對數(shù)據(jù)的保護(hù)。4.1.1加密技術(shù)概述加密技術(shù)有關(guān)的專業(yè)術(shù)語

明文

密文

加密

解密

密鑰加密技術(shù)的應(yīng)用具備以下幾種基本特性。

機(jī)密性

完整性

可用性

抗否認(rèn)性4.1.2數(shù)據(jù)加密常見方式1．?dāng)?shù)據(jù)存儲加密2．?dāng)?shù)據(jù)傳輸加密（1）鏈路加密（2）節(jié)點(diǎn)加密（3）端到端加密4.2加密算法4.2.1古典加密算法1．替代密碼（1）單表替代密碼（2）多表替代密碼2．變位密碼（1）列變位密碼（2）矩陣變位密碼4.2.1古典加密算法4.2.2現(xiàn)代加密算法1．對稱加密算法（1）DES算法（2）IDEA算法（3）AES算法4.2.2現(xiàn)代加密算法2．非對稱加密算法（1）RSA算法（2）DSA算法（3）Diffie-Hellman算法4.3數(shù)字簽名技術(shù)4.3.1數(shù)字簽名技術(shù)概述數(shù)字簽名（DigitalSignature）又稱為公鑰數(shù)字簽名或電子簽章，它不同于簽名數(shù)字掃描圖像或用觸摸板獲取的簽名。一套數(shù)字簽名定義了兩種互補(bǔ)的密鑰：一種用于簽名，另一種用于驗(yàn)證。數(shù)字簽名一般具有以下3種特性。

完整性

不可偽造性

不可抵賴性4.3.2數(shù)字簽名技術(shù)的工作原理數(shù)據(jù)發(fā)送方使用自己的私鑰對數(shù)據(jù)及與數(shù)據(jù)有關(guān)的變量進(jìn)行運(yùn)算，將合法的數(shù)字簽名與數(shù)據(jù)原文一起傳送給接收方，接收方利用發(fā)送方的公鑰對收到的數(shù)字簽名進(jìn)行運(yùn)算，將得到的結(jié)果與發(fā)送方發(fā)送過來的簽名做比較，如果相同，則說明收到的數(shù)據(jù)是完整的，反之說明數(shù)據(jù)被修改過，以此對數(shù)據(jù)完整性做檢驗(yàn)，以確認(rèn)簽名的真實(shí)性和合法性。4.3.3數(shù)字簽名技術(shù)的算法一般數(shù)字簽名包括普通數(shù)字簽名和特殊數(shù)字簽名兩種：普通數(shù)字簽名算法有DES、DSA、RSA、ElGamal、Fiat-Shamir算法等；特殊數(shù)字簽名有盲簽名、群簽名、代理簽名、不可否認(rèn)簽名等，它與具體應(yīng)用環(huán)境相關(guān)。MD5是目前應(yīng)用最廣泛的報(bào)文摘要算法，是一個(gè)可以為每段數(shù)據(jù)生成一個(gè)數(shù)字簽名的工具，屬于哈希函數(shù)的一種。4.4PKI技術(shù)4.4.1PKI概述在Diffie-Hellman算法思想的基礎(chǔ)上，很快出現(xiàn)了非對稱密鑰密碼體制，即PKI。PKI（PublicKeyInfrastructure）稱為公鑰基礎(chǔ)架構(gòu)，它利用非對稱密碼算法原理和技術(shù)來提供一種安全服務(wù)，實(shí)現(xiàn)具有通用性的安全基礎(chǔ)設(shè)施，并遵循標(biāo)準(zhǔn)的公鑰加密技術(shù)為網(wǎng)絡(luò)數(shù)據(jù)安全傳輸提供一個(gè)安全的基礎(chǔ)平臺。4.4.2PKI技術(shù)原理PKI技術(shù)利用公鑰理論和技術(shù)建立并提供網(wǎng)絡(luò)信息安全服務(wù)的基礎(chǔ)設(shè)施，能夠?yàn)榫W(wǎng)絡(luò)中所有用戶提供所需的密鑰管理，用戶可以在PKI平臺上實(shí)現(xiàn)加密和數(shù)字簽名等密碼服務(wù)。PKI系統(tǒng)應(yīng)具備以下幾個(gè)部分：1．CA（CertificateAuthority）2．?dāng)?shù)字證書庫3．密鑰備份及還原系統(tǒng)4．證書吊銷系統(tǒng)5．PKI應(yīng)用接口系統(tǒng)4.4.3證書頒發(fā)機(jī)構(gòu)CA作為網(wǎng)絡(luò)安全通信中受信任和具有權(quán)威性的第三方，承擔(dān)公鑰體系中公鑰的合法性驗(yàn)證的工作。CA在密鑰管理方面的主要作用如下：1．管理自身密鑰2．密鑰生成和分發(fā)3．管理客戶證書4．密鑰托管和密鑰還原4.4.4數(shù)字證書1．?dāng)?shù)字證書概述數(shù)字證書是網(wǎng)絡(luò)中標(biāo)識通信雙方身份信息的一系列數(shù)據(jù)的總和，是一個(gè)由CA證書頒發(fā)機(jī)構(gòu)進(jìn)行數(shù)字簽名并頒發(fā)的包含公鑰擁有者信息和公鑰的文件。2．?dāng)?shù)字證書的內(nèi)容一個(gè)標(biāo)準(zhǔn)的X.509數(shù)字證書包含以下一些內(nèi)容

證書的版本信息。

證書的序列號，一個(gè)唯一的證書序列號。

證書所使用的簽名算法。

證書所有者的名稱，命名規(guī)則通常采用X.500格式。

證書發(fā)行機(jī)構(gòu)的名稱，命名規(guī)則通常采用X.500格式。

證書有效期，現(xiàn)在通用的證書通常采用UTC時(shí)間格式。

證書所有者的公開密鑰。

證書頒發(fā)者對證書的簽名。3．?dāng)?shù)字證書的申請過程每個(gè)客戶首先產(chǎn)生自己的密鑰對，自己設(shè)定一個(gè)特定的僅為本人所知的私鑰用來進(jìn)行解密和簽名，設(shè)定一個(gè)公鑰用于其他人加密發(fā)送給自己消息或用于驗(yàn)證自己簽名。客戶將公鑰及部分個(gè)人身份信息傳送給CA。CA核實(shí)身份后，再次請求確認(rèn)由用戶發(fā)送而來的信息，CA接著將頒發(fā)給客戶一個(gè)數(shù)字證書，該證書內(nèi)包含客戶的個(gè)人信息及其公鑰，同時(shí)還附有認(rèn)證中心的數(shù)字簽名?？蛻艨墒褂米约旱臄?shù)字證書與其他通信方安全交換數(shù)據(jù)。4.5PGP原理及應(yīng)用4.5.1PGP概述1．PGP簡介PGP（PrettyGoodPrivacy）是一個(gè)基于RSA公鑰加密體系的加密軟件，它充分結(jié)合了RSA公鑰加密體系的強(qiáng)度和傳統(tǒng)加密體系的速度，并且在數(shù)字簽名和密鑰認(rèn)證管理機(jī)制上進(jìn)行了巧妙的設(shè)計(jì)。2．PGP加密原理PGP實(shí)際上用來加密的不是RSA本身，而是采用了IDEA。PGP采用IDEA隨機(jī)生成一個(gè)密鑰加密明文，然后用RSA算法對該密鑰進(jìn)行加密，接收方則用RSA解出這個(gè)密鑰，再用這個(gè)密鑰解密密文。4.5.2PGP密鑰的創(chuàng)建1．新建PGP密鑰2．創(chuàng)建主密鑰4.5.3PGP文件加密和解密1．加密文件2．解密文件4.5.4PGP密鑰導(dǎo)出與導(dǎo)入1．導(dǎo)出密鑰2．導(dǎo)入密鑰4.5.5PGP電子郵件加、解密和簽名驗(yàn)證1．發(fā)送加密郵件2．解密郵件4.5.6PGP數(shù)字簽名選擇要簽名的密鑰選擇要簽名的文件簽名并保存校驗(yàn)簽名4.6EFS原理及應(yīng)用4.6.1EFS概述EFS（EncryptingFileSystem，加密文件系統(tǒng)）是Windows操作系統(tǒng)中NTFS的一個(gè)組件，用于在NTFS的磁盤上加密存儲文件（夾）。EFS采用的是高級的標(biāo)準(zhǔn)加密算法，與文件系統(tǒng)集成在一起，使其易于管理，安全性高。4.6.2EFS的加密和解密1．加密過程（1）圖形界面加密（2）命令行加密2．解密過程（1）圖形界面解密（2）命令行解密4.6.3EFS的其他應(yīng)用1．禁用EFS加密2．備份E