以上學習所有內容,對稱加密、非對稱加密、訊息摘要、數字簽名等知識都是為了理解數字證照工作原理而作為一個預備知識。數字證照是密碼學裡的終極武器,是人類幾千年歷史總結的智慧的結晶,只有在明白了數字證照工作原理後,才能理解Https 協議的安全通訊機制。最終才能在SSL 開發過程中得心應手。
另外,對稱加密和訊息摘要這兩個知識點是可以單獨拿來使用的。
知識點串聯:
數字證照使用到了以上學習的所有知識
- 對稱加密與非對稱加密結合使用實現了祕鑰交換,之後通訊雙方使用該祕鑰進行對稱加密通訊。
- 訊息摘要與非對稱加密實現了數字簽名,根證照機構對目標證照進行簽名,在校驗的時候,根證照用公鑰對其進行校驗。若校驗成功,則說明該證照是受信任的。
- Keytool 工具可以建立證照,之後交給根證照機構認證後直接使用自簽名證照,還可以輸出證照的RFC格式資訊等。
- 數字簽名技術實現了身份認證與資料完整性保證。
- 加密技術保證了資料的保密性,訊息摘要演算法保證了資料的完整性,對稱加密的高效保證了資料處理的可靠性,數字簽名技術保證了操作的不可否認性。
通過以上內容的學習,我們要能掌握以下知識點:
- 基礎知識:bit 位、位元組、字元、字元編碼、進位制轉換、io
- 知道怎樣在實際開發裡怎樣使用對稱加密解決問題
- 知道對稱加密、非對稱加密、訊息摘要、數字簽名、數字證照是為了解決什麼問題而出現的
- 瞭解SSL 通訊流程
- 實際開發裡怎樣請求Https 的介面
1. 介紹
與對稱加密演算法不同,非對稱加密演算法需要兩個金鑰:公鑰(publickey)和私鑰(privatekey)。公鑰與私鑰是一對,如果用公鑰對資料進行加密,只有用對應的私鑰才能解密;如果用私鑰對資料進行加密,那麼只有用對應的公鑰才能解密。因為加密和解密使用的是兩個不同的金鑰,所以這種演算法叫作非對稱加密演算法。
簡單理解為:加密和解密是不同的鑰匙
2. 常見演算法
RSA、Elgamal、揹包演算法、Rabin、D-H、ECC(橢圓曲線加密演算法)等,其中支付寶使用的就是RSA演算法
3. RSA 演算法原理
質因數、尤拉函式、模反元素
原理很複雜,只需要知道內部是基於分解質因數和取模操作即可
4. 使用步驟
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
//1,獲取cipher 物件 Cipher cipher = Cipher.getInstance("RSA"); //2,通過祕鑰對生成器KeyPairGenerator 生成公鑰和私鑰 KeyPair keyPair = KeyPairGenerator.getInstance("RSA").generateKeyPair(); //使用公鑰進行加密,私鑰進行解密(也可以反過來使用) PublicKey publicKey = keyPair.getPublic(); PrivateKey privateKey = keyPair.getPrivate(); //3,使用公鑰初始化密碼器 cipher.init(Cipher.ENCRYPT_MODE, publicKey); //4,執行加密操作 byte[] result = cipher.doFinal(content.getBytes()); //使用私鑰初始化密碼器 cipher.init(Cipher.DECRYPT_MODE, privateKey); //執行解密操作 byte[] deResult = cipher.doFinal(result); |
5. 注意點
|
1 2 3 4 |
//一次性加密資料的長度不能大於117 位元組 private static final int ENCRYPT_BLOCK_MAX = 117; //一次性解密的資料長度不能大於128 位元組 private static final int DECRYPT_BLOCK_MAX = 128; |
6. 分批操作
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 |
/** * 分批操作 * * @param content 需要處理的資料 * @param cipher 密碼器(根據cipher 的不同,操作可能是加密或解密) * @param blockSize 每次操作的塊大小,單位為位元組 * @return 返回處理完成後的結果 * @throws Exception */ public static byte[] doFinalWithBatch(byte[] content, Cipher cipher, int blockSize) throwseption { int offset = 0;//操作的起始偏移位置 int len = content.length;//資料總長度 byte[] tmp;//臨時儲存操作結果 ByteArrayOutputStream baos = new ByteArrayOutputStream(); //如果剩下資料 while (len - offset > 0) { if (len - offset >= blockSize) { //剩下資料還大於等於一個blockSize tmp = cipher.doFinal(content, offset, blockSize); }else { //剩下資料不足一個blockSize tmp = cipher.doFinal(content, offset, len - offset); } //將臨時結果儲存到記憶體緩衝區裡 baos.write(tmp); offset = offset + blockSize; } baos.close(); return baos.toByteArray(); } |
7. 非對稱加密用途
身份認證
一條加密資訊若能用A 的公鑰能解開,則該資訊一定是用A 的私鑰加密的,該能確定該使用者是A。
陌生人通訊
A 和B 兩個人互不認識,A 把自己的公鑰發給B,B 也把自己的公鑰發給A,則雙方可以通過對方的公鑰加密資訊通訊。C 雖然也能得到A、B 的公鑰,但是他解不開密文。
祕鑰交換
A 先得到B 的公鑰,然後A 生成一個隨機祕鑰,例如13245768,之後A 用B 的公鑰加密該祕鑰,得到加密後的祕鑰,例如dxs#fd@dk,之後將該密文發給B,B 用自己的私鑰解密得到123456,之後雙方使用13245768 作為對稱加密的祕鑰通訊。C 就算截獲加密後的祕鑰dxs#fd@dk,自己也解不開,這樣A、B 二人能通過對稱加密進行通訊。
8. 總結
非對稱加密一般不會單獨拿來使用,他並不是為了取代對稱加密而出現的,非對稱加密速度比對稱加密慢很多,極端情況下會慢1000 倍,所以一般不會用來加密大量資料,通常我們經常會將對稱加密和非對稱加密兩種技術聯合起來使用,例如用非對稱加密來給稱加密裡的祕鑰進行加密(即祕鑰交換)。