图表:在这篇博文中,我们讨论了对称加密(一种单密钥加密技术)与非对称加密(也称为公钥密码术)之间的区别,后者使用私钥和公钥对加密密钥。
传输密钥或不传输密钥。就是那个问题。
目前使用的数据加密主要有两种形式:对称加密和非对称加密。每天,当您使用 Web 浏览器、回复电子邮件、提交网站表单和其他活动时,对称和非对称加密过程正在发生,有时您并不知道。您可能还熟悉对称和非对称加密,因为您有使用 OpenSSL、密钥管理服务的经验,或者您之前可能发送过加密电子邮件或使用密码加密过 Microsoft Word 或 Adobe PDF 文件。
了解对称和非对称加密之间的区别以及这些过程在日常安全通信传输中的工作方式非常重要。当您看到这些术语时,您将了解它们的含义,并且您还将了解它们的工作原理、它们的各种迭代、了解它们的功能,并知道在保护和验证来源方面哪个更可取的敏感信息。
在这篇博文中,我们将讨论对称加密和非对称加密之间的区别。最后,我们将总结这些差异并讨论用于保护敏感数据的相关加密选项。
什么是对称加密?
对称加密是一种广泛使用的数据加密技术,其中数据使用单个秘密密钥进行加密和解密。
具体来说,密钥用于加密明文——数据的加密前或解密后状态——以及解密密文——数据的加密后或解密前状态。
对称加密是使用最广泛的加密技术之一,也是最古老的加密技术之一,可以追溯到罗马帝国时代。Caesar 的密码以 Julius Caesar 的名字命名,他用它来加密他的军事通信,是对称加密的一个著名历史例子。
对称加密的目标是保护敏感、秘密或机密信息。它每天用于许多主要行业,包括国防、航空航天、银行、医疗保健和其他行业,其中保护个人、企业或组织的敏感数据至关重要。
对称加密如何工作?
对称加密通过使用流密码或分组密码来加密和解密数据来工作。流密码一次将明文转换为密文,分组密码使用预定的密钥长度(例如 128、192 或 256 位)转换明文的整个单元或块。
使用对称加密相互传输数据的发送者和接收者必须知道密钥,以在发送者的情况下加密他们打算与接收者共享的数据,在接收者的情况下解密和读取发送者的加密数据与他们分享,并加密任何必要的响应。
下面是一个对称加密的简化示例:如果发送者 Claire 想要向接收者 Jacqueline 发送一份机密文档,Claire 将使用密钥加密文件并将其发送给无法读取其内容的 Jacqueline直到她输入了克莱尔刚刚用来加密文件的相同密钥。相反,如果 Jacqueline 对文档进行更改并希望与 Claire 共享,她会使用相同的密钥重新加密文件并将其发送回 Claire,后者将使用相同的密钥解密文件并访问其内容,并且该过程会不断重复。
请注意,这只是一个用于简化对称加密工作方式的示例。对称加密可以手动或自动执行。
然而,对称加密并不限于在一个发送者和一个接收者之间共享数据。任何人都可以访问对称加密的信息——克莱尔、杰奎琳、他们的同事弗兰克、他们的老板詹妮弗等人。– 谁知道密钥。这就是为什么向未授权方隐藏共享密钥对于对称加密的成功和对称加密数据的完整性至关重要的原因。
有哪些对称加密的例子?
对称加密的流行示例包括:
数据加密标准 (DES)
三重数据加密标准(三重 DES)
高级加密标准(AES)
国际数据加密算法 (IDEA)
TLS/SSL 协议
AES 加密使用 128、192 或 256 位的分组密码来加密和解密数据,是当今使用的最著名和最有效的对称加密技术之一。破解需要数十亿年的时间,这就是为什么它被用来保护政府、医疗保健、银行和其他行业的敏感、秘密或机密信息。它比 DES、Triple DES 和 IDEA 更安全。
DES 加密现在被美国国家标准与技术研究院 (NIST) 认为是一种传统的对称加密算法,因为长期以来它在保护敏感信息免受暴力攻击方面一直无效。事实上,NIST 已经完全撤回了该标准,其更安全的老大哥 Triple DES 加密也将面临同样的命运。尽管今天仍在使用,但由于安全问题日益严重,三重 DES 加密将在 2023 年被 NIST 撤销和禁止。
IDEA 加密在 1990 年代被开发为 DES 的替代品,但 AES 最终被认为更安全。IDEA 现在是一种开放且免费的分组密码算法,因此任何人都可以使用它,但它通常被认为在保护敏感和绝密信息方面已经过时且无效。AES 加密是这两个目的的黄金标准。
传输层安全 (TLS) 及其前身安全套接字层 (SSL) 使用对称加密。基本上,当客户端访问服务器时,会生成唯一的对称密钥,称为会话密钥。这些会话密钥用于在特定时间点对特定客户端-服务器会话中客户端和服务器之间共享的数据进行加密和解密。新的客户端-服务器会话将生成新的、唯一的会话密钥。
TLS/SSL 不仅使用对称加密,还使用对称和非对称加密,以确保客户端-服务器会话以及其中交换的信息的安全性。
对称加密有哪些优点?
今天使用对称加密是因为它可以快速加密和解密大量数据,并且易于实现。它使用简单,其 AES 迭代是可用的最安全的数据加密形式之一。
现在,与非对称加密相比,对称加密有几个优点,但稍后我们将在这篇博文中讨论非对称加密。
对称加密的一些优点包括:
安全性:像 AES 这样的对称加密算法需要数十亿年才能使用暴力攻击破解。
速度:与非对称加密相比,对称加密的密钥长度更短且相对简单,因此执行起来要快得多。
行业采用和接受度:像 AES 这样的对称加密算法因其安全性和速度优势而成为数据加密的黄金标准,因此已经享受了数十年的行业采用和接受度。
对称加密有哪些缺点?
到目前为止,对称加密的最大缺点是它使用单个秘密密钥来加密和解密信息。
为什么?
好吧,如果此密钥存储在计算机上不安全的位置,那么黑客可以使用基于软件的攻击来访问它,从而允许他们解密加密的数据,从而破坏对称加密的全部目的。
此外,如果一方或实体在一个位置加密,而另一方或实体在一秒钟内解密,则需要传输密钥,如果传输通道受损,则很容易被拦截。
这就是为什么确保加密密钥在静态和传输中的安全性至关重要。否则,您只是要求一连串独立的和国家支持的网络攻击者访问您的任务关键型、安全关键型或受法律保护的数据。
与非对称加密相比,使用对称加密的唯一另一个缺点是它的安全效率,非对称加密通常被认为比对称加密更安全,但执行起来也更慢。
但是非对称加密比对称加密更安全吗?让我们来了解一下。
什么是非对称加密?
与使用相同密钥加密和解密敏感信息的对称加密不同,非对称加密也称为公钥加密或公钥加密,它使用数学上链接的公钥和私钥对来加密和解密发送者和收件人的敏感数据。
与对称加密一样,在加密和解密期间,明文仍会分别转换为密文,反之亦然。主要区别在于两个唯一的密钥对用于非对称加密数据。
非对称加密如何工作?
这是一个非对称加密的简化示例:如果发送者 Claire 和接收者 Jacqueline 想要不断地相互发送机密文件,Claire 和 Jacqueline 将向对方提供各自的唯一公钥。Claire 然后将使用 Jacqueline 的公钥加密文件,因为它仅供 Jacqueline 使用,并将文件发送给 Jacqueline。收到文件后,杰奎琳将使用她的私钥——关键字“私人”,这意味着除了杰奎琳之外没有其他人知道它——解密文件并访问其内容。除了 Jacqueline,甚至 Claire 都不能解密这个文件,因为除了 Jacqueline 之外没有人知道 Jacqueline 的私钥。当 Jacqueline 想要将文件发回给 Claire 时,同样的过程也适用。杰奎琳把它和克莱尔的公钥联系起来,
请注意,这是对非对称加密的简化。与对称加密一样,非对称加密可以手动或自动执行。
现在,您是否看到非对称加密比对称加密更安全?虽然这是一个有趣的问题,但这并不是一个正确的问题,实际上,因为从技术上讲,对称加密还是非对称加密更安全很大程度上取决于密钥大小以及存储或传输加密密钥的媒体的安全性。
非对称加密通常被认为比对称加密更安全的一个原因是,非对称加密与其对应的加密不同,它不需要在两方或多方之间交换相同的加解密密钥。是的,公钥是交换的,但是在非对称密码系统中共享数据的用户具有唯一的公钥和私钥对,并且他们的公钥,因为它们仅用于加密,如果他们知道,不会构成黑客未经授权解密的风险,因为黑客假设私钥是保密的,不知道用户的私钥,因此无法解密加密数据。
与对称加密不同,非对称加密还允许数字签名认证。基本上,这涉及使用私钥对消息或文件进行数字签名,并且它们相应的公钥用于确认这些消息来自正确的、经过验证的发件人。
有哪些非对称加密的例子?
非对称加密的示例包括:
Rivest Shamir Adleman (RSA)
数字签名标准 (DSS),其中包含数字签名算法 (DSA)
椭圆曲线密码学 (ECC)
Diffie-Hellman 交换法
TLS/SSL 协议
RSA 于 1977 年出版,是最古老的非对称加密示例之一。RSA 加密由 Ron Rivest、Adi Shamir 和 Leonard Adleman 开发,通过将两个大的随机素数相乘生成公钥,并使用这些相同的素数生成私钥。从那里开始进行标准的非对称加密:信息使用公钥加密并使用私钥解密。
结合了数字签名算法 (DSA) 的 DSS 是非对称数字签名认证的完美示例。发件人的私钥用于对消息或文件进行数字签名,收件人使用发件人相应的公钥来确认签名来自正确的发件人,而不是可疑或未经授权的来源。
ECC 是一种 RSA 替代方案,它使用较小的密钥大小和数学椭圆曲线来执行非对称加密。它经常用于对加密货币交易进行数字签名;事实上,流行的加密货币比特币使用 ECC——确切地说是椭圆曲线数字签名算法 (ECDSA)——对交易进行数字签名,并确保资金仅由授权用户使用。ECC 在密钥和签名生成方面比 RSA 快得多,许多人认为它是非对称加密的未来,主要用于 Web 流量和加密货币,但也适用于其他应用程序。
Diffie-Hellman 是密码学最伟大的突破之一,它是一种密钥交换方法,从未见过面的两方可以使用它在公共、不安全的通信渠道上交换公钥和私钥对。在 Diffie-Hellman 之前,寻求对彼此之间的通信进行加密的两方必须在物理上预先交换加密密钥,以便双方可以解密彼此的加密消息。Diffie-Hellman 这样做是为了让这些密钥可以通过公共通信渠道安全地交换,第三方通常会在公共通信渠道中提取敏感信息和加密密钥。
TLS/SSL 使用非对称加密来建立安全的客户端-服务器会话,同时客户端和服务器正在生成对称加密密钥。这称为 TLS 握手。TLS 握手完成后,客户端-服务器会话密钥用于加密在该会话中交换的信息。
非对称加密有哪些优点?
使用非对称加密的优点包括:
1.不需要密钥分发:
保护密钥分发渠道一直是密码学中令人头疼的问题。非对称加密完全消除了密钥分发。所需的公钥通过公钥服务器进行交换,此时公钥的泄露不会损害加密消息的安全性,因为它们不能用于派生私钥。
2.不需要交换私钥:
使用非对称加密,私钥应保存在安全位置,因此对使用它们的实体来说是私有的。基本上,解密敏感信息所需的密钥永远不会也不应该通过潜在受损的通信渠道进行交换,这是加密消息的安全性和完整性的主要优势。
3.数字签名/消息认证:
通过非对称加密,发件人可以使用他们的私钥对消息或文件进行数字签名并验证消息或文件是否来自他们而不是不受信任的第三方。
非对称加密似乎没有问题。我的意思是,如果非对称加密如此安全,你为什么还要选择对称加密?
一个字:速度。
非对称加密有哪些缺点?
非对称加密的主要缺点是它比对称加密慢,因为它的密钥长度更长,更不用说非对称加密的计算往往比对称加密要复杂得多。
为什么?因为从理论上讲,公钥可以用来破解私钥——同样,它们在数学上是相互关联的——但非对称加密使用非常长的密钥长度使得这几乎不可能,至少目前是这样。
因此,简而言之,对称加密比非对称加密更快。非对称加密为了安全牺牲了速度,而对称加密为了速度牺牲了安全。
现在,这并不是说对称加密不安全。然而,非对称加密的基础消除了管理不善的对称加密密码系统中仍然存在的若干信息安全风险。
结论:主要差异总结
对称和非对称加密之间的主要区别在于速度和安全偏好。一般来说,对称加密更快、更简单,但通常被认为不如非对称加密安全。但正如我们所讨论的,加密实际上归结为两件事:密钥大小和存储加密密钥的媒体的安全性。
对称加密的执行速度要快得多,因为它的密钥长度更短。由于其较长的密钥长度和复杂的算法,非对称加密倾向于使网络陷入困境。在决定采用哪种类型的加密时,这些是值得考虑的权衡。
在 Trenton Systems,我们在高性能服务器和工作站中以符合 AES、Opal 和FIPS-140-2的自加密驱动器(SED) 的形式提供数据加密解决方案。
将其与我们的技术合作伙伴 FUTURA Cyber 的加密管理平台(CMP)搭配使用,您就打造了一款安全、管理良好的计算机,能够抵御对敏感数据的常见攻击。
有关我们如何使用数据加密确保您的数据完整性的更多信息,请立即联系我们。