摘要:加密解密算法介紹算法目前常見有加密算法����,散列算法,編碼算法��,使用位關(guān)鍵字作為流加密算法加密技術(shù)通常分為兩大類對稱式和非對稱式���。對稱性加密算法有用途對稱加密算法用來對敏感數(shù)據(jù)等信息進行加密數(shù)據(jù)加密標(biāo)準(zhǔn)����,速度較快�,適用于加密大量數(shù)據(jù)的場合。
加密解密算法介紹
算法目前常見有: 加密算法����,散列算法,Base64(編碼算法)�����,https(SSL使用40位關(guān)鍵字作為RC4流加密算法)
加密技術(shù)通常分為兩大類:"對稱式"和"非對稱式"�。
對稱性加密算法:對稱式加密就是加密和解密使用同一個密鑰。信息接收雙方都需事先知道密匙和加解密算法且其密匙是相同的���,之后便是對數(shù)據(jù)進行加解密了���。對稱加密算法用來對敏感數(shù)據(jù)等信息進行加密。
非對稱算法:非對稱式加密就是加密和解密所使用的不是同一個密鑰����,通常有兩個密鑰,稱為"公鑰"和"私鑰"����,它們兩個必需配對使用����,否則不能打開加密文件�����。發(fā)送雙方A,B事先均生成一堆密匙�,然后A將自己的公有密匙發(fā)送給B,B將自己的公有密匙發(fā)送給A��,如果A要給B發(fā)送消 息��,則先需要用B的公有密匙進行消息加密�,然后發(fā)送給B端,此時B端再用自己的私有密匙進行消息解密�,B向A發(fā)送消息時為同樣的道理。
散列算法:散列算法�����,又稱哈希函數(shù)�,是一種單向加密算法。在信息安全技術(shù)中�,經(jīng)常需要驗證消息的完整性����,散列(Hash)函數(shù)提供了這一服務(wù)�����,它對不同長度的輸入消息�,產(chǎn)生固定長度的輸出��。這個固定長度的輸出稱為原輸入消息的"散列"或"消息摘要"(Message digest)���。散列算法不算加密算法��,因為其結(jié)果是不可逆的��,既然是不可逆的�,那么當(dāng)然不是用來加密的��,而是簽名��。
對稱性加密算法有:AES��、DES���、3DES
用途:對稱加密算法用來對敏感數(shù)據(jù)等信息進行加密
DES(Data Encryption Standard):數(shù)據(jù)加密標(biāo)準(zhǔn)����,速度較快,適用于加密大量數(shù)據(jù)的場合�����。
3DES(Triple DES):是基于DES����,對一塊數(shù)據(jù)用三個不同的密鑰進行三次加密,強度更高��。
AES(Advanced Encryption Standard):高級加密標(biāo)準(zhǔn)���,是下一代的加密算法標(biāo)準(zhǔn)�����,速度快���,安全級別高;AES是一個使用128為分組塊的分組加密算法���,分組塊和128��、192或256位的密鑰一起作為輸入���,對4×4的字節(jié)數(shù)組上進行操作�����。眾所周之AES是種十分高效的算法,尤其在8位架構(gòu)中���,這源于它面向字節(jié)的設(shè)計���。AES 適用于8位的小型單片機或者普通的32位微處理器,并且適合用專門的硬件實現(xiàn),硬件實現(xiàn)能夠使其吞吐量(每秒可以到達(dá)的加密/解密bit數(shù))達(dá)到十億量級�����。同樣�����,其也適用于RFID系統(tǒng)�����。
以上三種都是對稱加密算法,且是國際算法�,因為都是美國佬搞的,而我國國密局也制定了自己的對稱加密算法�����,叫國密算法�����,SM1(相當(dāng)于AES),和SM4(相當(dāng)于3DES)���。
#### DES
1977年1月�����,美國政府頒布:采納IBM公司設(shè)計的方案作為非機密數(shù)據(jù)的正式數(shù)據(jù)加密標(biāo)準(zhǔn)(DES Data Encryption Standard) �����。
目前在國內(nèi)��,隨著三金工程尤其是金卡工程的啟動��,DES算法在POS�����、ATM�����、磁卡及智能卡(IC卡)����、加油站、高速公路收費站等領(lǐng)域被廣泛應(yīng)用��,以此來實現(xiàn)關(guān)鍵數(shù)據(jù)的保密����,如信用卡持卡人的PIN的加密傳輸�,IC卡與POS間的雙向認(rèn)證、金融交易數(shù)據(jù)包的MAC校驗等���,均用到DES算法���。
DES算法的入口參數(shù)有三個:Key��、Data�����、Mode���。
其中Key為8個字節(jié)共64位,是DES算法的工作密鑰����;
Data也為8個字節(jié)64位,是要被加密或被解密的數(shù)據(jù)�;
Mode為DES的工作方式,有兩種:加密或解密��。
DES算法是這樣工作的:
如Mode為加密�,則用Key 去把數(shù)據(jù)Data進行加密, 生成Data的密文形式(64位)作為DES的輸出結(jié)果�;
如Mode為解密,則用Key去把密碼形式的數(shù)據(jù)Data解密��,還原為Data的明文形式(64位)作為DES的輸出結(jié)果�����。
在通信網(wǎng)絡(luò)的兩端,雙方約定一致的Key�����,在通信的源點用Key對核心數(shù)據(jù)進行DES加密���,然后以密碼形式在公共通信網(wǎng)(如電話網(wǎng))中傳輸?shù)酵ㄐ啪W(wǎng)絡(luò)的終點�,數(shù)據(jù)到達(dá)目的地后�����,用同樣的Key對密碼數(shù)據(jù)進行解密��,便再現(xiàn)了明碼形式的核心數(shù)據(jù)���。這樣,便保證了核心數(shù)據(jù)(如PIN�����、MAC等)在公共通信網(wǎng)中傳輸?shù)陌踩院涂煽啃浴?/p>
通過定期在通信網(wǎng)絡(luò)的源端和目的端同時改用新的Key�����,便能更進一步提高數(shù)據(jù)的保密性,這正是現(xiàn)在金融交易網(wǎng)絡(luò)的流行做法�。
非對稱性算法有:RSA、DSA���、ECC
RSA:由 RSA 公司發(fā)明�,是一個支持變長密鑰的公共密鑰算法���,需要加密的文件塊的長度也是可變的�����。RSA在國外早已進入實用階段����,已研制出多種高速的RSA的專用芯片�����。
DSA(Digital Signature Algorithm):數(shù)字簽名算法�����,是一種標(biāo)準(zhǔn)的 DSS(數(shù)字簽名標(biāo)準(zhǔn)),嚴(yán)格來說不算加密算法�。
ECC(Elliptic Curves Cryptography):橢圓曲線密碼編碼學(xué)。ECC和RSA相比�����,具有多方面的絕對優(yōu)勢��,主要有:抗攻擊性強���。相同的密鑰長度��,其抗攻擊性要強很多倍�。計算量小�����,處理速度快�。ECC總的速度比RSA、DSA要快得多���。存儲空間占用小。ECC的密鑰尺寸和系統(tǒng)參數(shù)與RSA�、DSA相比要小得多�����,意味著它所占的存貯空間要小得多�����。這對于加密算法在IC卡上的應(yīng)用具有特別重要的意義���。帶寬要求低。當(dāng)對長消息進行加解密時����,三類密碼系統(tǒng)有相同的帶寬要求,但應(yīng)用于短消息時ECC帶寬要求卻低得多���。帶寬要求低使ECC在無線網(wǎng)絡(luò)領(lǐng)域具有廣泛的應(yīng)用前景���。
散列算法(簽名算法)有:MD5、SHA1����、HMAC
用途:主要用于驗證,防止信息被修��。具體用途如:文件校驗、數(shù)字簽名�、鑒權(quán)協(xié)議
MD5:MD5是一種不可逆的加密算法,目前是最牢靠的加密算法之一�����,尚沒有能夠逆運算的程序被開發(fā)出來�����,它對應(yīng)任何字符串都可以加密成一段唯一的固定長度的代碼����。
SHA1:是由NISTNSA設(shè)計為同DSA一起使用的,它對長度小于264的輸入�����,產(chǎn)生長度為160bit的散列值�,因此抗窮舉(brute-force)性更好。SHA-1設(shè)計時基于和MD4相同原理,并且模仿了該算法����。SHA-1是由美國標(biāo)準(zhǔn)技術(shù)局(NIST)頒布的國家標(biāo)準(zhǔn),是一種應(yīng)用最為廣泛的Hash函數(shù)算法���,也是目前最先進的加密技術(shù)����,被政府部門和私營業(yè)主用來處理敏感的信息��。而SHA-1基于MD5��,MD5又基于MD4����。
HMAC:是密鑰相關(guān)的哈希運算消息認(rèn)證碼(Hash-based Message Authentication Code),HMAC運算利用哈希算法,以一個密鑰和一個消息為輸入��,生成一個消息摘要作為輸出��。也就是說HMAC是需要一個密鑰的���。所以�,HMAC_SHA1也是需要一個密鑰的����,而SHA1不需要。
其他常用算法:
Base64:其實不是安全領(lǐng)域下的加密解密算法�����,只能算是一個編碼算法,通常用于把二進制數(shù)據(jù)編碼為可寫的字符形式的數(shù)據(jù)�,對數(shù)據(jù)內(nèi)容進行編碼來適合傳輸(可以對img圖像編碼用于傳輸)。這是一種可逆的編碼方式�。編碼后的數(shù)據(jù)是一個字符串,其中包含的字符為:A-Z�����、a-z����、0-9、+��、/���,共64個字符(26 + 26 + 10 + 1 + 1 = 64���,其實是65個字符,“=”是填充字符�。Base64要求把每三個8Bit的字節(jié)轉(zhuǎn)換為四個6Bit的字節(jié)(38 = 46 = 24),然后把6Bit再添兩位高位0,組成四個8Bit的字節(jié)��,也就是說���,轉(zhuǎn)換后的字符串理論上將要比原來的長1/3��。原文的字節(jié)最后不夠3個的地方用0來補足,轉(zhuǎn)換時Base64編碼用=號來代替���。這就是為什么有些Base64編碼會以一個或兩個等號結(jié)束的原因�,中間是不可能出現(xiàn)等號的���,但等號最多只有兩個�。其實不用"="也不耽誤解碼��,之所以用"="���,可能是考慮到多段編碼后的Base64字符串拼起來也不會引起混淆��。)
Base64編碼是從二進制到字符的過程�����,像一些中文字符用不同的編碼轉(zhuǎn)為二進制時����,產(chǎn)生的二進制是不一樣的,所以最終產(chǎn)生的Base64字符也不一樣����。例如"上網(wǎng)"對應(yīng)utf-8格式的Base64編碼是"5LiK572R", 對應(yīng)GB2312格式的Base64編碼是"yc/N+A=="�。
標(biāo)準(zhǔn)的Base64并不適合直接放在URL里傳輸,因為URL編碼器會把標(biāo)準(zhǔn)Base64中的“/”和“+”字符變?yōu)樾稳纭?XX”的形式�,而這些“%”號在存入數(shù)據(jù)庫時還需要再進行轉(zhuǎn)換,因為ANSI SQL中已將“%”號用作通配符���。
為解決此問題��,可采用一種用于URL的改進Base64編碼���,它不在末尾填充"="號,并將標(biāo)準(zhǔn)Base64中的“+”和“/”分別改成了“-”和“_”�����,這樣就免去了在URL編解碼和數(shù)據(jù)庫存儲時所要作的轉(zhuǎn)換�����,避免了編碼信息長度在此過程中的增加,并統(tǒng)一了數(shù)據(jù)庫����、表單等處對象標(biāo)識符的格式。
另有一種用于正則表達(dá)式的改進Base64變種��,它將“+”和“/”改成了“!”和“-”���,因為“+”,“*”以及前面在IRCu中用到的“[”和“]”在正則表達(dá)式中都可能具有特殊含義����。
此外還有一些變種,它們將“+/”改為“_-”或“._”(用作編程語言中的標(biāo)識符名稱)或“.-”(用于XML中的Nmtoken)甚至“_:”(用于XML中的Name)����。
?HTTPS(全稱:Hypertext Transfer Protocol over Secure Socket Layer),是以安全為目標(biāo)的HTTP通道�,簡單講是HTTP的安全版。即HTTP下加入SSL層�����,HTTPS的安全基礎(chǔ)是SSL(SSL使用40 位關(guān)鍵字作為RC4流加密算法,這對于商業(yè)信息的加密是合適的�����。)����,因此加密的詳細(xì)內(nèi)容就需要SSL。https:URL表明它使用了HTTP����,但HTTPS存在不同于HTTP的默認(rèn)端口及一個加密/身份驗證層(在HTTP與TCP之間),提供了身份驗證與加密通訊方法�����,現(xiàn)在它被廣泛用于萬維網(wǎng)上安全敏感的通訊�����,例如交易支付方面�����。它的主要作用可以分為兩種:一種是建立一個信息安全通道�,來保證數(shù)據(jù)傳輸?shù)陌踩?���;另一種就是確認(rèn)網(wǎng)站的真實性�����。
項目應(yīng)用總結(jié):
加密算法是可逆的��,用來對敏感數(shù)據(jù)進行保護�。散列算法(簽名算法、哈希算法)是不可逆的���,主要用于身份驗證���。
對稱加密算法使用同一個密匙加密和解密����,速度快,適合給大量數(shù)據(jù)加密�����。對稱加密客戶端和服務(wù)端使用同一個密匙�,存在被抓包破解的風(fēng)險����。
非對稱加密算法使用公鑰加密���,私鑰解密����,私鑰簽名����,公鑰驗簽。安全性比對稱加密高�����,但速度較慢���。非對稱加密使用兩個密匙��,服務(wù)端和客戶端密匙不一樣�����,私鑰放在服務(wù)端�����,黑客一般是拿不到的���,安全性高�。
Base64不是安全領(lǐng)域下的加解密算法�,只是一個編碼算法,通常用于把二進制數(shù)據(jù)編碼為可寫的字符形式的數(shù)據(jù)�����,特別適合在http�����,mime協(xié)議下的網(wǎng)絡(luò)快速傳輸數(shù)據(jù)�。UTF-8和GBK中文的Base64編碼結(jié)果是不同的。采用Base64編碼不僅比較簡短�,同時也具有不可讀性�����,即所編碼的數(shù)據(jù)不會被人用肉眼所直接看到�,但這種方式很初級����,很簡單��。Base64可以對圖片文件進行編碼傳輸�。
https協(xié)議廣泛用于萬維網(wǎng)上安全敏感的通訊,例如交易支付方面��。它的主要作用可以分為兩種:一種是建立一個信息安全通道���,來保證數(shù)據(jù)傳輸?shù)陌踩?;另一種就是確認(rèn)網(wǎng)站的真實性���。
大量數(shù)據(jù)加密建議采用對稱加密算法����,提高加解密速度����;小量的機密數(shù)據(jù),可以采用非對稱加密算法����。在實際的操作過程中���,我們通常采用的方式是:采用非對稱加密算法管理對稱算法的密鑰,然后用對稱加密算法加密數(shù)據(jù)���,這樣我們就集成了兩類加密算法的優(yōu)點���,既實現(xiàn)了加密速度快的優(yōu)點,又實現(xiàn)了安全方便管理密鑰的優(yōu)點�����。
MD5標(biāo)準(zhǔn)密鑰長度128位(128位是指二進制位����。二進制太長,所以一般都改寫成16進制�����,每一位16進制數(shù)可以代替4位二進制數(shù)���,所以128位二進制數(shù)寫成16進制就變成了128/4=32位�。16位加密就是從32位MD5散列中把中間16位提取出來)�;sha1標(biāo)準(zhǔn)密鑰長度160位(比MD5摘要長32位),Base64轉(zhuǎn)換后的字符串理論上將要比原來的長1/3�。
參考地址:
加密算法(DES,AES,RSA,MD5,SHA1,Base64)比較和項目應(yīng)用
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/99927.html
