[IPSEC PKI]

PKI：

对称加密

非对称加密（混合加密）

数字签名

 

理论概述：

(1)预备知识

对称加密：加密密钥和揭秘蜜钥是同一个密钥

缺点：不适合在互联网上传输密钥 密钥维护工作量大 n(n-1)/2 ；

优点：加密效率高。

非对称加密： 公钥和私钥密钥对；公钥加密，私钥解密； 私钥加密，公钥解密；

特点：公钥推导不出私钥，每新加一个用户加一个非对称密钥就可以。 缺点：适合在互联网上传公钥 加密效率低

 

密码长度决定安全强度：

56bit密钥破解 需要3.5或21分

128bit 密钥破解 需要 5.4*10的18次方年

特点：越长 复杂度越高

安全标准：

1.成本标准 破解成本 vs 信息价值成本

2.时间标准 信息有效期 vs 破解所用时间

(2)非对称加密应用 a b之间发邮件（两者结合）

加密细节：使用对称密钥加密数据，使用非对称加密加密密钥

数字签名

数字签名作用：能够防止抵赖，确认信息来源，不能更改（员工出差，财务部差旅费，领导签名）

细节：私钥签名 公钥确认(收发信)

对文件的摘要（散列函数hash）=指纹 进行加密

对摘要加密====数字签名

怎么知道没改?再次hash

hash值的应用:qq二次传文件

例：a（有公私钥）给b发邮件：

发签名的邮件？ 可以

发加密的邮件？ 不可以

(3)证书颁发机构

数字证书就是非对称密钥（win加密文件 ie属性-内容-证书）

身份证 vs 大使

宾馆（不信你，信公安局）

身份证----派出所 vs CA证书颁发机构（不以盈利为目的）

证书申请过程：

1，企业向CA申请证书，将公司信息、法人等发给CA，CA核实后才发证。

2，证书上有CA的签名

 

信任证书颁发机构:意味着有ca公钥

认证过程：

1，a的公钥的真实性：检查ca的公钥是否改过（b用ca的关于a的公钥检查【a的公钥用ca的私钥签名】：a的公钥确实是ca发的公钥）

2，用a的公钥检测a的签名的合法

a的合同的签名

a的公钥的签名