企业建站的作用是什么石家庄 网站 科技

当前位置： 首页 > news >正文

企业建站的作用是什么,石家庄 网站 科技,wordpress 增加字段,网站的功能性文章整理自罗剑锋老师的 《透视 HTTP 协议》, 可配合《实用密码学》一起食用 为什么要有HTTPS 由于HTTP明文的特点#xff0c;整个传输过程完全透明#xff0c;任何人都能够在链路中截获、修改或者伪造请求 / 响应报文#xff0c;数据不具有可信性。催生了HTTPS, 它通过SSL… 文章整理自罗剑锋老师的 《透视 HTTP 协议》, 可配合《实用密码学》一起食用 为什么要有HTTPS 由于HTTP明文的特点整个传输过程完全透明任何人都能够在链路中截获、修改或者伪造请求 / 响应报文数据不具有可信性。催生了HTTPS, 它通过SSL/TLS为HTTP增加了安全性。安全主要包括四个特性机密性、完整性身份认证和不可否认。 机密性Secrecy/Confidentiality是指对数据的“保密”只能由可信的人访问对其他人是不可见的“秘密”。 完整性Integrity也叫一致性是指数据在传输过程中没有被窜改不多也不少“完完整整”地保持着原状。 身份认证Authentication是指确认对方的真实身份也就是“证明你真的是你”保证消息只能发送给可信的人。如果通信时另一方是假冒的网站那么数据再保密也没有用黑客完全可以使用冒充的身份“套”出各种信息加密和没加密一样。 不可否认Non-repudiation/Undeniable也叫不可抵赖意思是不能否认已经发生过的行为不能“说话不算数” “耍赖皮”。 安全性 1.机密性 1.1 对称加密 指加密和解密时使用的密钥都是同一个是“对称”的。只要保证了密钥的安全那整个通信过程就可以说具有了机密性。 TLS 里有非常多的对称加密算法可供选择比如 RC4、DES、3DES、AES、ChaCha20 等但前三种算法都被认为是不安全的通常都禁止使用目前常用的只有 AES 和 ChaCha20。 1.2 非对称加密 对称加密看上去好像完美地实现了机密性但其中有一个很大的问题如何把密钥安全地传递给对方术语叫“密钥交换”。因为在对称加密算法中只要持有密钥就可以解密。如果你和网站约定的密钥在传递途中被黑客窃取那他就可以在之后随意解密收发的数据通信过程也就没有机密性可言了。 非对称加密有两个密钥一个叫“公钥”public key一个叫“私钥”private key。两个密钥是不同的“不对称”公钥可以公开给任何人使用而私钥必须严格保密。 公钥和私钥有个特别的“单向”性虽然都可以用来加密解密但公钥加密后只能用私钥解密反过来私钥加密后也只能用公钥解密。 非对称加密可以解决“密钥交换”的问题。网站秘密保管私钥在网上任意分发公钥你想要登录网站只要用公钥加密就行了密文只能由私钥持有者才能解密。而黑客因为没有私钥所以就无法破解密文。 1.3 混合加密 虽然非对称加密没有“密钥交换”的问题但因为它们都是基于复杂的数学难题运算速度很慢。TLS里面使用混合加密的方式。 在通信刚开始的时候使用非对称算法比如 RSA、ECDHE首先解决密钥交换的问题。 然后用随机数产生对称算法使用的“会话密钥”session key再用公钥加密。因为会话密钥很短通常只有 16 字节或 32 字节所以慢一点也无所谓。 对方拿到密文后用私钥解密取出会话密钥。这样双方就实现了对称密钥的安全交换后续就不再使用非对称加密全都使用对称加密。 2. 完整性 黑客虽然拿不到会话密钥无法破解密文但可以通过窃听收集到足够多的密文再尝试着修改、重组后发给网站。因为没有完整性保证服务器只能“照单全收”然后他就可以通过服务器的响应获取进一步的线索最终就会破解出明文。 另外黑客也可以伪造身份发布公钥。如果你拿到了假的公钥混合加密就完全失效了。你以为自己是在和“某宝”通信实际上网线的另一端却是黑客银行卡号、密码等敏感信息就在“安全”的通信过程中被窃取了。 所以在机密性的基础上还必须加上完整性、身份认证等特性才能实现真正的安全。 2.1 摘要算法 实现完整性的手段主要是摘要算法Digest Algorithm也就是常说的散列函数、哈希函数Hash Function。摘要算法保证了“数字摘要”和原文是完全等价的。所以我们只要在原文后附上它的摘要就能够保证数据的完整性。不过摘要算法不具有机密性如果明文传输那么黑客可以修改消息后把摘要也一起改了网站还是鉴别不出完整性。 摘要算法实际上是把数据从一个“大空间”映射到了“小空间”所以就存在“碰撞”的可能性摘要算法必须让这种可能性尽量地小。 常用的摘要算法 MD5Message-Digest 5、SHA-1安全强度较低TLS 推荐使用的是 SHA-1 的后继者SHA-2。

1. 身份认证和不可否认 3.1 数字签名 加密算法结合摘要算法我们的通信过程可以说是比较安全了。但这里还有漏洞就是通信的两个端点。 就像一开始所说的黑客可以伪装成网站来窃取信息。而反过来他也可以伪装成你向网站发送支付、转账等消息网站没有办法确认你的身份。 通过使用私钥再加上摘要算法就能够实现“数字签名”同时实现“身份认证”和“不可否认”。 数字签名的原理其实很简单就是把公钥私钥的用法反过来之前是公钥加密、私钥解密现在是私钥加密、公钥解密。但又因为非对称加密效率太低所以私钥只加密原文的摘要这样运算量就小的多而且得到的数字签名也很小方便保管和传输。 签名和公钥一样完全公开任何人都可以获取。但这个签名只有用私钥对应的公钥才能解开拿到摘要后再比对原文验证完整性就可以像签署文件一样证明消息确实是你发的。
2. 证书体系的弱点 证书体系PKIPublic Key Infrastructure虽然是目前整个网络世界的安全基础设施但绝对的安全是不存在的它也有弱点还是关键的“信任”二字。 如果 CA 失误或者被欺骗签发了错误的证书虽然证书是真的可它代表的网站却是假的。 还有一种更危险的情况CA 被黑客攻陷或者 CA 有恶意因为它即根证书是信任的源头整个信任链里的所有证书也就都不可信了。 文章整理自罗剑锋老师的 《透视 HTTP 协议》, 可配合《实用密码学》一起食用