1)A随机产生一个大整数a,然后计算Ka=gamodn(a需要保密)
2)B随机产生一个大整数b,然后计算Kb=gbmodn(b需要保密)
3)A把Ka发送给B,B把Kb发送给A
4)A计算K=Kbamodn
5)B计算K=Kabmodn
由于Kbamodn=(gbmodn)amodn=(gamodn)bmodn,因此可以保证双方得到的K是相同的,K即是共享的密钥。
可以参考JCE文档中的DH3party的例子。
实际的一个用DH算法传递DES私钥的JAVA例子参看“JAVA上加密算法的实现用例”一文中的末一个例子,过程如下:
假设A和B通信(JCE中只支持DH算法作为传递私钥的算法)
A利用KeyPairGenerator类生成一个钥对类KeyPair并可通过generatePublic方法产生公钥PublicKey(puA)和getPrivate方法私钥PrivateKey(prA)。
A把puA发给B。
B用类X509EncodedKeySpec解码,然后利用KeyFactory类生成puA,转换成DHPublicKey类利用其getParams方法取得参数类DHParameterSpec,B再利用此参数类,通过KeyPairGenerator类的initialize方法生成KeyPairGenerator实例从而用generateKeyPair方法生成B的KeyPair。
进而B生成puB和prB,B把puB发给A。
A利用puB和prA作为参数,分别调用KeyAgreement类的init和doPhase方法初始化,然后用generateSecret方法生成各自的DES的密钥SecretKey,此密钥是相同的,即可用Cipher类进行加解密了。
(该部分内容略)
数字签名
公钥算法还可用于构成数字签名。
数字签名验证发送方的身份(如果您信任发送方的公钥)并帮助保护数据的完整性。
为了使用公钥加密对消息进行数字签名,小红首先将哈希算法应用于该消息以创建消息摘要。
该消息摘要是数据的紧凑且唯一的表示形式。
然后,小红用她的私钥加密该消息摘要以创建她的个人签名。
在收到消息和签名时,小明使用小红的公钥解密签名以恢复消息摘要,并使用与小红所使用的相同的哈希算法来散列消息。
如果小明计算的消息摘要与从小红那里收到的消息摘要完全一致,小明就可以确定该消息来自私钥的持有人,并且数据未被修改过。
如果小明相信小红是私钥的持有人,则他知道该消息来自小红。
请注意,由于发送方的公钥为大家所周知,并且它通常包含在数字签名格式中,因此任何人都可以验证签名。
此方法不保守消息的机密;若要使消息保密,还必须对消息进行加密。
(该部分内容略)
哈希算法将任意长度的二进制值映射为固定长度的较小二进制值,这个小的二进制值称为哈希值。
哈希值是一段数据唯一且极其紧凑的数值表示形式。
如果散列一段明文而且哪怕只更改该段落的一个字母,随后的哈希计算都将产生不同的值。
要找到散列为同一个值的两个不同的输入,在计算上是不可能的。
消息身份验证代码(MAC)哈希函数通常与数字签名一起用于对数据进行签名,而消息检测代码(MDC)哈希函数则用于数据完整性。
双方(小红和小明)可按下面的方式使用哈希函数来确保数据的完整性。
如果小红对小明编写一条消息并创建该消息的哈希,则小明可以在稍后散列该消息并将他的哈希与原始哈希进行比较。
如果两个哈希值相同,则该消息没有被更改;如果值不相同,则该消息在小红编写它之后已被更改。
为了使此系统发挥作用,小红必须对除小明外的所有人保密原始的哈希值。
摘要函数(MD2、MD4和MD5,还有SHA1等算法(产生一个20字节的二进制数组))
摘要是一种防止改动的方法,其中用到的函数叫摘要函数。
这些函数的输入可以是任意大小的消息,而输出是一个固定长度的摘要。
摘要有这样一个性质,如果改变了输入消息中的任何东西,甚至只有一位,输出的摘要将会发生不可预测的改变,也就是说输入消息的每一位对输出摘要都有影响。
总之,摘要算法从给定的文本块中产生一个数字签名(fingerprint或messagedigest),数字签名可以用于防止有人从一个签名上获取文本信息或改变文本信息内容。
摘要算法的数字签名原理在很多加密算法中都被使用,如S/KEY和PGP(prettygoodprivacy)。
现在流行的摘要函数有MD4和MD5。
MD2摘要算法的设计是出于下面的考虑:
利用32位RISC结构来最大其吞吐量,而不需要大量的替换表(substitutiontable)。
MD4算法将消息的给予对长度作为输入,产生一个128位的"指纹"或"消息化"。
要产生两个具有相同消息化的文字块或者产生任何具有预先给定"指纹"的消息,都被认为在计算上是不可能的。
MD5摘要算法是个数据认证标准。
MD5的设计思想是要找出速度更快但更不安全的MD4中潜在的不安全,MD5的设计者通过使MD5在计算上慢下来,以及对这些计算做了一些基础性的改动来解决这个问题。
MD5在RFC1321中给出文档描述,是MD4算法的一个扩展。
美国国家标准技术研究所的SHA1和麻省理工学院RonaldRivest提出的MD5是为代表。
HMAC-MD5算法(消息摘要5)基于RFC1321。
MD5对MD4做了改进,计算速度比MD4稍慢,但安全性能得到了进一步改善。
MD5在计算中使用了64个32位常数,最终生成一个128位的完整性检查和。
HMAC-SHA算法:
安全Hash算法定义在NISTFIPS180-1,其算法以MD5为原型。
SHA在计算中使用了79个32位常数,最终产生一个160位完整性检查和。
SHA检查和长度比MD5更长,因此安全性也更高。
随机数生成
随机数生成是许多加密操作不可分割的组成部分。
例如,加密密钥需要尽可能地随机,以便使生成的密钥很难再现。
加密随机数生成器必须生成无法以计算方法推算出(低于p<.05的概率)的输出;即,任何推算下一个输出位的方法不得比随机猜测具有更高的成功概率。
.NETFramework中的类使用随机数生成器生成加密密钥。
在商务领域的应用
许多人都知道NETSCAPE公司是Internet商业中领先技术的提供者,该公司提供了一种基于RSA和保密密钥的应用于因特网的技术,被称为安全插座层(SecureSocketsLayer,SSL)。
也许很多人知道Socket,它是一个编程界面,并不提供任何安全措施,而SSL不但提供编程界面,而且向上提供一种安全的服务,SSL3.0现在已经应用到了服务器和浏览器上,SSL2.0则只能应用于服务器端。
SSL3.0用一种电子证书(electriccertificate)来实行身份进行验证后,双方就可以用保密密钥进行安全的会话了。
它同时使用“对称”和“非对称”加密方法,在客户与电子商务的服务器进行沟通的过程中,客户会产生一个SessionKey,然后客户用服务器端的公钥将SessionKey进行加密,再传给服务器端,在双方都知道SessionKey后,传输的数据都是以SessionKey进行加密与解密的,但服务器端发给用户的公钥必需先向有关发证机关申请,以得到公证。
基于SSL3.0提供的安全保障,用户就可以自由订购商品并且给出信用卡号了,也可以在网上和合作伙伴交流商业信息并且让供应商把订单和收货单从网上发过来,这样可以节省大量的纸张,为公司节省大量的电话、传真费用。
在过去,电子信息交换(ElectricDataInterchange,EDI)、信息交易(informationtransaction)和金融交易(financialtransaction)都是在专用网络上完成的,使用专用网的费用大大高于互联网。
正是这样巨大的诱惑,才使人们开始发展因特网上的电子商务,但不要忘记数据加密。
常用算法比较
数据加密标准(DES)是一个古老的对称密钥加密算法,目前已经不再使用。
它不是一个很安全的算法。
三重DES(Triple-DES)仍然是很安全的,但是也只是在别无他法的情况下的一个较好的选择。
显然高级加密标准(AES)是一个更好的加密算法,NIST用AES代替Triple-DES作为他们的标准(下面有更详细的讨论)。
其他较好的算法包括另外两个AES的变种算法Twofish和Serpent-也称为CAST-128,它是效率和安全的完美结合。
这几个算法不仅比DES更安全,而且也比DES的速度更快。
为什么要使用一些又慢又不安全的算法呢
SHA1是一个哈希函数,而不是一个加密函数。
作为一个哈希函数,SHA1还是相当优秀的,但是还需要几年的发展才能用作加密算法。
如果你正在设计一个新系统,那么谨记你可能会在若干年后用SHA1代替目前的算法。
我再重复一遍:
只是可能。
RSA是一个公开密钥加密算法。
RSA的密钥长度一般为2048-4096位。
如果你现在的系统使用的是1024位的公开密钥,也没有必要担心,但是你可以加长密钥长度来达到更好的加密效果。
高级加密标准(AES)是一个用来代替数据加密标准(DES)的算法。
目前使用的一般为128,196和256位密钥,这三种密钥都是相当安全的。
而且美国政府也是这样认为的。
他们批准将128位密钥的AES算法用于一般数据加密,196位和256位密钥的AES算法用于秘密数据和绝密数据的加密。
DESX是DES的一个改进版本。
DESX的原理是利用一个随机的二进制数与加密前的数据以及解密后的数据异或。
虽然也有人批评这种算法,但是与DES相比DESX确实更安全,不过DESX在许多情况下并不适用。
我曾经处理过一个硬件支持DES的系统,由于有些环节不能容忍三重DES的慢速,我们在这些地方使用了DESX来代替DES。
然而,这是一个非常特殊的情况。
如果你需要使用DESX,理由显而易见(可能和我不得不使用DESX的原因类似)。
但我建议你使用AES或者上面我提到的一些算法。
RC4是一种常用于SSL连接的数据流加密算法。
它已经出现很多年了,而且有很多已知和可能的缺陷,因此在一些新的工程中不要使用它。
如果你目前正在使用它而且可以轻易的卸载它,那么情况也不是很坏。
不过,我怀疑如果你现在正在使用它,你不可能轻易的卸载它。
如果不能将它从系统中轻易的卸载,那么你还是考虑今后怎样升级它,但是不要感到很惊慌。
我不会拒绝在一个使用RC4算法来加密SSL连接的网站购买东西,但是如果我现在要新建一个系统,那么我会考虑使用其他的算法,例如:
AES。
对于下面两个算法MD5-RSA和SHA1-DSA,他们是用于数字签名的。
但是不要使用MD5,因为它有很多缺陷。
很多年前大家就知道MD5中存在漏洞,不过直到今年夏天才破解出来。
我们可以将SHA1和RSA或DSA配合在一起使用,目前DSA的密钥位数高达1024位,这个密钥位数已经足够长了,因此不需要担心安全问题。
然而,如果NIST实现了更长的密钥位数当然更好。
X.509证书是一个数据结构,常用于规定比特和字节的顺序,它本身不是一个密码系统。
它通常包含一个RSA密钥,也可能包含一个DSA密钥。
但是X.509证书内部以及证书本身并不是加密技术。
加密技术中,对称加密和不对称加密的最大区别?
加密的算法可以分为对称加密和不对称加密.在对称加密算法中,一个密钥被用来进行信息交换得两方共享.发送方利用私钥的拷贝来加密数据.在接收方,利用同样的私钥的拷贝来解密数据.绝大多数的加密,如基于共享密码和共享安全标识都是对称加密的例子.
在这种类型的系统中,一个中心的服务器分发共享的密钥给需要安全交互的使用者.对称加密的缺点是共享密钥的管理,分发和保护它们的安全性,特别是在象internet这样的公网上.
为了克服在公共网络中管理密钥的的难度,使用成对的密钥来取代单一的密钥.在不对称加密算法中,双方都互相拥有一个私钥和一个公钥.
公钥是利用一种不可逆的方法对私钥进行操作后产生的,因此一旦两者中的一种用来加密数据,另外一种就可以用来解密.另外,不可由公钥来推测出私钥,而且只有用私钥来解密用公钥加密的数据.当发送异步加密的报文时,发送者利用接收者的公钥加密报文,确保只有接收者可以利用他的私钥来解密报文.如果你用另外一种方式来处理,任何人都可利用可利用的公钥来解密报文.不对称加密是PKI的基础,pki是x.509安全标准的基础.不对称加密算法是一种典型基于对大数处理的算法,如指数合对数运算.它比对称加密算法需要更多的cpu时间来进行加密和解密.,因为这个原因,不对称加密经常用来安全的传送一个对称的”会话”密钥,用来加密交互的剩余部分,这也只是在信息交换的持续周期内有效.
因为公钥可以很容易的获得,使用公钥进行加密减轻了分发和管理密钥的难度.不幸的是,这种方便性的代价是不对称加密算法通常比对称加密算法慢几个数量级.由于此,不对称加密方法只用来处理比较小的数据.例如安全密钥和标识以及数字签名.
公钥加密(不对称加密)、私钥加密(对称加密)
公钥加密使用一个必须对XX的用户保密的私钥和一个可以对任何人公开的公钥。
公钥和私钥都在数学上相关联;用公钥加密的数据只能用私钥解密,而用私钥签名的数据只能用公钥验证。
公钥可以提供给任何人;公钥用于对要发送到私钥持有者的数据进行加密。
两个密钥对于通信会话都是唯一的。
公钥加密算法也称为不对称算法,原因是需要用一个密钥加密数据而需要用另一个密钥来解密数据。
公钥加密算法使用固定的缓冲区大小,而私钥加密算法使用长度可变的缓冲区。
公钥算法无法像私钥算法那样将数据链接起来成为流,原因是它只可以加密少量数据。
因此,不对称操作不使用与对称操作相同的流模型。
双方(小红和小明)可以按照下列方式使用公钥加密。
首先,小红生成一个公钥/私钥对。
如果小明想要给小红发送一条加密的消息,他将向她索要她的公钥。
小红通过不安全的网络将她的公钥发送给小明,小明接着使用该密钥加密消息。
(如果小明在不安全的信
升级会员 