概述
密码介绍
安全问题
- 保密性:对发送的消息进行获取
- 完整性:对发送的消息进行篡改
- 身份伪造:对发送的主体身份进行篡改,a发的消息,篡改为b发的
- 行为抵赖:对发送的消息进行否认,丧失行为的可追溯性
密码技术
- 保密性
- 完整性
- 真实性
- 不可否认性
密码发展史
- 密码起源:狼烟、虎符,基于“密语”
- 古典密码:凯撒密码、20世纪早期密码机,基于算法的保密
- 现代密码:密码机、非对称密码,基于密钥的保密
- 量子密码:基于密钥的保密理论上绝对安全
密码行业分类
- 商用密码(非涉及国家秘密):适用于银行、证券、税务、保险、电力、交通、电子商务、电子政务外网、企业集团等。
- 普密(党政机关/军工涉及国家秘密)
- 核密(国家领导)
名称解释
密码
- 泛指“密码技术”
- 从功能上看:密码技术主要包括加密保护技术和安全认证技术。
- 从内容上看:密码技术主要包括密码算法、密钥管理和密码协议。
- 密码算法:对称算法、非对称算法、摘要算法、随机数生成算法。
明文
需要安全传输的算法
密文
明文经过密码变换后的乱码信息
加密
由明文到密文的过程
解密
从密文恢复出明文的过程
加密算法
对明文进行加密时采用的一组规则
解密算法
对密文进行解密时采用的一组规则
密钥
加密和解密时使用的一组秘密信息
加解密过程介绍
加密
解密
密码算法
密码算法分类
国密算法
- 对称密码算法:SM1、SM4、SM6
- 非对称密码算法:SM2
- 密码杂凑算法:SM3
国际算法
- 对称密码算法:DES、3DES、AES
- 非对称密码算法:RSA
- 密码杂凑算法:SHA1
对称算法
概念
使用相同的密钥进行加密与解密的算法
过程
特点
- 性能:速度快。
- 密钥管理:共享密钥,加密和解密使用的相同的密钥。
- 使用场景:快速的加密、解密。
弱点
- 密钥不便于管理。
- 每对通信者都需要一对不同的密钥,不适用于大用户量的应用。
- 不可能和与你不曾谋面的人通信。
非对称算法
概念
- 使用不同的密钥进行加密与解密的算法。
- 成对存在,公钥和私钥,私钥可推导出公钥,公钥推导不出私钥。
过程
特点
- 性能:速度较慢。
- 密钥管理:加密和解密使用不同密钥,公钥可以公开。
- 密钥使用:公钥加密,则私钥解密;私钥加密,则公钥解密。
- 使用场景:小数据量加密、数字签名、密钥交换。
弱点
- 速度慢、资源占用明显。
- 不适合做大数据量数据加密处理。
摘要算法
概念
将任意长度的数据值映射为固定长度的较小数据值,这个小数据值称为杂凑值(摘要值)
特点
- 把变长信息映射成定长信息。
- 不可逆性。
- 速度较快。
- 使用场景:完整性校验。如MD5进行档案校验码(Checksum)
杂凑和加密的区别
- 加密需要密钥,且可以透过解密得到原文。(加密可逆)
- 杂凑不需密钥,无法逆向解出原始输入。(杂凑不可逆)
组合密码技术
- 最佳的解决方案:组合密码技术
- 使用对称算法进行大数据量的数据加密,且每次产生一个新的随机密钥。
- 使用非对称算法进行签名验签,确认双方身份真实性。
- 使用摘要算法运算杂凑值。
数字签名和证书
数字签名
概念
签名者使用私钥对待签名数据的杂凑值
做密码运算得到的结果,该结果只能用签名者的公钥
进行验证,用于确认待签名数据的完整性、签名者身份的真实性和签名行为的抗抵赖性。——《密码术语》(GM/Z 0001-2013)
数字证书概述
概念
- 数字证书,又叫“数字身份证”、“网络身份证”。
- 由CA机构发放冰经其认证的,包含拥有者身份信息以及公开密钥相关信息的一种电子文件。
- 可用来证明数字证书持有者的真实身份,是各类实体(个人、商户、企业、单位等)在网上进行信息交流及商务活动的身份证明,解决相互间的信任问题。
- 数字证书是一段包含
用户身份信息
、用户公钥信息
以及身份验证机构数字签名
的数据,身份验证机构的数字签名可以确保证书信息的真实性。
存储
- 存储信息:用户的证书、用户的私钥、CA机构根证书。
- 存储设备:硬盘、智能IC卡、TF卡/SD卡、智能密码钥匙(USB Key)
CA和RA
CA
概念
证书认证机构(CA):是一个负责发放和管理数字证书的权威机构,主要实现:证书发放、证书更新、证书撤销和证书验证。
作用
- 发布本地CA策略。
- 对下级机构进行认证和鉴别。
- 产生和管理下属机构的证书。
- 接收和认证RA证书请求。
- 签发和管理证书。
- 发布证书CRL。
- 交叉认证。
RA
概念
证书注册审批机构(RA):负责证书申请者的信息录入、审批以及证书发放等工作。
作用
- 进行用户身份信息的审核,确保其真实性。
- 本区域用户身份信息管理和维护。
- 数字证书的下载。
- 数字证书的发放和管理。
- 登记黑名单。
CA和RA关系
CA和RA类似于公安厅和派出所的关系。
密码基本功能
- 加密功能
- 可信认证功能
商用密码产品
商用密码产品分类
软件
- 指以纯软件形态出现的密码产品。
- 如:信息保密软件、密码算法软件、数字证书认证系统软件。
芯片
- 指以芯片形态出现的密码产品。
- 如:算法芯片、密码SOC芯片等。
其中,SOC:System on Chip的缩写,翻译过来就是系统级芯片,也有称片上系统。
板卡
- 以板卡形态出现,具备完整密码功能的产品。
- 如:IC卡、USBKEY、PCI-E密码卡、TF卡、MINI、PCI-E卡等。
整机
- 以整机形态出现,具备完整密码功能的产品。
- 如:签名服务器、服务器密码机、VPN安全网关等。
系统
- 以系统形态出现,有密码功能支撑的产品。
- 如:电子签章系统、密钥管理系统、安全公文传输系统等。
商用密码产品应用案例
确保信息的机密性
- 存储信息加解密
- 传输数据加解密