用語の基礎
私は基本的な名詞、対称暗号化、非対称暗号化についてお話しましょう
対称暗号化:暗号化、DESなどの同じペアの暗号化アルゴリズムの復号鍵を用いて
非対称暗号化:公開鍵を使って暗号化された別の秘密鍵を使って暗号化、復号化は、暗号解読の秘密鍵を使用しなければならない。その逆も同様。たとえば、RSA
対称暗号化HTTPS
httpsの対称暗号化を使用して、流れ
- サーバーへのブラウザ要求は、サーバーは、キーのキーを返します。
- キーのキーを取得するには、ブラウザ
- ブラウザがサーバに送信し、秘密鍵の暗号化キーのHTMLを使用しています
- サーバーは、解読キーに秘密鍵を使用しています
問題
秘密鍵の質問が漏洩したことになります。悪意のある人がいる場合は、ステップ1と2の間に、彼のためにセッション全体の内容が平文であることを秘密鍵の鍵を、傍受
非対称暗号化HTTPS
HTTPS非対称暗号化、流れ
- サーバーへのブラウザ要求は、サーバーは、公開鍵K1(サーバ公開鍵K1、K2プライベート)を返します。
- キーを取得するには、ブラウザK1
- ブラウザがサーバに送信し、暗号化キーK1のhtmlを使用しています
- サーバーは解読K2に秘密鍵を使用しています
これは、直接、秘密鍵漏洩の問題に対処しなかったが、秘密鍵の漏洩に起因する問題を解決します。でも、ステップ1と2の間のデータ伝送のセキュリティを確保することはできません解読、唯一の彼の公開鍵K1、htmlの暗号文が暗号化のために傍受されています。
問題
非対称暗号化モードでは、新しい問題を提起 - 非対称暗号化は、特に大規模なテキストの暗号化、非対称暗号低い効率で、比較的低い効率です。もちろん、私たちは応答するために、長い時間を送ったブラウザ要求を容認することはできません
httpsの非対称暗号化対称+
+ HTTPS対称暗号化非対称暗号化、流れ
-
サーバーへのブラウザ要求は、サーバーは、公開鍵K1(サーバ公開鍵K1、K2プライベート)を返します。
-
キーを取得するには、ブラウザK1
-
ブラウザは、対称暗号化キーを生成し、K3
-
暗号K1 K3、暗号文のx、サーバに送信Xとブラウザ
-
対称暗号化キーにK3を与えるために、K2のxとサーバーの解析
- ブラウザがサーバに送信し、暗号化キーK3 HTMLを使用しています
- サーバーは、秘密復号鍵k3を使用しています
HTTPS対称+漏れ問題、低効率非対称暗号化の問題を解決するために、秘密鍵、非対称、このバージョンが使用され、HTTPSを使用しているサイトの多くは、今実際にあります。
問題
一見難攻不落、しかし、完璧ではありません - 公開鍵を発行し現れる改ざんされています
ステップ1とステップ2の間で、悪意のある人が傍受、場合、彼が保存され、秘密鍵K1を取得し、鍵(公開鍵K11、K22プライベート)の新しいペアを生成し、K11ブラウザキーがK11、K11暗号化されたHTML、暗号文Xを使用して、サーバに送信さxは、伝送の過程において、悪意のある人は、xを与えるために、再度リクエストをインターセプト受信ブラウザには、Xがために使用されサーバーのサーバーに送信秘密の暗号鍵K1のは、適切に解決されると、彼は再び平文平文を解決することができますので、K11は暗号化され、彼は、対応する秘密鍵K22を持って、彼は明確に、ブラウザとサーバーではありません知覚暗号文が漏洩してきました
これは、それが改ざんされているかどうか、ブラウザは、受信した公開鍵を決定することができないという理由だけで、中間者攻撃の男です。
HTTPSデジタル証明書、デビュー
デジタル証明書の原則
改ざんを防止するためにどのように証明されていますか?その証明書自体の信憑性を証明するには?私は、デジタル証明書についてお話しましょう構成:CAメッセージはプライベートキーメッセージダイジェストれる暗号化メカニズム、=ハッシュ検証(公開鍵情報K1 +ウェブサイト)は、デジタル証明書を使用してダイジェスト:
基礎https3.0上のステップ2では、CA復号化するための公開鍵を使用して、CAの公開鍵証明書への追加情報およびリターンは、来るリユースhttps3ハッシュ(K1 +公開ウェブサイトの情報)であるハッシュ値の束を取得しますキーの2 0.0リターンがK1ステップと彼らのウェブサイトの情報は、取得したコンテンツハッシュ比較するハッシュは、改ざんされたものと同じでない場合は、コンテンツCA公開鍵を解読さの使用と一致しています。
関連質問
仲介は、証明書を改ざんすることができますか?
唯一のCA CA民間機関が持っているので、そうすることができません、何の仲介CA秘密鍵は、記号の内容を改ざんすることは不可能ではありません
仲介は、証明書をDiaobaoことができますか?
サイトBがある場合、サイトAをダウンさせるしたい、行うことはできません、サイトAは、証明書を傍受し、そのB Aに返された証明書は、唯一のウェブサイトは、Bの公開鍵を使用することです これは、証明書は、ウェブサイトは、ドメイン名などの情報が、含まれているため、仕事に行くされていない、コントラストが知っているかどうかの置換
CA公開鍵の信頼性を確保するには?
同様に、CA公的機関だけでなく、証明するために、デジタル証明書のルーチンを使用することができます。
だから、最終的には、一番下には、それの信頼性を確保するための方法ですか?
オペレーティングシステム、ブラウザのプレインストールされ、その信頼されたルート証明書。信頼の層を通って、ルート証明書から始めて、信頼の連鎖を形成し、CAは、信頼の証明書チェーンを信頼し、自分の身元を証明することができるようになります。