密码学的三大作用
加密:防止坏人获取你的数据。(SHA256)
认证:防止坏人修改了你的数据而你却并没有发现。
鉴权:防止坏人假冒你的身份。RSA(SHA(data))
技术体系
双向加密:对称加密、非对称加密
单向加密算法:哈希摘要算法
加密类别
美国国家标准,目前常用的都是美国标准
中国国家标准(国密)2016年银行类系统全面切换到国密,和美标一一对应,包括:
SM2(RSA),SM3(MD5),SM4(AES)
对称加密
采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密。
DES(废弃),3DES,AES(高级加密标准),目前金融行业常用的加密是3DES,AES也逐步使用起来。
优点:运算速度快,性能好
缺点:秘钥管理难度高,双方都需要安全保护,金融企业一般购买加密机硬件设备。
非对称加密
RSA(最常用的的签名算法),注意密钥长度不要低于512位,建议使用2048位的密钥长度。
优点:密钥保密性好,安全性更高
缺点:性能较弱,一般不用做加密,鉴定身份(证明我是我),一般先md5再rsa。
单向加密算法
哈希摘要算法:MD5,RSA公司发明的摘要算法,不建议使用,并且网上有彩虹表。即使使用也要加盐。128位bit,最后结果是32位16进制字符串,王小云的算法可以加快冲撞速度。
SHA-1:也已经被王小云破解,160位的bit,强度更高,运算量更大,但是目前不建议使用。ssl证书2016年版已废弃。
SHA-2:包括SHA 224,SHA 256,SHA 384 ,SHA 512,目前ssl证书基本都使用SHA 256.
HMAC
密钥相关的哈希运算消息认证码,含有密钥,即使碰撞出哈希前的数据,也无法计算出原文。
HMACMD5 = (MD5+key)
使用场景
签名:类似指纹保证来源合法
常规做法:RSA(SHA(data))
支付、金融类交易、HTTPS、支付宝、银联、微信
另类签名
MD5(data+key),加入了key,辨别数据的来源,但本质还是哈希摘要,不属于签名范畴,法律不认可,如果key丢失责任无法界定。
用途:主要用于支付、密码保存,例如百度钱包、微信支付(退款、撤销使用RSA证书)。
SSL
ssl是目前最为安全的一种互联网通信保护方案
ios 10要求所有app必须使用ssl
一旦使用ssl,要求所有请求必须是ssl
ssl是http 2.0协议必备
ssl一般分为单项认证和双向认证,一般为单向认证、银行
key证书是双向认证
经验和教训
1.RSA加密对性能要求较高,在交易量大时,一定要有专门服务器进行处理,并且对证书进行缓存,减少I/O
2.SQL注入
3.跨站脚本
4. 跨站请求伪造
5.路径遍历
6.http重定向及转发漏洞
7.信息泄露
8.禁止使用BASE64加密
9.web服务器配置不当:ssl允许使用弱加密
10.点击劫持
11.撞库及暴力破解
12.任意文件上传
13.使用含有漏洞的第三方组件
