數字簽名的作用:完整性 沒有被篡改;不可抵賴性,用自己私鑰 簽名的明文(簽名是獨有的 私自的),只有用自己的公鑰才能解密。
數字信封的作用:用接收方的公鑰加密形成信封(信封的內容是公開的);保證資料傳輸的真實性和不可窺探性(確保客戶端隨機生成的對稱秘鑰 加密安全傳輸)
在網際網路安全通訊中,“非對稱加密和數字簽名”以及“數字信封和對稱金鑰”都是非常常見的安全技術,它們各自在保護資料的機密性、完整性和認證性方面發揮著關鍵作用,但是否能稱為“最常見”的,可能需要根據不同的應用場景來判斷。
非對稱加密和數字簽名:
- 非對稱加密使用一對公鑰和私鑰,其中公鑰用於加密資訊,私鑰用於解密。這種方式確保了資訊只能被擁有對應私鑰的接收者解密,保護了資訊的機密性。
- 數字簽名則利用私鑰對訊息進行簽名,任何持有公鑰的人可以驗證該簽名以確認資訊的來源和完整性,增強了資訊的不可否認性和真實性。
- 這一組合廣泛應用於HTTPS、SSL/TLS協議、電子郵件加密(如PGP)、軟體簽名等領域,確保了網路通訊的安全性。
數字信封和對稱金鑰:
- 數字信封是一種結合了非對稱加密和對稱金鑰加密的方法。首先,使用接收者的公鑰加密一個隨機生成的對稱金鑰,然後用這個對稱金鑰加密實際的資料內容。這樣,只有擁有私鑰的接收者才能開啟“信封”,獲取到對稱金鑰並進一步解密資料,既保證了資料的機密性,又解決了非對稱加密處理大量資料效率低的問題。
- 混合加密系統中,即首先使用非對稱加密來安全地交換對稱金鑰,然後利用對稱金鑰進行高效的資料加密和解密
- 該場景(混合加密系統)是對稱金鑰使用的一個非常典型且廣泛的應用例項。在混合加密系統(也稱為公鑰基礎設施PKI和對稱金鑰加密的結合)中,非對稱加密演算法(如RSA、ECC等)因其計算效率相對較低但能提供金鑰交換的安全性而被用於安全地傳輸對稱金鑰。一旦對稱金鑰被安全地交換,雙方就可以使用這個對稱金鑰進行快速的資料加密和解密,因為對稱加密演算法(如AES、DES等)在處理大量資料時效率更高。
這樣的混合模式結合了兩種加密方法的優點:
- 非對稱加密確保了金鑰交換的安全性,解決了金鑰分發的問題,即如何在不安全的通道上安全地共享金鑰。
- 對稱加密則因為其加密和解密速度快,適合於實際資料的加解密過程,提高了資料傳輸或儲存的效率。
- 因此,您提到的確實是對稱金鑰一個非常常見且重要的應用場景,在很多現代安全通訊協議和系統中都有應用,比如HTTPS、SSL/TLS協議、IPSec以及各種端到端加密通訊應用中。
- 對稱金鑰加密因其加解密速度快,常用於大量資料的快速加密,如檔案加密、資料庫加密等場景。
- 這種方式在雲端儲存、大資料傳輸、即時通訊等需要高效加密大量資料的場景中非常常見。
綜上所述,這兩種技術都是現代網際網路安全通訊的基礎,廣泛應用於各種場景中,可以說是極為重要且常見的安全措施。不過,是否能冠以“最常見”還需依據具體統計資料和應用領域來定,但它們的重要性無可置疑。
非對稱加密和數字簽名(加簽和驗籤)
如果需要保護報文的機密性,通常會在加簽之前先對原始報文進行加密。也就是說,先加密(使用接收方的公鑰),再對加密後的密文進行雜湊並加簽。這樣,接收方需要先用自己的私鑰解密,再驗證簽名,以確保內容的完整性和來源的真實性——請詳細描述一下這個case的具體流程。在這個場景中,我們使用非對稱加密和數字簽名技術來確保報文的機密性、完整性和來源的真實性。具體流程如下:
1. 傳送方準備報文
原始報文準備:傳送方首先準備好需要傳送的資訊,即原始報文。
2. 加密報文
使用接收方公鑰加密:傳送方查詢接收方的公鑰(這通常透過安全的渠道事先獲取或透過公鑰基礎設施PKI獲得)。使用接收方的公鑰,傳送方對原始報文進行加密。這一過程保證了只有擁有相應私鑰的接收方才能解密資訊,確保了報文的機密性。
3. 對加密後密文進行雜湊並加簽
計算雜湊值:在加密之後,傳送方對加密後的密文計算一個雜湊值。這個雜湊值是對加密文字的數字指紋,可以確保資料的完整性。
使用傳送方私鑰加簽:然後,傳送方使用自己的私鑰 對計算出的雜湊值進行數字簽名。這個步驟驗證了報文的來源和完整性,因為只有擁有對應私鑰的傳送方才可能生成有效的簽名,且任何對密文的篡改都會導致接收方驗證簽名時失敗。
4. 傳送報文及簽名
打包傳送:傳送方將加密後的密文和數字簽名一起傳送給接收方。
5. 接收方處理報文
使用私鑰解密:接收方首先使用自己的私鑰(與傳送方用於加密的公鑰配對)解密接收到的密文,恢復出原始報文的加密形式。
驗證簽名
計算接收到的密文的雜湊值:接收方對接收到的已解密的密文再次計算雜湊值。使用傳送方公鑰驗證簽名:接著,接收方使用傳送方的公鑰(通常也是透過安全渠道事先獲得)來驗證隨報文一同收到的數字簽名。這包括檢查簽名是否與根據接收到的密文重新計算的雜湊值匹配。如果匹配,說明報文在傳輸過程中沒有被篡改,並且確實來自擁有對應私鑰的傳送方。
6. 解析原始報文
如果上述所有驗證步驟都成功,接收方就可以確信報文的機密性、完整性和來源的真實性,進而安全地解析和使用原始報文中的資訊。整個過程結合了非對稱加密的保密性和數字簽名的認證性,為資料通訊提供了高階別的安全保障。
https://cloud.tencent.com/developer/article/1665989
假設現在有A公司,要接入C公司的轉賬系統。在一開始呢,C公司把自己的公鑰寄給A公司,自己收藏好私鑰;A把自己的公鑰寄給C公司,自己藏好私鑰。
A公司這邊的商戶,發起轉賬時,A公司先用C公司的公鑰,對請求報文加密;
A公司:「加簽」:
用Hash函式(如MD5)把加密的報文生成報文摘要,
然後用A的私鑰對這個摘要進行加密,就得到這個報文對應的數字簽名(A的私鑰加密 得到A的簽名)。
通常來說呢,請求方會把「數字簽名和加密的報文」一併傳送給接收方C公司。
C公司:接收方C拿到加密的報文和數字簽名後
用C的公鑰對 「加密的報文」進行解密得到原始報文
用「同一個Hash函式」從報文中生成摘要Z1。另外,用對方提供的公鑰對數字簽名進行解密,得到摘要Z2,對比Z1和Z2是否相同,就可以得知報文有沒有被篡改過。
C公司收到報文後,對數字簽名 拿A的公鑰進行驗籤(解密)得到摘要,如果原始報文的摘要和數字簽名的摘要內容不一致,那就是報文被篡改啦
公司C公鑰與私鑰是用來加密與加密的,「加簽與驗籤是用來證明身份」,以免被篡改的。
參考部落格:https://www.cnblogs.com/wxdlut/p/17789444.html