IT 安全 第 11节 加密控制
加密技术 加密技术包括:- 加密 : 保护机密性 - 在传输的过程中 存储 认证 : 目的 – 保护数据完整性 认证发送方
对称加密 加密和解密使用相同的密钥 明文 加密文本 y=Ek(x) E D 密钥 K 传输过程中的对称加密
密钥管理 生成 - 无法从历史状况推测未来的密钥 分发 - 密钥的安全传送和同步技术的运用 存储– 使攻击者无法从固态的或磁存储设备中抽取密 生成 - 无法从历史状况推测未来的密钥 分发 - 密钥的安全传送和同步技术的运用 存储– 使攻击者无法从固态的或磁存储设备中抽取密 销毁 – 使攻击者无法恢复已失效的密钥或历史加密信息
非对称加密 (1) 解决密钥分发问题 涉及密钥对的生成 安全性基于无法根据公开密钥来推测私有密钥 使用接受方的”公开密钥” (对外公开 )对信息进行加密 接受方使用自己的”私有密钥 ”对信息进行解密加密 安全性基于无法根据公开密钥来推测私有密钥
非对称加密 (2) 接收方 接收方 私有密钥 ‘kd’ 公开密钥 ‘ke’ E D 加密文本 y=Eke(x) 明文 明文 信息 ‘x’ 信息 x=Dkd(y)
Bob使用对称加密算法对将要发送给Alice的信息进行加密,并放在文件1中 Bob把文件1发送给Alice 对称加密与非对称加密技术的结合 Bob使用对称加密算法对将要发送给Alice的信息进行加密,并放在文件1中 Bob把文件1发送给Alice Bob用Alice的公开密钥,对对称密钥进行加密,并把它放在文件2中 Bob把文件2发送给Alice Alice用自己的私有密钥解密文件2以获得对称密钥 Alice使用对称密钥解密文件1中的信息
认证 需要一个机制,能够证明信息:- 原产地 完整性 不可抵赖性 :- 接收 加密技术的其他作用
采用认证算法将信息压缩成“消息认证码” (MAC) 数字签名 采用认证算法将信息压缩成“消息认证码” (MAC) 用发送方的私有密钥对MAC进行加密 接收方使用发送方的公开密钥对MAC进行解密 接收方根据信息重新执行认证算法来重新生成MAC 接收方将重新生成的MAC与发送过来的MAC进行比较
“仲裁器”的作用 数据签名不能防止“接收的抵赖” 由发送方对信息进行签名,然后发送给仲裁者 仲裁者检查发送方的身份 仲裁者对信息进行数字签名 仲裁者将信息发送给接收方
总结 对称加密 -速度快但带来密钥分发的问题 非对称加密 -灵活但速度较慢 认证 -确认发送源/完整性 仲裁者 -接收的不可抵赖性