如何用密码学的方法确认发送对象

A. 密码学基础

​ 密码学是研究如何保护信息安全性的一门科学，涉及数学、物理、计算机、信息论、编码学、通讯技术等学科，已经在生活中得到广泛应用。

​ 密码学组成分支分为编码学和密码分析学。密码编码学主要研究对信息进行编码，实现信息的隐蔽。密码分析学主要研究加密消息的破译或消息的伪造。二者相互独立，又相互依存，在矛盾与斗争中发展，对立统一。

​ 密码学的发展历史大致可划分为三个阶段：

机密性

仅有发送方和指定的接收方能够理解传输的报文内容。窃听者可以截取到加密了的报文，但不能还原出原来的信息，即不能得到报文内容。

鉴别

发送方和接收方都应该能证实通信过程所涉及的另一方， 通信的另一方确实具有他们所声称的身份。即第三者不能冒充跟你通信的对方，能对对方的身份进行鉴别。

报文完整性

即使发送方和接收方可以互相鉴别对方，但他们还需要确保其通信的内容在传输过程中未被改变。

不可否认性

如果人们收到通信对方的报文后，还要证实报文确实来自所宣称的发送方，发送方也不能在发送报文以后否认自己发送过报文。

​ 密码体制是一个使通信双方能进行秘密通信的协议。密码体制由五要素组成，P（Plaintext明文集合），C（Ciphertext密文集合），K（Key密钥集合），E（Encryption加密算法），D（Decryption解密算法），且满足如下特性： 

<script type="math/tex; mode=display" id="MathJax-Element-1"> p ∈ P </script>

<script type="math/tex; mode=display" id="MathJax-Element-2"> c ∈ C </script>

<script type="math/tex; mode=display" id="MathJax-Element-3"> k1 ∈ K， k2 ∈ K </script>

<script type="math/tex; mode=display" id="MathJax-Element-6"> E_{k1}(p) = c，D_{k2}(c) = p </script>

​ 无论是用手工或机械完成的古典密码体制，还是采用计算机软件方式或电子电路的硬件方式完成的现代密码体制，其加解密基本原理都是一致的。都是基于对明文信息的替代或置换，或者是通过两者的结合运用完成的。

​ 替代（substitution cipher）：有系统地将一组字母换成其他字母或符号;

​ 例如‘help me’变成‘ifmq nf’（每个字母用下一个字母取代）。

​ 置换（Transposition cipher）：不改变字母，将字母顺序重新排列；

​ 例如‘help me’变成‘ehpl em’（两两调换位置）。

​ 密码分析者通常利用以下几种方法对密码体制进行攻击：

​ 已知明文分析法： 

知道一部分明文和其对应的密文，分析发现秘钥。

​ 选定明文分析法： 

设法让对手加密自己选定的一段明文，并获得对应的密文，在此基础上分析发现密钥。

​ 差别比较分析法: 

设法让对方加密一组差别细微的明文，通过比较他们加密后的结果来分析秘钥。

​ 无条件安全： 

无论破译者的计算能力有多强，无论截获多少密文，都无法破译明文。

​ 计算上安全：

​ 破译的代价超出信息本身的价值，破译所需的时间超出信息的有效期。

​ 任何密码系统的应用都需要在安全性和运行效率之间做出平衡，密码算法只要达到计算安全要求就具备了实用条件，并不需要实现理论上的绝对安全。1945年美国数学家克劳德·E·香农在其发布的《密码学的数学原理》中，严谨地证明了一次性密码本或者称为“弗纳姆密码”（Vernam）具有无条件安全性。但这种绝对安全的加密方式在实际操作中需要消耗大量资源，不具备大规模使用的可行性。事实上，当前得到广泛应用的密码系统都只具有计算安全性。

​ 一个好的密码体制应该满足以下两个条件：

在已知明文和密钥的情况下，根据加密算法计算密文是容易的；在已知密文和解密密钥的情况下，计算明文是容易的。

在不知道解密密钥的情况下，无法从密文计算出明文，或者从密文计算出明文的代价超出了信息本身的价值。

常见的密码算法包括:

​ 对称密码体制也称单钥或私钥密码体制，其加密密钥和解密密钥相同，或实质上等同， 即从一个易于推出另一个。

​ 优点：保密性高，加密速度快，适合加密大量数据，易于通过硬件实现； 

缺点：秘钥必须通过安全可靠的途径传输，秘钥的分发是保证安全的关键因素；

​ 常见对称密码算法：DES (密钥长度=56位)、3DES( 三个不同的密钥，每个长度56位)、AES(密钥长度128/192/256可选)、IDEA(密钥长度128位)、RC5(密钥长度可变)。

​ 根据加密方式的不同，对称密码又可以分为分组密码和序列密码。

​ 将明文分为固定长度的组，用同一秘钥和算法对每一块加密，输出也是固定长度的密文，解密过程也一样。

​ 又称为流密码，每次加密一位或一字节的明文，通过伪随机数发生器产生性能优良的伪随机序列（密钥流），用该序列加密明文消息序列，得到密文序列，解密过程也一样。

​ 非对称密码体制又称双钥或公钥密码体制，其加密密钥和解密密钥不同，从一个很难推出另一个。其中的加密密钥可以公开，称为公开密钥，简称公钥；解密密钥必须保密，称为私有密钥，简称私钥。

​ 优点：密钥交换可通过公开信道进行，无需保密。既可用于加密也可用于签名。 

缺点：加密速度不如对称密码，不适合大量数据加密，加密操作难以通过硬件实现。

​ 非对称密码体制不但赋予了通信的保密性，还提供了消息的认证性，无需实现交换秘钥就可通过不安全信道安全地传递信息，简化了密钥管理的工作量，适应了通信网的需要，为保密学技术应用于商业领域开辟了广阔的前景。

​ 常见的非对称密码算法：RSA(基于大整数质因子分解难题)、ECC(基于椭圆曲线离散对数难题)。

对非对称密码的误解 

非对称密码比对称密码更安全？ 

任何一种算法的安全都依赖于秘钥的长度、破译密码的工作量，从抗分析的角度看，没有哪一方更优越；

​ 非对称密码使对称密码成为过时技术？ 

公钥算法很慢，一般用于密钥管理和数字签名，对称密码将长期存在，实际工程中采用对称密码与非对称密码相结合。

​ 哈希函数将任意长的消息映射为一个固定长度的散列值，也称消息摘要。消息摘要可以作为认证符，完成消息认证。 

哈希是单向函数，从消息摘要来推理原消息是极为困难的。哈希函数的安全性是由发生碰撞的概率决定的。如果攻击者能轻易构造出两个不同的消息具有相同的消息摘要，那么这样的哈希函数是不可靠的。

​ 常见的哈希函数有：MD5，SHA1，HMAC。

​ 数字签名是公钥密码的典型应用，可以提供和现实中亲笔签名相似的效果，在技术上和法律上都有保证。是网络环境中提供消息完整性，确认身份，保证消息来源（抗抵赖性）的重要技术。

​ 数字签名与验证过程：

​ 发送方用哈希函数从报文文本中生成一个128位的散列值（或报文摘要），发送方用自己的私钥对这个散列值进行加密来形成自己的数字签名。然后，这个数字签名将作为报文的附件和报文一起发送给接收方。接收方收到报文后，用同样的哈希函数从原始报文中计算出散列值（或报文摘要），接着再用发送方的公钥来对报文附加的数字签名进行解密得出另一个散列值，如果两个散列值相同，那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现消息的完整性和不可抵赖性。 

​ 在网络安全中，密钥的地位举足轻重

。如何安全可靠、迅速高效地分配密钥、管理密钥一直是密码学领域中的重要问题。

​ 密钥生成可以通过在线或离线的交互协商方式实现，如密码协议等 。密钥长度应该足够长。一般来说，密钥长度越大，对应的密钥空间就越大，攻击者使用穷举猜测密码的难度就越大。选择密钥时，应该避免选择弱密钥，大部分密钥生成算法采用随机过程或伪随机过程生成密钥。

​ 采用对称加密算法进行保密通信，需要共享同一密钥。通常是系统中的一个成员先选择一个秘密密钥，然后将它传送另一个成员或别的成员。X9.17标准描述了两种密钥：密钥加密密钥和数据密钥。密钥加密密钥加密其它需要分发的密钥；而数据密钥只对信息流进行加密。密钥加密密钥一般通过手工分发。为增强保密性，也可以将密钥分成许多不同的部分然后用不同的信道发送出去。

​ 密钥附着一些检错和纠错位来传输，当密钥在传输中发生错误时，能很容易地被检查出来，并且如果需要，密钥可被重传。接收端也可以验证接收的密钥是否正确。发送方用密钥加密一个常量，然后把密文的前2-4字节与密钥一起发送。在接收端，做同样的工作，如果接收端解密后的常数能与发端常数匹配，则传输无错。

​ 当密钥需要频繁的改变时，频繁进行新的密钥分发的确是困难的事，一种更容易的解决办法是从旧的密钥中产生新的密钥，有时称为密钥更新。可以使用单向函数进行更新密钥。如果双方共享同一密钥，并用同一个单向函数进行操作，就会得到相同的结果。

​ 密钥可以存储在脑子、磁条卡、智能卡中。也可以把密钥平分成两部分，一半存入终端一半存入ROM密钥。还可采用类似于密钥加密密钥的方法对难以记忆的密钥进行加密保存。

​ 密钥的备份可以采用密钥托管、秘密分割、秘密共享等方式。

​ 密钥托管：

​ 密钥托管要求所有用户将自己的密钥交给密钥托管中心，由密钥托管中心备份保管密钥（如锁在某个地方的保险柜里或用主密钥对它们进行加密保存），一旦用户的密钥丢失（如用户遗忘了密钥或用户意外死亡），按照一定的规章制度，可从密钥托管中心索取该用户的密钥。另一个备份方案是用智能卡作为临时密钥托管。如Alice把密钥存入智能卡，当Alice不在时就把它交给Bob，Bob可以利用该卡进行Alice的工作，当Alice回来后，Bob交还该卡，由于密钥存放在卡中，所以Bob不知道密钥是什么。

​ 秘密分割：

​ 秘密分割把秘密分割成许多碎片，每一片本身并不代表什么，但把这些碎片放到一块，秘密就会重现出来。

​ 秘密共享：

​ 将密钥K分成n块，每部分叫做它的“影子”，知道任意m个或更多的块就能够计算出密钥K，知道任意m-1个或更少的块都不能够计算出密钥K。秘密共享解决了两个问题：一是若密钥偶然或有意地被暴露，整个系统就易受攻击；二是若密钥丢失或损坏，系统中的所有信息就不能用了。

​ 加密密钥不能无限期使用，有以下有几个原因：密钥使用时间越长，它泄露的机会就越大；如果密钥已泄露，那么密钥使用越久，损失就越大；密钥使用越久，人们花费精力破译它的诱惑力就越大——甚至采用穷举攻击法。

​ 不同密钥应有不同有效期。数据密钥的有效期主要依赖数据的价值和给定时间里加密数据的数量。价值与数据传送率越大所用的密钥更换越频繁。如密钥加密密钥无需频繁更换，因为它们只是偶尔地用作密钥交换，密钥加密密钥要么被记忆下来，要么保存在一个安全地点，丢失该密钥意味着丢失所有的文件加密密钥。

​ 公开密钥密码应用中的私钥的有效期是根据应用的不同而变化的。用作数字签名和身份识别的私钥必须持续数年（甚至终身），用作抛掷硬币协议的私钥在协议完成之后就应该立即销毁。即使期望密钥的安全性持续终身，两年更换一次密钥也是要考虑的。旧密钥仍需保密，以防用户需要验证从前的签名。但是新密钥将用作新文件签名，以减少密码分析者所能攻击的签名文件数目。

​ 如果密钥必须替换，旧钥就必须销毁，密钥必须物理地销毁。

​ PKI是一个利用公钥加密技术为密钥和证书的管理，所设计的组件、功能子系统、操作规程等的集合，它的主要任务是管理密钥和证书，为网络用户建立安全通信信任机制。

​ 数字证书是一个包含用户身份信息、公钥信息、证书认证中心(CA)数字签名的文件。

​ 作用：数字证书是各类终端实体和最终用户在网上进行信息交流及商业活动的身份证明，在电子交易的各个缓解，交易的各方都需要验证对方数字证书的有效性，从而解决相互间的信任问题。

​ CA全称Certificate Authentication，是具备权威性的数字证书申请及签发机构。

​ CA作为PKI的核心部分，主要由注册服务器组、证书申请受理和审核机构、认证中心服务器三者组成。

​ 注册服务器：通过 Web Server 建立的站点，可为客户提供24×7 不间断的服务。客户在网上提出证书申请和填写相应的证书申请表。

​ 证书申请受理和审核机构：负责证书的申请和审核。

认证中心服务器：是数字证书生成、发放的运行实体，同时提供发放证书的管理、证书废止列表（CRL）的生成和处理等服务。

​ 通过CA可以实现以下功能：

​ 1. 接收验证最终用户数字证书的申请； 

2. 确定是否接受最终用户数字证书的申请和审批； 

3. 向申请者颁发、拒绝颁发数字证书； 

4. 接收、处理最终用户数字证书的更新； 

5. 接受最终用户数字证书的查询、撤销； 

6. 产生和发布CRL（证书废止列表）； 

7. 数字证书的归档； 

8. 密钥归档； 

9. 历史数据归档；

五、量子密码

5.1 量子计算

​ 由于量子计算技术取得了出人意料的快速发展，大量仅能抵御经典计算机暴力破解的密码算法面临被提前淘汰的困境 。

​ 非对称密码系统有效解决了对称密码面临的安全密钥交换问题，因而广泛应用于公钥基础设施、数字签名、联合授权、公共信道密钥交换、安全电子邮件、虚拟专用网以及安全套接层等大量网络通信活动之中。不幸的是，随着量子计算的发展，包括RSA密码、ECC密码以及DH密钥交换技术等非对称密码算法已经从理论上被证明彻底丧失了安全性。相对于对称密码系统还可以采取升级措施应对量子威胁，非对称密码系统必须采取全新方法进行重建 。

5.2 量子密码

​ 量子密码是以量子力学和密码学为基础，利用量子物理学中的原理实现密码体制的一种新型密码体制，与当前大多使用的经典密码体制不一样的是，量子密码利用信息载体的物理属性实现。目前量子密码用于承载信息的载体包括光子、压缩态光信号、相干态光信号等。

​ 由于量子密码体制的理论基础是量子物理定理，而物理定理是物理学家经过多年的研究与论证得出的结论，有可靠的理论依据，且不论在何时都是不会改变的，因此，理论上，依赖于这些物理定理的量子密码也是不可攻破的，量子密码体制是一种无条件安全的密码体制。

​

B. 密码学的技术应用

Commitment schemes
Secure multiparty computations
电子投票
认证
数位签名
Cryptographic engineering
Crypto systems
1. 数位签章（Digital Signature）：
这是以密码学的方法，根据EDI讯息的内容和发信有该把私钥，任何人都无法产生该签名，因此比手写式的签名安全许多。收信人则以发信人的公钥进行数位签章的验证。
2. 数位信封（Digital Envelope）：
这是以密码学的方法，用收信人的公钥对某些机密资料进行加密，收信人收到后再用自己的私钥解密而读取机密资料。除了拥有该私钥的人之外， 任何人即使拿到该加密过的讯息都无法解密，就好像那些资料是用一个牢固的信封装好，除了收信人之外，没有人能拆开该信封。
3. 安全回条：
收信人依据讯息内容计算所得到的回覆资料，再以收信人的私钥进行数位签章后送回发信人，一方面确保收信人收到的讯息内容正确无误， 另一方面也使收信人不能否认已经收到原讯息。
4. 安全认证：
每个人在产生自己的公钥之后，向某一公信的安全认证中心申请注册，由认证中心负责签发凭证（Certificate），以保证个人身份与公钥的对应性与正确性。

C. 密码学的东西：A发出的信息确认只有B收到，B收到的信息确认是A发出的，怎么实现的

A发出的信息确认只有B收到：如果“只有B收到”，估计得学物理的给你解答。如果“只有B看懂”，那就直接用公钥加密技术，或者对称加密技术。
B收到的信息确认是A发出的：消息源认证技术。有三种方法：MAC码，数字签名，对称加密。

又是0悬赏分……

D. 密码学怎么学 感觉很难学

需要找本好书看，数学基础当然不能少

推荐《密码学引论》by 冯登国，裴定一
如果是英文教材先看《Handbook of Applied Cryptography》by A. Menezes, P. van Oorschot, and S. Vanstone, CRC Press, 1996.

都是好书，入门很好！

E. 密码算法的密码学

(1) 发送者和接收者
假设发送者想发送消息给接收者，且想安全地发送信息：她想确信偷听者不能阅读发送的消息。
(2) 消息和加密
消息被称为明文。用某种方法伪装消息以隐藏它的内容的过程称为加密，加了密的消息称为密文，而把密文转变为明文的过程称为解密。
明文用M（消息）或P（明文）表示，它可能是比特流（文本文件、位图、数字化的语音流或数字化的视频图像）。至于涉及到计算机，P是简单的二进制数据。明文可被传送或存储，无论在哪种情况，M指待加密的消息。
密文用C表示，它也是二进制数据，有时和M一样大，有时稍大（通过压缩和加密的结合，C有可能比P小些。然而，单单加密通常达不到这一点）。加密函数E作用于M得到密文C，用数学表示为：
E（M）=C.
相反地，解密函数D作用于C产生M
D（C）=M.
先加密后再解密消息，原始的明文将恢复出来，下面的等式必须成立：
D（E（M））=M
(3) 鉴别、完整性和抗抵赖
除了提供机密性外，密码学通常有其它的作用：.
(a) 鉴别
消息的接收者应该能够确认消息的来源；入侵者不可能伪装成他人。
(b) 完整性检验
消息的接收者应该能够验证在传送过程中消息没有被修改；入侵者不可能用假消息代替合法消息。
(c) 抗抵赖
发送者事后不可能虚假地否认他发送的消息。
(4) 算法和密钥
密码算法也叫密码，是用于加密和解密的数学函数。（通常情况下，有两个相关的函数：一个用作加密，另一个用作解密）
如果算法的保密性是基于保持算法的秘密，这种算法称为受限制的算法。受限制的算法具有历史意义，但按现在的标准，它们的保密性已远远不够。大的或经常变换的用户组织不能使用它们，因为每有一个用户离开这个组织，其它的用户就必须改换另外不同的算法。如果有人无意暴露了这个秘密，所有人都必须改变他们的算法。
但是，受限制的密码算法不可能进行质量控制或标准化。每个用户组织必须有他们自己的唯一算法。这样的组织不可能采用流行的硬件或软件产品。但窃听者却可以买到这些流行产品并学习算法，于是用户不得不自己编写算法并予以实现，如果这个组织中没有好的密码学家，那么他们就无法知道他们是否拥有安全的算法。
尽管有这些主要缺陷，受限制的算法对低密级的应用来说还是很流行的，用户或者没有认识到或者不在乎他们系统中内在的问题。
现代密码学用密钥解决了这个问题，密钥用K表示。K可以是很多数值里的任意值。密钥K的可能值的范围叫做密钥空间。加密和解密运算都使用这个密钥（即运算都依赖于密钥，并用K作为下标表示），这样，加/解密函数现在变成：
EK(M)=C
DK(C)=M.
这些函数具有下面的特性：
DK（EK（M））=M.
有些算法使用不同的加密密钥和解密密钥，也就是说加密密钥K1与相应的解密密钥K2不同，在这种情况下：
EK1(M)=C
DK2(C)=M
DK2 (EK1(M))=M
所有这些算法的安全性都基于密钥的安全性；而不是基于算法的细节的安全性。这就意味着算法可以公开，也可以被分析，可以大量生产使用算法的产品，即使偷听者知道你的算法也没有关系；如果他不知道你使用的具体密钥，他就不可能阅读你的消息。
密码系统由算法、以及所有可能的明文、密文和密钥组成的。
基于密钥的算法通常有两类：对称算法和公开密钥算法。下面将分别介绍： 对称算法有时又叫传统密码算法，就是加密密钥能够从解密密钥中推算出来，反过来也成立。在大多数对称算法中，加/解密密钥是相同的。这些算法也叫秘密密钥算法或单密钥算法，它要求发送者和接收者在安全通信之前，商定一个密钥。对称算法的安全性依赖于密钥，泄漏密钥就意味着任何人都能对消息进行加/解密。只要通信需要保密，密钥就必须保密。
对称算法的加密和解密表示为：
EK（M）=C
DK（C）=M
对称算法可分为两类。一次只对明文中的单个比特（有时对字节）运算的算法称为序列算法或序列密码。另一类算法是对明文的一组比特亚行运算，这些比特组称为分组，相应的算法称为分组算法或分组密码。现代计算机密码算法的典型分组长度为64比特——这个长度大到足以防止分析破译，但又小到足以方便使用（在计算机出现前，算法普遍地每次只对明文的一个字符运算，可认为是序列密码对字符序列的运算）。 公开密钥算法（也叫非对称算法）是这样设计的：用作加密的密钥不同于用作解密的密钥，而且解密密钥不能根据加密密钥计算出来（至少在合理假定的长时间内）。之所以叫做公开密钥算法，是因为加密密钥能够公开，即陌生者能用加密密钥加密信息，但只有用相应的解密密钥才能解密信息。在这些系统中，加密密钥叫做公开密钥（简称公钥），解密密钥叫做私人密钥（简称私钥）。私人密钥有时也叫秘密密钥。为了避免与对称算法混淆，此处不用秘密密钥这个名字。
用公开密钥K加密表示为
EK(M)=C.
虽然公开密钥和私人密钥是不同的，但用相应的私人密钥解密可表示为：
DK(C)=M
有时消息用私人密钥加密而用公开密钥解密，这用于数字签名（后面将详细介绍），尽管可能产生混淆，但这些运算可分别表示为：
EK(M)=C
DK(C)=M
当前的公开密码算法的速度，比起对称密码算法，要慢的多，这使得公开密码算法在大数据量的加密中应用有限。 单向散列函数 H(M) 作用于一个任意长度的消息 M，它返回一个固定长度的散列值 h，其中 h 的长度为 m 。
输入为任意长度且输出为固定长度的函数有很多种，但单向散列函数还有使其单向的其它特性：
(1) 给定 M ，很容易计算 h ；
(2) 给定 h ，根据 H(M) = h 计算 M 很难 ；
(3) 给定 M ，要找到另一个消息 M‘ 并满足 H(M) = H(M’) 很难。
在许多应用中，仅有单向性是不够的，还需要称之为“抗碰撞”的条件：
要找出两个随机的消息 M 和 M‘，使 H(M) = H(M’) 满足很难。
由于散列函数的这些特性，由于公开密码算法的计算速度往往很慢，所以，在一些密码协议中，它可以作为一个消息 M 的摘要，代替原始消息 M，让发送者为 H(M) 签名而不是对 M 签名 。
如 SHA 散列算法用于数字签名协议 DSA中。 提到数字签名就离不开公开密码系统和散列技术。
有几种公钥算法能用作数字签名。在一些算法中，例如RSA，公钥或者私钥都可用作加密。用你的私钥加密文件，你就拥有安全的数字签名。在其它情况下，如DSA，算法便区分开来了??数字签名算法不能用于加密。这种思想首先由Diffie和Hellman提出 。
基本协议是简单的 ：
(1) A 用她的私钥对文件加密，从而对文件签名。
(2) A 将签名的文件传给B。
(3) B用A的公钥解密文件，从而验证签名。
这个协议中，只需要证明A的公钥的确是她的。如果B不能完成第（3）步，那么他知道签名是无效的。
这个协议也满足以下特征：
(1) 签名是可信的。当B用A的公钥验证信息时，他知道是由A签名的。
(2) 签名是不可伪造的。只有A知道她的私钥。
(3) 签名是不可重用的。签名是文件的函数，并且不可能转换成另外的文件。
(4) 被签名的文件是不可改变的。如果文件有任何改变，文件就不可能用A的公钥验证。
(5) 签名是不可抵赖的。B不用A的帮助就能验证A的签名。 加密技术是对信息进行编码和解码的技术，编码是把原来可读信息（又称明文）译成代码形式（又称密文），其逆过程就是解码（解密）。加密技术的要点是加密算法，加密算法可以分为对称加密、不对称加密和不可逆加密三类算法。
对称加密算法 对称加密算法是应用较早的加密算法，技术成熟。在对称加密算法中，数据发信方将明文（原始数据）和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。收信方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥。对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。不足之处是，交易双方都使用同样钥匙，安全性得不到保证。此外，每对用户每次使用对称加密算法时，都需要使用其他人不知道的惟一钥匙，这会使得发收信双方所拥有的钥匙数量成几何级数增长，密钥管理成为用户的负担。对称加密算法在分布式网络系统上使用较为困难，主要是因为密钥管理困难，使用成本较高。在计算机专网系统中广泛使用的对称加密算法有DES和IDEA等。美国国家标准局倡导的AES即将作为新标准取代DES。
不对称加密算法 不对称加密算法使用两把完全不同但又是完全匹配的一对钥匙—公钥和私钥。在使用不对称加密算法加密文件时，只有使用匹配的一对公钥和私钥，才能完成对明文的加密和解密过程。加密明文时采用公钥加密，解密密文时使用私钥才能完成，而且发信方（加密者）知道收信方的公钥，只有收信方（解密者）才是唯一知道自己私钥的人。不对称加密算法的基本原理是，如果发信方想发送只有收信方才能解读的加密信息，发信方必须首先知道收信方的公钥，然后利用收信方的公钥来加密原文；收信方收到加密密文后，使用自己的私钥才能解密密文。显然，采用不对称加密算法，收发信双方在通信之前，收信方必须将自己早已随机生成的公钥送给发信方，而自己保留私钥。由于不对称算法拥有两个密钥，因而特别适用于分布式系统中的数据加密。广泛应用的不对称加密算法有RSA算法和美国国家标准局提出的DSA。以不对称加密算法为基础的加密技术应用非常广泛。
不可逆加密算法 的特征是加密过程中不需要使用密钥，输入明文后由系统直接经过加密算法处理成密文，这种加密后的数据是无法被解密的，只有重新输入明文，并再次经过同样不可逆的加密算法处理，得到相同的加密密文并被系统重新识别后，才能真正解密。显然，在这类加密过程中，加密是自己，解密还得是自己，而所谓解密，实际上就是重新加一次密，所应用的“密码”也就是输入的明文。不可逆加密算法不存在密钥保管和分发问题，非常适合在分布式网络系统上使用，但因加密计算复杂，工作量相当繁重，通常只在数据量有限的情形下使用，如广泛应用在计算机系统中的口令加密，利用的就是不可逆加密算法。近年来，随着计算机系统性能的不断提高，不可逆加密的应用领域正在逐渐增大。在计算机网络中应用较多不可逆加密算法的有RSA公司发明的MD5算法和由美国国家标准局建议的不可逆加密标准SHS(Secure Hash Standard:安全杂乱信息标准)等。

F. 密码技术（十一）之密钥

  ——秘密的精华

 在使用对称密码、公钥密码、消息认证码、数字签名等密码技术使用，都需要一个称为 密钥 的巨大数字。然而，数字本身的大小并不重要，重要的是 密钥空间的大小 ，也就是可能出现的密钥的总数量，因为密钥空间越大，进行暴力破解就越困难。密钥空间的大小是由 密钥长度 决定的。

 对称密码DES的密钥的实质长度为56比特（7个字节）。
例如，
一个DES密钥用二进制可以表示为：
01010001 11101100 01001011 00010010 00111101 01000010 00000011
用十六进制则可以表示为：
51 EC 4B 12 3D 42 03
而用十进制则可以表示为：
2305928028626269955

 在对称密码三重DES中，包括使用两个DES密钥的DES-EDE2和使用三个DES密钥的DES-EDE3这两种方式。
DES-EDE2的密钥长度实质长度为112比特（14字节），比如：
51 EC 4B 12 3D 42 03 30 04 D8 98 95 93 3F
DES-EDE3的密钥的实质长度为168比特（21字节），比如：
51 EC 4B 12 3D 42 03 30 04 D8 98 95 93 3F 24 9F 61 2A 2F D9 96

 对称密码AES的密钥长度可以从128、192和256比特中进行选择，当密钥长度为256比特时，比如：
51 EC 4B 12 3D 42 03 30 04 D8 98 95 93 3F 24 9F 61 2A 2F D9 96
B9 42 DC FD A0 AE F4 5D 60 51 F1

  密钥和明文是等价的 。假设明文具有100万的价值，那么用来加密这段明文的密钥也就是具有100万元的价值；如果明文值1亿元，密钥也就值1亿元；如果明文的内容是生死攸关的，那么密钥也同样是生死攸关的。

 在对称密码中，加密和解密使用同一个密钥。由于发送者和接收者需要共享密钥，因此对称密码又称为共享密钥密码。对称密码中所使用的密钥必须对发送者和接收者以外的人保密，否则第三方就能够解密了。

 在消息认证码中，发送者和接收者使用共享的密钥来进行认证。消息认证码只能由持有合法密钥的人计算出来。将消息认证码附加在通信报文后面，就可以识别通信内容是否被篡改或伪装，由于“持有合法的密钥”就是发送者和接收者合法身份的证明，因此消息认证码的密钥必须对发送者以外的人保密，否则就会产生篡改和伪装的风险。

 在数字签名中，签名生成和验证使用不同的密钥，只有持有私钥的本人才能够生成签名，但由于验证签名使用的是公钥，因此任何人都能够验证签名。

 对称密码和公钥密码的密钥都是用于确保机密性的密钥。如果不知道用于解密的合法密钥，就无法得知明文的内容。
 相对地，消息认证码和数字签名所使用的密钥，则是用于认证的密钥。如果不知道合法的密钥，就无法篡改数据，也无法伪装本人的身份。

 当我们访问以https://开头的网页时，Web服务器和浏览器之间会进行基于SSL/TLS的加密通信。在这样的通信中所使用的密钥是仅限于本次通信的一次密钥，下次通信时就不能使用了，想这样每次通信只能使用一次的密钥称为 会话密钥 。
 由于会话密钥只在本次通信中有效，万一窃听者获取了本次通信的会话密钥，也只能破译本次通信的内容。
 虽然每次通信都会更换会话密钥，但如果用来生成密钥的伪随机数生成器品质不好，窃听者就有可能预测出下次生成会话密钥，这样就会产生通信内容被破译的风险。
 相对于每次通信更换的会话密钥，一直被重复使用的密钥称为 主密钥 。

 一般来说，加密的对象是用户直接使用的信息，这样的情况下所使用的密钥称为CEK(Contents Encryting Key，内容加密密钥)；相对地，用于加密密钥的密钥则称为KEK（Key Encryting Key，密钥加密密钥）。

 在很多情况下，之前提到的会话密钥都是被作为CEK使用的，而主密钥则是被作为KEK使用的。

 生成密钥的最好方法就是使用随机数，因为米哟啊需要具备不易被他人推测的性质。在可能的情况下最好使用能够生成密码学上的随机数的硬件设备，但一般我们都是使用伪随机数生成器这一专门为密码学用途设计的软件。
 在生成密钥时，不能自己随便写出一些像“3F 23 52 28 E3....”这样的数字。因为尽管你想生成的是随机的数字，但无论如何都无法避免人为偏差，而这就会成为攻击者的目标。
 尽管生成伪随机数的算法有很多种，但密码学用途伪随机生成器必须是专门针对密码学用途而设计的。例如，有一些伪随机数生成器可以用于游戏和模拟算法，尽管这些伪随机数生成器所生成的数列看起也是随机的，但只要不是专门为密码学用途设计的，就不能用来生成密钥，因为这些伪随机数生成器不具备不可预测性这一性质。

 有时候我们也会使用人类的可以记住的口令（pasword或passphrase）来生成密钥。口令指的是一种由多个单词组成的较长的password。
 严格来说，我们很少直接使用口令来作为密钥使用，一般都是将口令输入单向散列函数，然后将得到的散列值作为密钥使用。
 在使用口令生成密钥时，为了防止字典攻击，需要在口令上附加一串称为盐（salt）的随机数，然后在将其输入单向散列函数。这种方法称为“基于口令的密码（Password Based Encryption，PBE）”。

 在使用对称密码时，如何在发送者和接收者之间共享密钥是一个重要的问题，要解决密钥配送问题，可以采用事先共享密钥，使用密钥分配中心，使用公钥密码等方法，除了上述方法，之前还提到一种解决密钥配送的问题的方法称为Diffie-Hellman密钥交换。

 有一种提供通信机密性的技术称为 密钥更新 （key updating），这种方法就是在使用共享密钥进行通信的过程中，定期更改密钥。当然，发送者和接收者必须同时用同样的方法来改变密钥才行。
 在更新密钥时，发送者和接收者使用单向散列函数计算当前密钥的散列值，并将这个散列值用作新的密钥。简单说，就是 用当前密钥散列值作为下一个密钥 。
 我们假设在通信过程中的某个时间点上，密钥被窃听者获取了，那么窃听者就可以用这个密钥将之后的通信内容全部解密。但是，窃听者却无法解密更新密钥这个时间点之前的内容，因为这需要用单向散列函数的输出反算出单向散列函数的输入。由于单向散列函数具有单向性，因此就保证了这样的反算是非常困难的。
 这种防止破译过去的通信内容机制，称为 后向安全 （backward security）。

 由于会话密钥在通信过程中仅限于一次，因此我们不需要保存这种秘密。然而，当密钥需要重复使用时，就必须要考虑保存密钥的问题了。

 人类是 无法记住具有实用长度的密钥 的。例如，像下面这样一个AES的128比特的密钥，一般人是很难记住的。
51 EC 4B 12 3D 42 03 30 04 DB 98 95 93 3F 24 9F
就算勉强记住了，也只过不是记住一个密钥而已。但如果要记住多个像这样的密钥并且保证不忘记，实际上是非常困难的。

 我们记不住密钥，但如果将密钥保存下来又可能会被窃取。这真是一个头疼的问题。这个问题很难得到彻底解决，但我们可以考虑一些合理的解决方法。
 将密钥保存生文件，并将这个文件保存在保险柜等安全地方。但是放在保险柜里的话，出门就无法使用了。这种情况，出门时就需要随身携带密钥。而如果将密钥放在存储卡随身携带的话，就会产生存储卡丢失、被盗等风险。
 万一密钥被盗，为了能够让攻击者花更多的时间才能真正使用这个密钥，我们可以使用将密钥加密后保存的方法，当然，要将密钥加密，必须需要另一个密钥。像这样用于密码加密的密钥，一般称为KEK。
 对密钥进行加密的方法虽然没有完全解决机密性的问题，但在现实中却是一个非常有效地方法，因为这样做可以减少需要保管密钥的数量。
 假设计算机上有100万个文件，分别使用不同的密钥进行加密生成100万个密文，结果我们手上就产生了100万个密钥，而要保管100万个密钥是很困难的。
 于是，我们用一个密钥（KEK）将这100万个密钥进行加密，那么现在我们只要保管者一个KEK就可以了，这一个KEK的价值相当于签名的100万个密钥的价值的总和。
 用1个密钥来代替多个密钥进行保管的方法，和认证机构的层级化非常相似。在后者中，我们不需要信任多个认证机构，而只需要信任一个根CA就可以了。同样的，我们也不需要确保多个密钥的机密性，而只需要确保一个KEK的机密性就可以了。

 密钥的作废和生成是同等重要的，这是因为密钥和明文是等价的。

 假设Alice向Bob发送了一封加密邮件。Bob在解密之后阅读了邮件的内容，这时本次通信所使用的密钥对于Alice和Bob来说就不需要了。不在需要的密钥必须妥善删除，因为如果被窃听者Eve获取，之前发送的加密邮件就会被解密。

 如果密钥是计算机上的一个文件，那么仅仅删除这个文件是不足以删除密钥的，因为有一些技术能够让删除的文件“恢复”。此外，很多情况下文件的内容还会残留在计算机的内存中，因此必须将这些痕迹完全抹去。简而言之，要完全删除密钥，不但要用到密码软件，还需要在设计计算机系统时对信息安全进行充分的考虑

 如果包含密钥的文件被误删或者保管密钥的笔记本电脑损坏了，会怎么样？
 如果丢失了对称密钥密码的共享密钥，就无法解密密文了。如果丢失了消息认证码的密钥，就无法向通信对象证明自己的身份了。
 公钥密码中，一般不太会发送丢失公钥的情况，因为公钥是完全公开的，很有可能在其他电脑上存在副本。
 最大的问题是丢失公钥密码的私钥。如果丢失了公钥密码的私钥，就无法解密用公钥密码加密的密文了。此外，如果丢失了数字签名的私钥，就无法生成数字签名了。

 Diffie-Hellman密钥交换（Diffie-Hellman key exchange）是1976年由Whitfield Diffie和Martin Hellman共同发明的一种算法。使用这种算法，通信双方仅通过交换一些可以公开的信息就能够生成共享秘密数字，而这一秘密数字就可以被用作对称密码的密钥。IPsec 中就使用了经过改良的Diffie-Hellman密钥交换。

2 Alice 生成一个随机数A
 A是一个1 ~ P-2之间的整数。这个数是一个只有Alice知道的密码数字，没有必要告诉Bob，也不能让Eve知道。

Alice计算出的密钥=Bob计算出的密钥

  在步骤1-7中，双方交换数字一共有4个，P、G、G ^A mod P 和 G ^B mod P。根据这4个数字计算出Alice和Bob的共享密钥是非常困难的。
 如果Eve能欧知道A和B的任意一个数，那么计算G ^A*B 就很容易了，然而仅仅根据上面的4个数字很难求出A和B的。
 根据G ^A mod P 计算出A的有效算法到现在还没有出现，这问题成为有限域(finite field) 的 离散对数问题 。

 Diffie-Hellman密钥交换是利用了“离散对数问题”的复杂度来实现密钥的安全交换的，如果将“离散对数问题”改为“椭圆曲线上离散对数问题”，这样的算法就称为 椭圆曲线Diffie-Hellman 密钥交换。
 椭圆曲线Diffie-Hellman密钥交换在总体流程上是不变的，只是所利用的数学问题不同而已。椭圆曲线Diffie-Hellman密钥交换能够用较短的密钥长度实现较高的安全性。

 基于口令密码（password based encryption，PBE）就是一种根据口令生成密钥并用该密钥进行加密的方法。其中加密和解密使用同一个密钥。
 PBE有很多种实现方法。例如RFC2898和RFC7292 等规范中所描述的PBE就通过Java的javax.crypto包等进行了实现。此外，在通过密码软件PGP保存密钥时，也会使用PBE。
PBE的意义可以按照下面的逻辑来理解。

想确保重要消息的机制性。
  ↓
将消息直接保存到磁盘上的话，可能被别人看到。
  ↓
用密钥（CEK）对消息进行加密吧。
  ↓
但是这次又需要确保密钥（CEK）的机密性了。
  ↓
将密钥（CEK）直接保存在磁盘上好像很危险。
  ↓
用另一个密钥（KEK）对密钥进行加密（CEK）吧。
  ↓
等等！这次又需要确保密钥（KEK）的机密性了。进入死循环了。
  ↓
既然如此，那就用口令来生成密钥（KEK）吧。
  ↓
但只用口令容易遭到字典攻击
  ↓
那么就用口令和盐共同生成密钥（KEK）吧。
  ↓
盐可以和加密后的密钥（CEK）一切保存在磁盘上，而密钥（KEK）可以直接丢弃。
  ↓
口令就记在自己的脑子里吧。

PBE加密包括下列3个步骤：

  盐是由伪随机数生成器生成的随机数，在生成密钥（KEK）时会和口令一起被输入单向散列函数。
 密钥（KEK）是根据秘密的口令生成的，加盐好像没有什么意义，那么盐到底起到什么作用呢？
  盐是用来防御字典攻击的 。字典攻击是一种事先进行计算并准备好候选密钥列表的方法。
 我们假设在生成KEK的时候没有加盐。那么主动攻击者Mallory就可以根据字典数据事先生成大量的候选KEK。
 在这里，事先是很重要的一点。这意味着Mallory可以在窃取到加密会话的密钥之前，就准备好了大量的候选KEK。当Mallory窃取加密的会话密钥后，就需要尝试将它解密，这是准备好了大量事先生成的候选KEK，就能够大幅度缩短尝试的时间，这就是 字典攻击 （dictionary attack）。
 如果在生成KEK时加盐，则盐的长度越大，候选KEK的数量也会随之增大，事先生成的的候选KEK就会变得非常困难。只要Mallory还没有得到盐，就无法生成候选KEK。这是因为加盐之后，候选KEK的数量会变得非常巨大。

 具有充足长度的密钥是无法用人脑记忆的。口令也是一样，我们也无法记住具有充足比特数的口令。
 在PBE中，我们通过口令生成密钥（KEK），在用这个密钥来加密会话密钥（CEK）。由于通过口令生成的密钥（KEK）强度不如由伪随机数生成器生成的会话密钥（CEK），这就好像是将一个牢固的保险柜的钥匙放在了一个不怎么牢固的保险柜保管，因此在使用基于口令的密钥时，需要将盐和加密后的CEK通过物理方法进行保护。例如将盐和加密后的CEK保存到存储卡随身携带。

 在生成KEK时，通过多次使用单向散列函数就可以提高安全性。例如，将盐和口令输入单向散列函数，进行1000次的散列函数所得到的散列值作为KEK来使用，是一个不错的方法。
 像这样将单向散列函数进行多次迭代的方法称为 拉伸 （stretching）。

该系列的主要内容来自《图解密码技术第三版》
我只是知识的搬运工
文章中的插图来源于原着

G. 老师把作业发送给学生，如何用密码学方法，让同学们相信作业是老师发的结合大数据知识回答

两个做法，一个是你自己做数字证书，然后给文件签名，那么学生看到就知道是你做的。
开会，当面把你的工钥发给每个人就是了。

二一个就是收集学生的工钥，可以每人一个，也可以大家都用一个。然后你给作业加密，学生自己可以解密。

也可以都做，就是签名和加密一起。

证书呢，看自己机器，看资源管理器，看高级，加密……就可以生成数字证书了。

可以签名的软件，word可以，pdf也可以，

H. 密码学笔记

别人用A的公钥加密传输的信息，只有A的私钥可以解密。保证了传输的信息的安全性。

A用A的私钥加密的信息，别人用A的公钥才可以解密。可以证明这个信息一定是A传输而来的。

共享秘钥（对称加密）：速度快，但无法保证客户端与服务器之间传输时秘钥的安全性。

和公开密钥（非对称加密）：安全，速度慢。

一、客户端请求SSL（安全套接层）通信，报文中包含自己支持的SSL版本、加密算法等。

二、服务器应答，附带自己的公钥证书，协商定好的SSL版本、加密组件。

三、客户端根据自己本地的收信任的CA公钥，解封服务器公钥证书，得到服务器公钥。客户端生成一个随机码序列，用服务器公钥加密后，发回服务器。

四、服务器用私钥解密后，再加密将字符串传回客户端。

五、客户端确认服务器身份后，生成对称加密算法和共享秘钥，使用服务器公钥加密后，传给服务器。

六、此后，双方使用对称加密算法加密数据，进行传输。

上面过程中，一二用于获得合法的服务器公钥，三四用于确认服务器是否为真正私钥持有者（因为，服务器公钥谁都可以得到）。

使用与明文比特序列一样长的，真正的随机数序列，进行加密，绝对安全，因为穷举破译后能得到整个秘钥空间，毫无意义。

以分组为单位进行处理的密码算法称为 分组密码。

采用 Feistel网络。

以 64 bit 为一个加密单位，首先分成两部分，各32 bit 。

加密过程持续数轮，每轮中，使用子秘钥与右侧数据经过轮函数生成一个序列，然后与左侧做 XOR 。

每轮结束后，左右两侧交换。

加解密结构相同，轮数任意，函数任意。

使用秘钥1、2、3对明文进行加密、解密、加密三个过程，称为三重DES。

解密过程是为了兼容老版DES，如果1、2、3秘钥相同，则成为了普通DES。

1、3秘钥相同，2不同时，称为DES-EDE2 。

1、2、3秘钥不同，称为DES-EDE3 。

采用的是 Rijndael 算法，SPN结构。

输入分组为 128bit（16字节），秘钥长度可以以 32bit 为单位，在128~256bit之间选择。

该算法由多轮构成，10~14轮。

一轮中：

SubBytes，按字节，将输入分开，以每个字节为索引，查表找值，替换。

ShiftRows（平移行），按字节，打乱上面的输出。

MixColumns （混合列），按4个字节，比特运算。

与轮秘钥进行 XOR 。

分组密码：每次处理，特定长度的一块数据。

流密码：对数据流，连续处理，需要保持内部状态，记录进度。

明文分组加密后，直接成为，密文分组。

特点：攻击者无需破译，即可操纵明文。

明文分组，与前一个密文分组XOR，加密得到自己的密文分组。

第一个分组的前一个密文分组，由 初始化向量（随机比特序列） 代替。

加密时，需要从头开始。因为需要与密文分组做 XOR 。

解密时，对密文分组解密，直接与密文分组 XOR 即可。

同样的明文分组，密文值可以不相等。

密文分组可以损坏，影响部分。

密文分组比特缺失，影响全部。

前一个密文分组，通过加密算法得到一个比特序列，称为 密钥流 。

明文分组，与密钥流 XOR，得到自己的密文分组。

解密时，加密算法对密文分组进行加密，得到密钥流，与密文 XOR 可得到明文。

重复攻击：假设秘钥相同。发送 4 个分组，攻击者保存了后面3个。转天，你又发送了 4 个分组，攻击者将你后面三个替换，接收方解密后，只有 2 号分组有错。

对于每个分组，初始化向量加密后，得到密钥流。明文与密钥流 XOR 后，得到密文。

速度快，密钥流可以提前生成，或者，生成秘钥过程可以和 XOR 运算并行。

对每个计数器加密得到密钥流。密钥流与明文分组 XOR ，得到密文分组。

计数器生成的数，由 一个随机序列 nonce + 从1开始的递增数字 组成。

对每个分组，计数器递增后，加密，得到密钥流。

能够以任意顺序处理分组，因为加密时需要的初始数字序列能够计算出来。

为了确保安全，有地理局限，与不同的人通信需要不同密钥，共享繁琐。

每个员工有自己的密钥，密钥分配中心使用个人密钥，包裹临时会话密钥，分配给各个员工使用。

密文=明文的E次方 MOD N

E 和 N 是RSA加密用的密钥，也就是说，E 和 N 的组合就是公钥。

明文=密文的D次方 MOD N

D 和 N 的组合就是私钥。

寻两个很大的质数 p 和 q，相乘得到 N

L为 p-1 和 q-1 的最小公倍数

随机数生成器，不停地生成数字，直到满足如下条件：

1 < E < L

E 和 L 的最大公约数为 1

根据 E ，计算 D

1 < E < L

E × D MOD L = 1

保证 E 与 L 互质，则 D 一定存在。

求对数很容易，求 离散对数 很困难

对一个大数字进行质因数分解，人类未找到高效算法

利用了 MOD N下，求离散对数的困难度

加密后，密文长度翻倍

利用了 MOD N下，求平方根的困难度

密码实现通过 对椭圆曲线上的特定点进行特殊乘法。

利用了该种乘法的逆运算非常困难这一特性

单向散列函数 又称为，消息摘要函数、哈希函数、杂凑函数

输入的消息 又称为，原像

散列值 又称为，消息摘要、指纹

完整性 又称为，一致性

根据任意消息，计算出的散列值长度，固定

用时短

消息不同，散列值不同

具备单向性

MD是消息摘要的意思

可以产生 128bit 的散列值，但它们的抗碰撞性已被攻破

SHA-1散列值长度为 160bit，强碰撞性已被攻破

其余的统称为 SHA-2，散列值长度为各自后面的数字

欧盟版本

第三代 SHA

消息上限 2^64 bit。

消息长度需要是 512bit 的整数倍。这样的 512比特 称为一个输入分组。

过程：

消息末尾添加 1

然后添加 0，直到最后一个分组的 448比特 的位置

最后 64比特 需要保存原是消息的长度

对每个分组计算 80 个 32bit 的值。

过程：

将 512bit 分成 32bit × 16组，称为 W0~W15

从15组中按规律取4组，进行 XOR 运算，结果循环左移 1 位，得到另外一组。如此反复，得到总共 80 组。

ABCDE 五个 32bit 的缓冲区，保存了 160bit 的消息内部状态。

内部状态与每个 512bit 的输入分组混合，一共 80 个步骤。

最终得到 160bit 的最终内部状态。

暴力破解：暴力寻找与 1亿元合同 散列值相同的文件

生日攻击：准备两份 散列值相同的 1亿元合同

可以辨别 篡改，无法辨别 伪装，因此还需要 认证技术

认证技术包括 消息验证码 和 数字签名

消息验证码：可以向通信对象保证消息不被篡改

数字签名：可以向任何人保证通信对象不被篡改

message authentication code，简称 MAC。

相当于 使用共享密钥的单向散列函数

SWIFT：负责银行间的交易，公钥密码使用前，都是人工配送密钥的。

IPsec：对IP协议增加安全性，采用的是消息认证码

SSL/TLS：网上购物等场景中所用协议。

过程：

密钥填充 至单向散列函数要求的输入分组大小

填充后的密钥 与 ipad（16进制的36不断循环）XOR，得到ipadkey

与 消息 组合，计算散列值

填充后的密钥 与 opad（16进制的5C不断循环）XOR，得到opadkey

与 上面得到的散列值 组合，计算新的散列值，为最终的MAC值

对第三方证明

防止否认

因为知晓密钥的只有两个当事人，第三者无法确定能拿到合法的密钥，无法自己计算合法MAC值

RSA：利用质因数分解难度的那个

ElGamal：利用求离散对数的困难度的那个，数字签名有漏洞，现仅用于公钥密码

DSA：Schnorr算法与ElGamal方式的变体，只能用于数字签名

Rabin：利用了求MOD N中平方根的困难度，可用于数字签名和公钥密码

例如，verisign公司的认证业务分为三个等级，等级越高，越严格

ITU 国际电信联盟和 ISO 国际标准化组织制定的 X.509 规范如下

大体包含以下内容：

签名前的证书——签名对象的各种消息

数字签名算法——签名时所用的算法

数字签名——得到的数字签名

PKI ：为了能有效使用公钥而制定的一系列规范和规格

PKI 的组成要素如下

两种方法：一种是由认证机构生成，一种是由 PKI 用户自行生成

认证机构有一个 CRL（认证作废清单），具有数字签名，记载了已经作废的证书的编号。

认证时，从上（根证书）往下

对于密钥，关键的是 密钥空间的大小

DES 的密钥 实质长度（即，除去校验错误的比特后的长度）7字节

DES-EDE2 的实质长度 14字节，DES-EDE3 的实质长度 21字节

AES 的密钥长度可以从 128、192 和 256bit 当中选

会话密钥：每次通信中，仅使用一次的密钥

主密钥：一直被重复使用的密钥

CEK：Contents Encrypting Key

KEK: Key Encrypting Key

各个步骤中的密钥管理方法

两种方法：

用随机数生成密钥：使用具备不可预测性的伪随机数生成器生成随机数

用口令生成密钥：一般使用，口令 + 一串称为 salt 的随机数，得到他们的散列值作为密钥（这种方法称为：基于口令的密码）

事先共享

秘钥分配中心

使用公钥密钥

Diffie-Hellman 密钥交换

密钥更新：一种提高通信机密性的技术

原理：

使用 共享密钥 进行通信时，定期改变密钥。

双方使用同样的方法，对当前密钥求 散列值，并作为下一个密钥

优点：

后向安全：防止破译过去的内容

对密钥进行加密，然后保存

意义：

同时对多个密钥进行加密，可以减少保存密钥的数量

步骤：

P 为非常大的质数，G 为 P 的 生成元

目的为，将 随机数 A 的信息 含蓄地发给了 B

目的为，将 随机数 B 的信息 含蓄地发给了 A

计算方法：密钥 = （G ^ B MOD P) ^ A MOD P = G^(A × B) MOD P

计算方法：密钥 = （G ^ A MOD P) ^ B MOD P = G^(A × B) MOD P

对于一个质数 P ，只有它的生成元在进行 G ^ x MOD P 时，结果能够覆盖 0 ~ P-1 的所有数字

用途：用于安全的保存密钥

由来：

一 生成会话密钥 CEK ，加密消息

二 需要保密 会话密钥CEK，使用 密钥加密密钥KEK 对会话密钥进行保密

三 现在需要保密 KEK 这个密钥，选择使用口令生成这个 KEK

保密的问题最终都归结为了 安全保存密钥，然而我们记不住密钥。

于是，选择单向散列函数对口令生成散列值，作为密钥。

这个密钥无需保存，我们可以通过口令随时求得，口令也无法被反向推出，且口令方便记忆。

顺带，为了防止字典攻击，生成口令散列值时，需要使用 口令 + salt（随机数序列）

事先 已准备好 候选列表 的攻击方法

随机性

不可预测性

不可重见性

这三个性质，越往下越严格。分别称为：

弱伪随机数（不可用于密码学）

强伪随机数

真随机数

伪随机数生成器是公开的，种子是保密的。

确保种子的不可预测性，更加容易些。

种子是用来对伪随机数生成器的 内部状态进行初始化 的

R1 = （A × R0 + C) MOD M

数据有限，不能用于密码学

单向散列函数的单向性是支撑伪随机数序列不可预测性的基础

利用 AES 等对称密钥对内部状态进行加密

从当前时间开始，利用加密算法 求得加密后的时间的掩码 （因为密钥未知，别人无法推测出掩码信息）

与内部状态 XOR，加密后输出， 得到伪随机数序列

对伪随机数序列加密后，作为 下一个内部状态

针对极端情况的密码软件，具有全部功能。

TLS 由 TLS 记录协议 和 TLS 握手协议 叠加而成。

负责消息的 加密、压缩 和 认证

商定 客户端和服务器 所用的加密算法和密钥

负责 传递 变更密码的信号

发生错误时 通知对方

传输数据

I. 一篇文章搞定密码学基础

密码技术是网络安全的基础，也是核心。现在对隐私保护、敏感信息尤其重视，所以不论是系统开发还是App开发，只要有网络通信，很多信息都需要进行加密，以防止被截取篡改，虽然很多人每天都在用密码学的知识，但并不是人人都知道，谨以此篇科普一下~~~

PS：2016.7.10 补充 散列函数与消息摘要

明文M：原始数据，待加密的数据
密文C：对明文进行某种伪装或变换后的输出
密钥K：加密或解密中所使用的专门工具
加密E：用某种方法将明文变成密文的过程
解密D：将密文恢复成明文的过程

一个密码系统由五元组（M、C、K、E、D）组成，如图所示

对称密码体制 ：对信息进行明/密文变换时，加解和解密使用相同密钥的密码体制

非对称密码体制 ：对信息进行明/密文变换时，加密和解密密钥不相同的密码体制
在非对称密码体制中，每个用户都具有一对密钥，一个用于加密，一个用于解密，其中加密密钥可以公开，称之为公钥，解密密钥属于秘密，称之为私钥，只有用户一人知道。

混合加密体制 ：同时使用对称密码和非对称密码的体制
对称加密的一个很大问题就是通信双方如何将密钥传输给对方，为了安全，一般采取带外传输，也就是说如果加密通信是在网络，那么密钥的传输需要通过其他途径，如短信，即使如此，也很难保证密钥传输的安全性。非对称加密加解最大的优点是事先不需要传输密钥，但速度慢，因此实际应用中，经常采取混合密码体制。假设A与B要实现保密通信，工作过程如下：

Hash函数也称为 散列函数 ，它能够对不同长度的输入信息，产生固定长度的输出。这种固定长度的输出称之为原消息的散列或者 消息摘要 ，消息摘要长度固定且比原始信息小得多，一般情况下，消息摘要是不可逆的，即从消息摘要无法还原原文，为什么说一般情况下呢，中国出了个牛人王小云，感兴趣的自行Google~~~

散列算法：散列算法就是产生信息散列值的算法，它有一个特性，就是在输入信息中如果发生细微的改变，比如给变了二进制的一位，都可以改变散列值中每个比特的特性，导致最后的输出结果大相径庭，所以它对于检测消息或者密钥等信息对象中的任何微小的变化非常有用。

一个安全的散列算法H需要满足：

数字签名是指发送方以电子形式签名一个消息或文件，签名后的消息或文件能在网络中传输，并表示签名人对该消息或文件的内容负有责任。数字签名综合使用了消息摘要和非对称加密技术，可以保证接受者能够核实发送者对报文的签名，发送者事后不抵赖报文的签名，接受者不能篡改报文内容和伪造对报文的签名。

数字签名需要做到两点：

数字签名的过程与示意图：

数字证书是一种权威的电子文档，由权威公正的第三方认证机构（CA）签发，广泛用于涉及需要身份认证和数据安全的领域。

数字证书种类：

数字证书功能：
1、信息保密
2、身份确认
3、不可否认性
4、数据完整性

数字证书的格式：
最简单的可以是：公钥、名称和证书授权中心的数字签名，目前 X.509 是一种通用的证书格式，它的第三个版本目前使用广泛，证书内容包括：版本、序列号、签名算法标识、签发者、有效期、主体、主体公开密钥、CA的数字签名、可选型等等

J. 关于密码学。假定用户A想把一个秘密信息发送给其他5个用户.

这要看你这个加密是做什么用的了，如果是给自己签名就可以，而如果是加密消息传输的话就不行。你要知道每个人只能有对方的公钥和自己的私钥。