SSL背后的加密技术——非对称加密和对称加密

便宜SSL11个月前 (08-06)便宜SSL新闻138

SSL(安全套接字层)是一种标准的安全技术,用于在服务器和客户端之间建立加密连接。安装SSL证书后,就可以建立此安全连接。但这是如何实现的?数据是如何加密的?本文介绍了SSL背后的加密技术,它涵盖了非对称加密和对称加密以及它们如何协同工作以创建SSL加密连接。

一、非对称加密

非对称加密(或公钥加密)使用单独的密钥进行加密和解密。任何人都可以使用加密密钥(公钥)来加密消息。但是,解密密钥(私钥)是秘密的。这样,只有预期的接收者才能解密该消息。最常见的非对称加密算法是RSA。

非对称密钥通常为2048位,小于2048位的密钥不再被认为是安全的。2048位密钥有足够的唯一加密代码,虽然可以创建更大的密钥,但是会增加计算负担。而且,破解2048位的证书需要超过140亿年的普通计算机。

二、对称加密

对称加密(或预共享密钥加密)使用单个密钥来加密和解密数据。发送方和接收方都需要相同的密钥才能进行通信。

对称密钥大小通常为128或256位,密钥大小越大,密钥越难破解。是使用128位还是256位密钥取决于服务器和客户端软件的加密功能。SSL证书不指定使用的密钥大小。

三、SSL如何使用非对称和对称加密

公钥基础结构(PKI)是创建,管理,分发,使用,存储和撤销数字证书所需的一组硬件,软件,人员,策略和过程。PKI也是通过证书颁发机构(CA)将密钥与用户身份绑定的方式。PKI使用混合密码系统,并且可以使用这两种类型的加密。例如,在SSL通信中,服务器的SSL证书包含非对称公钥和私钥对。服务器和浏览器在SSL握手期间创建的会话密钥是对称的。这将在下图中进一步解释。

① 服务器发送其非对称公钥的副本。

② 浏览器创建对称会话密钥,并使用服务器的非对称公钥对其进行加密。然后将其发送到服务器。

③ 服务器使用其非对称私钥解密加密的会话密钥以获得对称会话密钥。

④ 服务器和浏览器现在使用对称会话密钥加密和解密所有传输的数据。这允许安全通道,因为只有浏览器和服务器知道对称会话密钥,并且会话密钥仅用于该会话。如果浏览器第二天要连接到同一服务器,则会创建一个新的会话密钥。

四、加密算法介绍

公钥加密(非对称)使用RSA和椭圆曲线加密(ECC)等加密算法来创建公钥和私钥。通过非对称加密,可以轻松地生成公钥和私钥,使用公钥加密消息,以及使用私钥解密消息。但是,任何人都很难(或不可能)仅基于公钥导出私钥。

1、RSA

RSA基于假定的大整数因子分解(整数分解)。在假设不存在用于整数分解的有效算法的情况下,认为RSA密文的完全解密是不可行的。RSA的用户创建并发布两个大质数的乘积以及辅助值作为其公钥。主要因素必须保密。任何人都可以使用公钥来加密消息,但只有了解主要因素的人才能切实地解码消息。

RSA代表Ron Rivest,Adi Shamir和Leonard Adleman– 1977年首次公开描述该算法的人。

2、ECC

椭圆曲线密码学 (ECC)依赖于有限域上椭圆曲线的代数结构。假设发现与公知基点相关的随机椭圆曲线元素的离散对数是不切实际的。ECC算法优于RSA的优点是密钥可以更小,从而提高了速度和安全性。缺点在于并非所有服务和应用程序都可与基于ECC的SSL证书互操作。

1985年,Neal Koblitz和Victor S. Miller独立地提出了在密码学中使用椭圆曲线; ECC算法于2004年投入使用。

相关文章

PKI:医疗物联网必不可少

今天有成千上万的医疗设备在使用,容易受到黑客攻击。医院、门诊中心、医疗保健机构甚至家中的患者每天都使用高科技设备来监控护理、改善患者治疗效果并挽救生命。但是,如果没有适当的身份验证和加密,这些连接的设备(以及其中包含的数据)将面临被利用的风...

Google SSL 证书的更大问题

今天我们看到了另一个流氓 SSL 证书的发现——这次是针对 *.google.com。证书本身是在五周前颁发的。这将允许攻击者嗅探到几乎所有 Google 服务的流量,即使启用了 HTTPS。目前,有未经证实的报道称,这次袭击正在伊朗发生。...

证书颁发机构再也不用更改密码啦!

经过一年多的努力,Ballot SC3近日被CA /B论坛一致通过。 这是论坛网络安全工作组提出的网络和证书系统安全要求的第一次重大升级。 它包含几个重要的改进,但其中一个特别重要:删除密码每90天更改一次的要求。 Ballot SC3允许...

使用私有 CA 降低风险

至少从表面上看,在颁发和管理组织专有的数字证书时,私有CA一词肯定意味着更高级别的控制、访问和便利。但是私人 CA 的好处并不是来自一些空灵、富有想象力的文字游戏练习。私有 CA 已经证明了它们在帮助企业驾驭企业网络安全世界方面的价值。私人...

数字签名:后 Covid 时代的无名英雄

当所有通信一夜之间变成数字化时,企业想知道如何继续建立信任,而数字签名作为答案而兴起。虽然这项技术早在 2020 年之前就已经在现代商业运营中发挥了重要作用(如果不是经常讨论的话),但对确保数字交互和通信安全的先进技术的需求已经加速和加剧。...

Cisco VPN套件中过期的SSL证书将破坏网络配置

任何运行思科支持的虚拟专用网络(VPN)的人都可能需要安装更新以确保一切正常运行。 这是因为思科无意中允许嵌入在软件定义网络控制器的Switchzilla应用程序策略基础架构控制器企业模块(APIC-EM)中的SSL证书已于7月13日到期。...

运维背锅?忘记续期 HTTPS 证书,网易邮箱大量用户无法使用

2020 年 3 月 20 日晚间,许多苹果用户看到系统不断地弹窗无法验证服务器身份,包括 iOS、iPadOS 以及 macOS 系统全部如此。在弹窗中苹果标注不能验证「appleimap.163.com」的身份 , 简单来说就是这个域名...

文档签名证书为何备受各大企业青睐

在互联网+时代,无纸化办公已经成为常态,世界各地越来越多的企业也转而选择了电子签名。无纸化工作流程虽然可节省时间和资源,然而,当涉及到文档的安全性时,普通的电子签名却无法满足需求,尤其当文档涉及敏感或重要信息时,电子签名所起的作用就微乎其微...

Sectigo 入围最佳业务连续性 灾难恢复解决方案类别的 SC 奖决赛

今天是Sectigo的大新闻!我们的 Sectigo Web 安全平台已入围 2021 年 SC Awards最佳业务连续性/灾难恢复解决方案类别的决赛!这是继Sectigo IoT Identity Manager去年获得SC Award...

AWS 证书与公共 CA 证书

AWS SSL 证书和公共 CA 证书之间的差异当今的现代企业必须使用 Amazon Web Services (AWS) 保护在云中运行和托管的数据和应用程序。基于公钥基础设施 (PKI) 的数字证书,例如 SSL/TLS 证书和代码签名...

Sectigo 宣布 2021 年上半年增长超过 30%

新泽西州罗斯兰,2021 年 8 月 3 日——领先的数字证书和自动化证书管理解决方案提供商Sectigo今天公布了 2021 年上半年的成就和亮点,包括同比增长超过 30%。Sectigo 看到了对自动化证书生命周期管理 (CLM) 功能...

代码签名证书过期,Mozilla数百万Firefox用户遭遇扩展禁用

5月4日(GMT)早上,Mozilla的Firefox用户怨声载道,大量用户打开浏览其发现扩展插件无法使用,手机版也是如此。有报道称,此现象是由于Firefox底层SSL根证书过期所导致的,但据我们了解,这是由于AMO使用的代码签名证书无效...

如何重新思考最终用户保护并消除网络钓鱼和勒索软件

勒索软件攻击在过去一年激增 - 随着勒索软件即服务的兴起,它已成为网络犯罪分子越来越有利可图的策略。据 Cybersecurity Ventures 称,2021 年勒索软件攻击造成的全球损失预计将超过 200 亿美元,到 2031 年这一...

黑客为暗网上被盗的个人数据支付了多少费用?

随着过去几年大流行和全球政治的发展,您可能不知道 2020 年是网络攻击最严重的年份之一。世界上一些最大的公司,如 NASA、T-Mobile,甚至像 SolarWinds 这样的网络安全公司,都是 2020 年一些严重漏洞的受害者。那么,...

在 Firefox 90 中默认提供客户端证书

从版本 90 开始,Firefox 将自动查找并提供使用 macOS 和 Windows 操作系统提供的客户端身份验证证书。自 Firefox 75 版本以来,这种安全性和可用性改进已在 Firefox 中可用,但以前最终用户必须手动启用它...

Google Chrome 72 丢弃HPKP,不再支持TLS1.0和TLS1.1!

Mozilla发布Firefox 65 几个小时后,谷歌也发布了最新的Chrome 72,并为Windows、Mac、Linux和Android用户提供了更新的版本。注:谷歌Chrome增加了下载驱动保护功能。虽然在过去的3-4个版本中,谷...

苹果宣布Apple Developer证书即将更新

 今日早间,苹果宣布 Apple Developer 证书即将更新。苹果推送通知服务 (APNs) 和 Developer ID 的媒介证书将从 2022 年 1 月 27 日起进行更新。  其中,APNs SSL 证书将由专门针...