Linux加密和解密、openssl的基本应用及CA的实现过程

一、数据加密方式

加密方式分为:单向加密、对称加密和公钥加密。

1.对称加密

对称加密:采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密。在对称加密算法中常用的算法有:DES、3DES、TDEA、Blowfish、RC2、RC4、RC5、IDEA、SKIPJACK、AES等。

特性:

1、加密、解密使用同一个密钥;

2、将原始数据分割成固定大小的块,逐个进行加密;

缺陷:

1、密钥过多;

2、密钥分发;

对称加密过程如下图所示:

2.公钥加密

公钥加密,也叫非对称(密钥)加密(public key encryption),属于通信科技下的网络安全二级学科,指的是由对应的一对唯一性密钥(即公开密钥和私有密钥)组成的加密方法。它解决了密钥的发布和管理问题,是目前商业密码的核心。在公钥加密体制中,没有公开的是明文,公开的是密文,公钥,算法。

常见算法有RSA、ElGamal、背包算法、Rabin(Rabin的加密法可以说是RSA方法的特例)、Diffie-Hellman (D-H) 密钥交换协议中的公钥加密算法、Elliptic Curve Cryptography(ECC,椭圆曲线加密算法)。使用最广泛的是RSA算法(由发明者Rivest、Shmir和Adleman姓氏首字母缩写而来)是著名的公开金钥加密算法,ElGamal是另一种常用的非对称加密算法。

公钥加密过程如下图:

3.单向加密

单向加密是非可逆加密,就是不可解密的加密方法,提取数据的指纹。常见的加密算法有MD5、SHA、HMAC这三种加密算法。我们通常只把他们作为加密的基础,单纯的以上三种的加密并不可靠。

单向加密如下图:

二、KPI

PKI是Public Key Infrastructure的首字母缩写,翻译过来就是公钥基础设施;PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。

1.基本组成

PKI公钥基础设施是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。一个机构通过采用PKI框架管理密钥和证书可以建立一个安全的网络环境。PKI 主要包括四个部分:X.509 格式的证书(X.509 V3)和证书废止列表CRL(X.509 V2);CA 操作协议;CA 管理协议;CA 政策制定。一个典型、完整、有效的PKI 应用系统至少应具有以下五个部分:

(1)认证中心CA

CA 是PKI 的核心,CA 负责管理PKI 结构下的所有用户(包括各种应用程序)的证书,把用户的公钥和用户的其他信息捆绑在一起,在网上验证用户的身份,CA 还要负责用户证书的黑名单登记和黑名单发布,后面有CA 的详细描述。

(2)X.500目录服务器

X.500 目录服务器用于发布用户的证书和黑名单信息,用户可通过标准的LDAP协议查询自己或其他人的证书和下载黑名单信息。

(3)具有高强度密码算法(SSL)的安全WWW服务器

Secure socket layer(SSL)协议最初由Netscape企业发展,现已成为网络用来鉴别网站和网页浏览者身份,以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。

(4)Web(安全通信平台)

Web 有Web Client端和Web Server端两部分,分别安装在客户端和服务器端,通过具有高强度密码算法的SSL协议保证客户端和服务器端数据的机密性、完整性、身份验证。

(5)自开发安全应用系统

自开发安全应用系统是指各行业自开发的各种具体应用系统,例如银行、证券的应用系统等。完整的PKI 包括认证政策的制定(包括遵循的技术标准、各CA 之间的上下级或同级关系、安全策略、安全程度、服务对象、管理原则和框架等)、认证规则、运作制度的制定、所涉及的各方法律关系内容以及技术的实现等。

2.CA 

认证中心CA作为PKI的核心部分,CA实现了PKI中一些很重要的功能,概括地说,认证中心(CA)的功能有:证书发放、证书更新、证书撤销和证书验证。CA的核心功能就是发放和管理数字证书,具体描述如下: 
  (1)接收验证最终用户数字证书的申请。 
  (2)确定是否接受最终用户数字证书的申请-证书的审批。 
  (3)向申请者颁发、拒绝颁发数字证书-证书的发放。 
  (4)接收、处理最终用户的数字证书更新请求-证书的更新。 
  (5)接收最终用户数字证书的查询、撤销。 
  (6)产生和发布证书废止列表(CRL)。 
  (7)数字证书的归档。 
  (8)密钥归档。 
  (9)历史数据归档。 
  认证中心CA为了实现其功能,主要由以下三部分组成: 
  注册服务器:通过 Web Server 建立的站点,可为客户提供24×7 不间断的服务。客户在网上提出证书申请和填写相应的证书申请表。 
  证书申请受理和审核机构:负责证书的申请和审核。它的主要功能是接受客户证书申请并进行审核。 
  认证中心服务器:是数字证书生成、发放的运行实体,同时提供发放证书的管理、证书废止列表(CRL)的生成和处理等服务。 
  在具体实施时,CA的必须做到以下几点: 
  1) 验证并标识证书申请者的身份。 
  2) 确保CA 用于签名证书的非对称密钥的质量。 
  3) 确保整个签证过程的安全性,确保签名私钥的安全性。 
  4) 证书资料信息(包括公钥证书序列号,CA标识等)的管理。 
  5) 确定并检查证书的有效期限。 
  6) 确保证书主体标识的唯一性,防止重名。 
  7) 发布并维护作废证书列表。 
  8) 对整个证书签发过程做日志记录。 
  9) 向申请人发出通知。 
  在这其中最重要的是CA自己的一对密钥的管理,它必须确保其高度的机密性,防止他方伪造证书。CA的公钥在网上公开,因此整个网络系统必须保证完整性。CA的数字签名保证了证书(实质是持有者的公钥)的合法性和权威性。

三、OpenSSL

时间: 2024-10-02 21:35:37

Linux加密和解密、openssl的基本应用及CA的实现过程的相关文章

基于CentOS 6.5   加密、解密、openssl的基本应用及CA的实现过程

一.加密和解密 1.加密方式有:对称加密.单向加密.公钥加密 对称加密: 工具:gpg openssl enc 加密:openssl enc -des3 -a -salt -in /ets/fstab -out /tmp/fstab.cipher 解密:openssl enc -d -dec3 -a -salt -in /tmp/fstab.cipher  -out 文件 单向加密: 工具:sha1sum,md5sum,openssl dgst openssl dgst [-md5|-md4|-

Linux加密、解密安全通信详解

密码算法和协议:四大类    对称加密:用于加密任意大小的数据块数据内容,加密方和解密方使用的是同一个密码    公钥加密:(非对称加密)加密和解密使用的是不同的密码,有公钥和私钥,密钥是成对出现的,公钥是从私钥中提前出来的,私钥是很长的,私钥加密速度比较慢.公钥是公开的,公钥加密需要用私钥解密,用私钥加密得用公钥解密.    单向加密:数据完整性算法:抽取数据的特征码,且在二次抽取后和此前的抽取进行比较,以验证数据的确没有被人篡改过的.    认证协议:用基于某种特性的算法来完成通信双方的真实

以前写的两本书《安全之路:Web渗透技术及实战案例解析(第2版)》和《黑客攻防实战加密与解密》

应一些朋友的要求,我重新将书封面和购买地址发一下 说明一下: www.antian365.com原来域名转移到国外去了.现在国家对境外域名在国内访问必须实名制,进行备份啥的,情况你懂的. 最近正在制作<黑客攻防实战加密与解密>的视频课程,对黑客攻防过程遇到的密码获取和破解进行全方位的解读和分析,了解密码在攻击中的突出作用,对目前攻防用到的密码相关工具进行重新归类和整理. https://item.jd.com/11761713.html https://item.jd.com/12009331

linux网络数据传输的加密,解密以及基于openssl的私有CA的建立

网络数据传输的安全性是计算机通信领域的重要课题,数据加密就是保证数据安全性的主要方法.所谓数据加密,即是通过某种算法和秘钥对数据明文进行处理,从而得到密文的过程.计算机网络通信过程中的加密形式主要有以下几种: 1,对称加密,用同一个密钥对信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密.对称加密算法的优点是算法公开.计算量小.加密速度快.加密效率高,但秘钥有时会很多,难以管理.而且秘钥交换又是一个难以解决的问题. 常见算法: DES:Data Encryption Standard,

linux系统的加密功能及OpenSSL使用

一.密码学简介 据记载,公元前400年,古希腊人发明了置换密码.1881年世界上的第一个电话保密专利出现.在第二次世界大战期间,德国军方启用"恩尼格玛"密码机,密码学在战争中起着非常重要的作用. 随着信息化和数字化社会的发展,人们对信息安全和保密的重要性认识不断提高,于是在1997年,美国国家标准局公布实施了"美国数据加密标准(DES)",民间力量开始全面介入密码学的研究和应用中,采用的加密算法有DES.RSA.SHA等.随着对加密强度需求的不断提高,近期又出现了A

加密和解密技术基础与OpenSSL

加密和解密技术基础与OpenSSL 加密和解密技术基础(01) 1.了解Linux  service  and  securityOpenSSL:为网络通信提供安全及数据完整性的一种安全协议 2.一般都是C/S通信,此种通信客户端有什么特性?服务端有什么特性呢?(1)两台主机上的通信方式?主机通信实际是进程间通信.通信方式:socket (套接字)ip:port          客户端cip:port<-->服务器端 scip:port(2)如何让客户知道自己的主机和端口呢?把某些众所周知的

用openssl对文件加密及解密

Openssl是一个开源的用以实现SSL协议的产品,它主要包括了三个部分:密码算法库.应用程序.SSL协议库.Openssl实现了SSL协议所需要的大多数算法. 下面我将单介绍使用Openssl进行文件的对称加密操作. 一.Openssl支持的加密算法有: -aes-128-cbc -aes-128-cfb -aes-128-cfb1 -aes-128-cfb8 -aes-128-ecb -aes-128-ofb -aes-192-cbc -aes-192-cfb -aes-192-cfb1 -

Linux之加密和解密技术

加密和解密技术 本章内容: 安全机制 对称加密 不对称加密 散列算法 PKI和CA 相关知识: 1)传输层协议: TCP(面向连接),UDP(面向无连接),SCTP(流控协议) 2)port(端口):传输层协议都会提供端口, 端口(port)是标记进程的地址,进程向内核注册才能使用某端口(独占) 任何一个进程占领某个端口之后,其他进程进不能使用了: 3)同一主机上的进程间通信: IPC,message qoeue(消息队列),shm(共享内存),semerphor 4)不同主机间的进程通信: 通

加密、解密原理和openssl自建CA过程详解

一.加密和解密相关知识简介 1.信息安全标准 NIST(National Institute of Standards and Technology)美国国家标准与技术研究院,制定了网络信息安全与保密的三个要素: 保密性(confidentiality):信息不泄露给非授权用户.实体或过程,或供其利用的特性.(一般包括数据保密性.隐私性.) 完整性(Integrity):数据未经授权不能进行改变的特性.即信息在存储或传输过程中保持不被修改.不被破坏和丢失的特性.(一般包括数据完整性.系统完整性.