记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

每个IT安全专业人员应该知道的12件事(四)

2018-08-31 13:45

密码学和数据保护

数字密码术是防止未经授权的访问和修改以保护信息安全的艺术。每个IT安全专业人员都应该学习基础的密码术,包括非对称加密、对称加密、散列以及密钥分发和保护。数据保护需要大量的加密技术。完整的数据保护还要求合法手机和使用数据,保护其隐私免受未经授权的访问,并确保安全备份以防止恶意修改并确保可用性。

密码学基本原理介绍

加密

加密,是以某种特殊的算法改变原有的信息数据,使得未授权的用户即使获得了已加密的信息,但因不知解密的方法,仍然无法了解信息的内容。这有助于在数据发送和接收过程中保护数据。对接收方而言,数据可以被解密并且可以恢复到其原始形式。加密的逆过程称为解密。加密和解密的概念需要一些额外的信息来加密和解密数据。此信息称为密钥。可能存在相同密钥可用于加密和解密的情况,而在某些情况下,加密和解密则需要不同的密钥。

认证

这是密码学的另一个重要原则。在外行人眼中,身份验证可确保消息源自消息中声明的发起者。现在,人们可能会想到如何使它成为可能?假设,Alice向Bob发送消息,现在Bob想要证明该消息确实是由Alice发送的。如果Alice对Bob发送Bob知道只有Alice可以做的消息就可以实现这一点。发送方和接收方都应该能证实通信过程所涉及的另一方, 通信的另一方确实具有他们所声称的身份。即第三者不能冒充跟你通信的对方,能对对方的身份进行鉴别。这构成了身份验证的基本原理。

完整性

现在,通信系统可能面临的一个问题是接收方收到的消息不完整。这意味着即使发送方和接收方可以互相鉴别对方,但他们还需要确保其通信的内容在传输过程中未被改变。这可以通过使用加密散列的概念来实现。

不可否认性

如果Alice向Bob发送消息后拒绝承认是她发送了消息,会发生什么?这样的情况可能会发生,加密应该阻止发起者或发送者以这种方式行事。人们收到通信对方的报文后,还要证实报文确实来自所宣称的发送方,发送方也不能在发送报文以后否认自己发送过报文。实现这一目标的一种流行方式是使用数字签名。

密码学的类型

密码技术有三种类型:

密钥密码学

公钥密码学

散列函数

密钥密码学

这种类型的加密技术只使用一个密钥。发送方应用密钥加密消息,而接收方应用相同的密钥来解密消息。由于只使用单个密钥,所以这是一个对称加密。由于该算法利用单个密钥进行加密或解密,所以这种技术的最大问题是密钥的泄露。

公钥密码学

这种类型的加密技术涉及两个密钥加密系统,在这种密码学方法中,需要一对密钥,一个是私人密钥,另一个则是公开密钥。这两个密钥是数学相关,用某用户密钥加密后所得的信息,只能用该用户的解密密钥才能解密。如果知道了其中一个,并不能计算出另外一个。因此如果公开了一对密钥中的一个,并不会危害到另外一个的秘密性质。由于这里应用了一对密钥,因此这种技术也称为非对称加密。

在该方法中,每一方都有私钥和公钥。私钥是秘密的,并且即使与所有想要与之通信的人共享公钥也不会被泄露出去。如果Alice想要给bob发信息,那么Alice可以使用Bob的公钥对其进行加密,Bob可以使用其私钥解密该消息。

哈希函数/散列函数

该技术不涉及任何密钥,而是使用基于纯文本消息计算的固定长度哈希值。散列函数用于检查消息的完整性,以确保消息不会被病毒更改,泄露或影响。它把一些不同长度的信息转化成杂乱的128位的编码里,叫做HASH值. 也可以说,hash就是找到一种数据内容和数据存放地址之间的映射关系。Hash算法在信息安全方面的应用主要体现在以下的3个方面:

(1)文件校验

我们比较熟悉的校验算法有奇偶校验和CRC校验,这2种校验并没有抗数据篡改的能力,它们一定程度上能检测并纠正数据传输中的信道误码,但却不能防止对数据的恶意破坏。MD5 Hash算法的”数字指纹”特性,使它成为目前应用最广泛的一种文件完整性校验和(Checksum)算法,不少Unix系统有提供计算md5 checksum的命令。

(2)数字签名

Hash 算法也是现代密码体系中的一个重要组成部分。由于非对称算法的运算速度较慢,所以在数字签名协议中,单向散列函数扮演了一个重要的角色。对 Hash 值,又称”数字摘要”进行数字签名,在统计上可以认为与对文件本身进行数字签名是等效的。而且这样的协议还有其他的优点。

(3)鉴权协议

如下的鉴权协议又被称作”挑战–认证模式:在传输信道是可被侦听,但不可被篡改的情况下,这是一种简单而安全的方法。

知识来源: www.mottoin.com/sole/view/112970.html

阅读:105629 | 评论:0 | 标签:技术控 观点

想收藏或者和大家分享这篇好文章→复制链接地址

“每个IT安全专业人员应该知道的12件事(四)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

学习黑客技术,传播黑客文化

推广

工具

标签云

本页关键词