所谓的加密
加密就是发送方把有意义的一系列 明文,通过某种方式 转换 成没有任何意义的 密文。只有信息接受方知道 密文 的转换方式,逆转回有意义的 明文,已达到对不知道这系列转换方式的人隐藏信息的目的。
举个简单的例子:
密文: Ifmmp,xpsme.
转换方法:字母表往后推 N 个字母;空格和逗号互换;句号和感叹号互换。
关键 N 取值:1
逆推下,获得了明文:
Hello world!
以上例子就是个简单的对称加密。Hello world! 为明文信息;转换方法对应的,就是对称加密中的加密算法;关键N取值 对应的 密钥;Ifmmp,xpsme. 为加密完成后的密文。
加密类型
常用的加密算法,根据密钥数量来分,有3种
杂凑(hashing)算法 —— 没有密钥
也称哈希算法或者映射算法。此类算法严格意义上,不算加密算法,因为此算法无法将密文数据解密还原为明文。他只是数据单向映射。能把一个长数据,映射成固定长度的较短数据,当数据内容发生了变化时,映射出来的数据,也同样发生改变。此类算法一般用于签名,防止,或者说辨别数据是否被篡改过。由发送方将数据按一定排序规则,进行拼接,然后计算签名。当接收方接收到数据时,把数据按同样的排序规则拼接,计算签名,对比发送方发送过来的签名,看是否一致。
- 一般为了签名的可靠性,除了数据信息外,还会额外拼接约定好的一个签名信息;或者数据信息拼接完成后,使用其他加密算法进行加密后,再映射。已确保签名无法通过 已知信息生成。
例如:
发送数据
{"name":"abc","id":"1234"}
约定签名内容为:key按字母顺序排序后,拼接value;最后拼接签名信息:ccwork
即,签名内容:1234abcccwork,假设签名结果为:BC697640
即,最后发送的报文为:
{"name":"abc","id":"1234","sign":"BC697640"}
接收方接收到数据后,按同样的签名内容拼接方式凭借完数据后,对比sign字段,看是否一致
若是篡改方,则会因为无法获知拼接方式和最后的固定签名信息,而无法篡改出一个合法的签名信息,从而保证了数据的可信度
- 此处签名信息,有时也会被称为签名密钥,单它并非传统意义上的密钥,不起到加解密作用,只用于修改数据内容,校正签名信息
哈希算法的主要作用是压缩数据,只保证数据的完整性(只有一样的原数据可以压缩出同样的映射数据),不保证数据的可靠性(所有人都知道算法,都可以压缩数据)
使用场景
- 文件完整性校验,常用算法:MD5,crc32 等。常用与校验网络传输过程中是否出现偏差,导致下载的文件有所损坏。
- 数据签名,常用算法:sha256、SM3 等。用于数据签名时,哈希算法只起到压缩数据长度作用,安全性和可靠性需要通过另外手段保证(如例子中提到的额外签名数据等)。
- 密码存储,常用算法:sha1、MD5 等。一般密码是需要用户手动输入校验的,但存储无需知道具体密码,只需要校验用户输入密码的完整性即可。
对称加密 —— 一个密钥
此类算法拥有一个固定密钥。加密方通过这个密钥对数据进行加密。解密方通过同样的密钥对加密过的数据进行逆运算,解密恢复原数据。
大多数情况下,通信安全都是由对称加密来保证的。对称加密的算法相对(非对称加密)来说计算损耗较小。
还是紧接着上面的例子
{"name":"abc","id":"1234","sign":"BC697640"}
如果第三方直接拦截了报文,很容易就能得到"name":"abc","id":"1234" 的信息。这部分信息,可以通过对称加密,进行处理。直接将{"name":"abc","id":"1234"} json 字符串,加密处理,例如结果为:07D1C662F8CB1550E8934E5444158D2912883E8BBC08CB590B306E3DC061B5DA,并放置在 content 字段中;重新拼接并计算签名值,最后形成报文如下:
{"content":"07D1C662F8CB1550E8934E5444158D2912883E8BBC08CB590B306E3DC061B5DA","sign":"6D22322A"}
在上面的报文中,即便被第三方拦截,也无法直观地解析出数据内容。达到了通信安全的目的。
如果通信双方是固定的,那可以约定一个固定的密钥。但这个密钥一旦被破译,则后续通信都不安全。如何动态地约定一个通信密钥,是对称加密通信的一个难点。
对称加密的主要作用是保证数据的可靠性(只有知道密钥的双方可以对信息进行加解密),但密钥的约定是个难题
使用场景
- 通信数据加密,常用算法:AES、SM4 等。
- 本地数据持久化存储,常用算法:DES、DES3 等。
非对称加密 —— 两个密钥(公私钥)
此类算法拥有两个固定密钥:公钥 —— PK,public key,是公开给所有通信端的;私钥 —— SK,signing key 也称 private key,只有自身知道的一个密钥。
非对称算法涉及到的数学知识比较高深,但作为使用方而非实现方来说,只需要知道以下定律就行了
- 公私钥为一对一的关系,且私钥可以计算出公钥,而公钥无法反推私钥
- 公钥加密过的信息,可以通过私钥解密还原;私钥加密过的信息,也可使用公钥解密还原
- 公钥加密的信息,公钥无法解密还原
非对称密钥经常用于解决对称加密中密钥传递的问题。主要因为其计算较为复杂,耗费性能。
使用场景
- 公钥加密 + 私钥解密,保证密文安全
- 私钥签名 + 公钥验签,保证来源可靠
