Secure Web Connections:
-
Security Public/Private Key - Secure Sockets
凯撒密码容易被破解,后来人们发明了公钥和私钥,由于私钥一定是要发送方和接收方两方私有的,担心在网络传输中被破解,进而又出现了Public-key cryptography(公钥加密系统)。这套系统最早由Diffie和Hellman在1976年提出。最基本的概念是这样:公钥加密系统会有两个密钥,一个是公开的,另一个是私有的。公钥用来加密,私钥用来解密。公钥体系的密钥是非对称的。
公钥系统的设计来源于大数字的因式分解的困难。主要原理如下:先挑选两个比较大的素数a与b,然后将其相乘,得到一个结果c。此时c便是公钥,a、b便是私钥。当我们已知c的时候,由于c的数字很大,很难求出它的因子。但如果我们已知c以及一个因子b,我们就很容易求出另一个因子a。
对于分解大素数之积,如果已知一个因子,那么知道另一个因子会相当容易。但是如果只想通过积来得出两个因子,那会相当困难。这就是公钥加密安全性能的理论:公司保存私钥,用来解密。用网络传递公钥给用户,用户用公钥加密,用户不需要解密,所以不需要了解私钥。
TLS(Transport Layer Security,传输层安全协议)也被称作SSL(Secure Sockets Layer,安全套接层协议),由Netscape研发,可以被看作传输层和应用层之间额外协议层,基于公钥加密系统,为网络信息安全服务。
TLS的功能:
连接具有保密性
连接具有完整性
过去的通信记录不会被可能在未来被泄露的密钥所解密
支持多种方法来处理分享密钥、加密数据和消息完整性检查,因此可以根据需要来配置不同的安全参数
数据是否被加密对IP和TCP等底层协议来说是未知且无影响的
-
Identity on the Web
CA(Certificate Authority,证书授权机构)是能够证明公钥所属和所有人身份并生成证书的组织或机构,其中既有有国际性组织和政府设立的组织,也有通过提供认证服务来盈利的组织,如Verisign。
举个例子:网站服务器提供公钥给Verisign,Verisign用自己的私钥给网站的公钥加密(两者非配对),生成数字签名。最后Verisign把公钥,数字签名,附加一些服务器信息整合在一起,生成证书发回网站,这样别的人就很难去伪造它。
小结:
