那么,密码从何而来?生活中常见的加密是怎么实现的?怎么保证个人信息安全?本文将从这几方面进行浅谈,如有纰漏,敬请各位大佬指正。
代码部分从第二章节——常见加密算法开始,对代码比较感兴趣的铁子们可以从第二章节开始看。
密码学是网络安全、信息安全、区块链等产品的基础,常见的非对称加密、对称加密、散列函数等,都属于密码学范畴。
密码学有数千年的历史,从最开始的替换法到如今的非对称加密算法,经历了古典密码学,近代密码学和现代密码学三个阶段。密码学不仅仅是数学家们的智慧,更是如今网络空间安全的重要基础。
古典密码的加密方式主要有替换法和移位法。古典密码虽然很简单,但是在密码史上是使用的最久的加密方式,直到“概率论”的数学方法被发现,古典密码就被破解了。
古典密码的安全性受到了威胁,外加使用便利性较低,到了工业化时代,近现代密码被广泛应用。
恩尼格玛机
恩尼格玛机是二战时期纳粹德国使用的加密机器,后被英国破译,参与破译的人员有被称为计算机科学之父、人工智能之父的图灵。
①散列函数
散列函数,也见杂凑函数、摘要函数或哈希函数,可将任意长度的消息经过运算,变成固定长度数值,常见的有MD5、SHA-1、SHA256,多应用在文件校验,数字签名中。
MD5可以将任意长度的原文生成一个128位(16字节)的哈希值
SHA-1可以将任意长度的原文生成一个160位(20字节)的哈希值
②对称密码
对称密码应用了相同的加密密钥和解密密钥。对称密码分为:序列密码(流密码),分组密码(块密码)两种。流密码是对信息流中的每一个元素(一个字母或一个比特)作为基本的处理单元进行加密,块密码是先对信息流分块,再对每一块分别加密。
例如原文为1234567890,流加密即先对1进行加密,再对2进行加密,再对3进行加密……最后拼接成密文;块加密先分成不同的块,如1234成块,5678成块,90XX(XX为补位数字)成块,再分别对不同块进行加密,最后拼接成密文。前文提到的古典密码学加密方法,都属于流加密。
③非对称密码
对称密码的密钥安全极其重要,加密者和解密者需要提前协商密钥,并各自确保密钥的安全性,一但密钥泄露,即使算法是安全的也无法保障原文信息的私密性。
在实际的使用中,远程的提前协商密钥不容易实现,即使协商好,在远程传输过程中也容易被他人获取,因此非对称密钥此时就凸显出了优势。
非对称密码有两支密钥,公钥(publickey)和私钥(privatekey),加密和解密运算使用的密钥不同。用公钥对原文进行加密后,需要由私钥进行解密;用私钥对原文进行加密后(此时一般称为签名),需要由公钥进行解密(此时一般称为验签)。公钥可以公开的,大家使用公钥对信息进行加密,再发送给私钥的持有者,私钥持有者使用私钥对信息进行解密,获得信息原文。因为私钥只有单一人持有,因此不用担心被他人解密获取信息原文。
让我们来看看生活中常见的几种加密方式:
采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密。
示例
常见加密算法
AES:AdvancedEncryptionStandard,高级加密标准.在密码学中又称Rijndael加密法,是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES,已经被多方分析且广为全世界所使用。
特点
示例代码des加密算法
运行:
出现这个bug的原因是DES算法规定,key必须是8个字节;
修改密钥key=“12345678”,再次运行,出现乱码是因为对应的字节出现负数,但负数没有出现在ascii码表里面,所以出现乱码,需要配合base64进行转码
在Java8中,Base64编码已经成为Java类库的标准。
Java8内置了Base64编码的编码器和解码器。
Base64工具类提供了一套静态方法获取下面三种BASE64编解码器:
-基本:输出被映射到一组字符A-Za-z0-9+/,编码不添加任何行标,输出的解码仅支持A-Za-z0-9+/。
-URL:输出映射到一组字符A-Za-z0-9+_,输出是URL和文件。
-MIME:输出隐射到MIME友好格式。输出每行不超过76字符,并且使用’\r’并跟随’\n’作为分割。编码输出最后没有行分割。
上面的例子用Java8自带的base64进行编码:
在2.1.1中的例子基础上加入解密方法
AES加密解密和DES加密解密代码一样,只需要修改加密算法就行,在此不做过多阐述,值得注意的是:AES加密的密钥key,需要传入16个字节.
AES的加密模式如下:
这里主要介绍两种加密模式:ECB和CBC
ECB
Electroniccodebook,电子密码本.需要加密的消息按照块密码的块大小被分为数个块,并对每个块进行独立加密
CBC
Cipher-blockchaining,密码块链接.每个明文块先与前一个密文块进行异或后,再进行加密。在这种方法中,每个密文块都依赖于它前面的所有明文块
当需要按块处理的数据,数据长度不符合块处理需求时,按照一定的方法填充满块长的规则,这里主要介绍以下两种:
NoPadding
PKCS5Padding
Tips
加密模式和填充模式:其中括号里数字表示加密位数,位数越高,则越安全
加密模式和填充模式例子
非填充模式下,原文必须是8个字节,修改加密模式为:
Stringtransformation="DES/CBC/PKCS5Padding";再次运行:
发现加密没有问题,但是解密时需要添加一个参数,添加参数并修改初始化规则:
//初始向量,参数表示跟谁进行异或,初始向量的长度必须是8位IvParameterSpeciv=newIvParameterSpec(key.getBytes());//初始化加密模式和算法cipher.init(Cipher.ENCRYPT_MODE,sks,iv);再次运行:
在测试AES的时候需要注意,key需要16个字节,加密向量也需要16个字节,其他方式跟DES一样。
消息摘要(MessageDigest)又称为数字摘要(DigitalDigest)
它是一个唯一对应一个消息或文本的固定长度的值,它由一个单向Hash加密函数对消息进行作用而产生
使用数字摘要生成的值是不可以篡改的,为了保证文件或者值的安全
2.2.1特点
无论输入的消息有多长,计算出来的消息摘要的长度总是固定的。例如应用MD5算法摘要的消息有128个比特位,用SHA-1算法摘要的消息最终有160比特位的输出
只要输入的消息不同,对其进行摘要以后产生的摘要消息也必不相同;但相同的输入必会产生相同的输出
消息摘要是单向、不可逆的
常见算法:
浏览器搜索tomcat,进入官网下载,会经常发现有sha1,sha512,这些都是数字摘要
2.2.2获取字符串消息摘要
使用在线md5加密,发现我们生成的值和代码生成的值不一样,那是因为消息摘要不是使用base64进行编码的,所以我们需要把值转成16进制。
数字摘要转换成16进制
packagecom.huawei.it.jalor.boot.test;/***功能描述**@authorcWX970190*@since2020-10-11*/importcom.sun.org.apache.xml.internal.security.utils.Base64;importjava.security.MessageDigest;publicclassDigestDemo1{publicstaticvoidmain(String[]args)throwsException{//原文Stringinput="aa";//算法Stringalgorithm="MD5";//获取数字摘要对象MessageDigestmessageDigest=MessageDigest.getInstance(algorithm);//获取消息数字摘要的字节数组byte[]digest=messageDigest.digest(input.getBytes("UTF-8"));//System.out.println(newString(digest));//base64编码//System.out.println(Base64.encode(digest));//创建对象用来拼接StringBuildersb=newStringBuilder();for(byteb:digest){//转成16进制Strings=Integer.toHexString(b&0xff);//System.out.println(s);if(s.length()==1){//如果生成的字符只有一个,前面补0s="0"+s;}sb.append(s);}System.out.println(sb.toString());}}运行,结果和在线一致:
2.2.3其他消息摘要算法
2.2.4获取文件消息摘要
查看官网上的sha512加密结果,发现一致:
使用sha-1算法,可以实现秒传功能,只要是同一文件的加密,不管如何修改文件的名字,最后得到的值是一样的,具体可以自己测试。
不过,如果原文不一样,例如,下图上面的原文多两个空格:
运行后:
总结
简介:
①非对称加密算法又称现代加密算法。
②非对称加密是计算机通信安全的基石,保证了加密数据不会被破解。
③与对称加密算法不同,非对称加密算法需要两个密钥:公开密钥(publickey)和私有密(privatekey)
④公开密钥和私有密钥是一对
⑤如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密。
⑥如果用私有密钥对数据进行加密,只有用对应的公开密钥才能解密。
⑦因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。
首先生成密钥对,公钥为(5,14),私钥为(11,14)
现在A希望将原文2发送给B
A使用公钥加密数据.2的5次方mod14=4,将密文4发送给B
B使用私钥解密数据.4的11次方mod14=2,得到原文2
常见算法
RSA
ECC
2.3.1生成公钥和私钥
2.3.2私钥加密
2.3.3私钥加密私钥解密
2.3.4私钥加密公钥解密
修改2.3.3中的代码
//公钥进行解密cipher.init(Cipher.DECRYPT_MODE,publicKey);再次运行
2.3.5公钥加密和公钥解密
一样会报错
2.3.6保存公私钥
有些情况下需要把加密和解密的方法全部到本地的根目录下面:
2.3.7读取私钥
签名的作用简单来说就是证明某个文件上的内容确实是我写的,别人不能冒充我的签名(不可伪造),我也不能否认上面的签名是我的(不可抵赖)。
我们知道,手写签名之所以不能伪造,是因为每一个人的笔迹都是独一无二的,即使模仿,也可以通过专家鉴定分别出来。而不可抵赖,是因为每个人的笔迹都有固定特征,这些特征是很难摆脱的。
正是这两点特性使得手写签名在日常生活中被广泛承认,比如签合同、借条等等。
数字签名的要求是,只有我自己能签我的名字,其他人能验证我的签名,但是不能伪造我的签名。
2.4.1网页加密
首先,客户端向服务器发出加密请求。
服务器用自己的私钥加密网页以后,连同本身的数字证书,一起发送给客户端。
客户端(浏览器)的“证书管理器”,有“受信任的根证书颁发机构”列表。客户端会根据这张列表,查看解开数字证书的公钥是否在列表之内。
如果数字证书记载的网址,与你正在浏览的网址不一致,就说明这张证书可能被冒用,浏览器会发出警告。
如果这张数字证书不是由受信任的机构颁发的,浏览器会发出另一种警告。
如果数字证书是可靠的,客户端就可以使用证书中的服务器公钥,对信息进行加密,然后与服务器交换加密信息。
2.4.2证书从哪里来
拿到数字证书以后,就可以放心了。以后只要在签名的同时,再附上数字证书就行了。
用CA的公钥解开数字证书,就可以拿到真实的公钥了,然后就能证明“数字签名”是否真的是公司签的。
修改之前的RSAdemo代码:
Byte:字节.数据存储的基本单位,比如移动硬盘1T,单位是byte
bit:比特,又叫位.一个位要么是0要么是1.数据传输的单位,比如家里的宽带100MB,下载速度并没有达到100MB,一般都是12-13MB,那么是因为需要使用100/8
关系:1Byte=8bit
2.5.1获取字符串byte
/***ByteBit**@Author:陈志强*@CreateTime:2020-10-12*@Description:*/publicclassByteBit{publicstaticvoidmain(String[]args){Stringa="a";byte[]bytes=a.getBytes();for(byteb:bytes){intc=b;//打印发现byte实际上就是ascii码System.out.println(c);}}}运行结果:
和ascii码表一致
2.5.2byte对应bit
publicclassByteBit{publicstaticvoidmain(String[]args){Stringa="a";byte[]bytes=a.getBytes();for(byteb:bytes){intc=b;//打印发现byte实际上就是ascii码System.out.println(c);//我们在来看看每个byte对应的bit,byte获取对应的bitStrings=Integer.toBinaryString(c);System.out.println(s);}}}运行结果
2.5.3中文对应的字节
packagecom.huawei.it.jalor.boot.test;/***功能描述**@authorcWX970190*@since2020-10-11*/publicclassByteBitDemo{publicstaticvoidmain(String[]args)throwsException{Stringa="华";byte[]bytes=a.getBytes();for(byteb:bytes){System.out.print(b+"");Strings=Integer.toBinaryString(b);System.out.println(s);}}}运行程序,我们发现一个中文是有3个字节组成:
我们修改编码格式,编码格式改成GBK
修改代码
//UTF-8:编码格式占3个字节byte[]bytes=a.getBytes("GBK");再运行发现变成了2个字节
2.5.4英文对应的字节
/***ByteBit**@Author:陈志强*@CreateTime:2020-10-12*@Description:*/publicclassByteBit{publicstaticvoidmain(String[]args)throwsException{Stringa="a";byte[]bytes=a.getBytes();//在中文情况下,不同的编码格式,对应不同的字节//byte[]bytes=a.getBytes("GBK");for(byteb:bytes){System.out.print(b+"");Strings=Integer.toBinaryString(b);System.out.println(s);}}}运行程序
通过上述密码学发展史的介绍,以及对常见加密算法的阐述,相信大家对密码应该有了较为理性的认识,那么,如何设置密码才安全呢?这里给出一点小建议:
-密码不要太常见,不要使用类似于123456式的常用密码。
-各应用软件密码建议不同,避免出现一个应用数据库被脱库,全部应用密码崩塌,