加密是信息安全防護的核心技術之一。在信息系統中應用加密技術保護數據時,包括對算法、密鑰和證書這三個常見的要素的選擇和配置。
算法邏輯上類似於鎖或者保險箱。信息安全所使用的密碼算法分三大類:對稱、非對稱和雜湊(哈希)。
對稱算法使用同一把鑰匙鎖上和打開。這一點使得對稱算法不能在公衆領域直接使用,用戶的祕密密鑰必須與通信夥伴共享,從而容易泄漏。非對稱算法類似使用一對兩把不同的鑰匙鎖上和打開的鎖,公鑰對公衆公開,私鑰則僅由所有者持有。鎖上時使用公鑰,打開則只能使用與該公鑰對應的私鑰。使用私鑰可以產生一條消息的一個簽名值,這個簽名值能夠用對應的公鑰來驗證其有效性,任何一個比特的篡改都會導致驗證的失敗。對於密鑰需要關注的是其長度,一般說來,越長越安全,對於一般場合,128bit對稱密鑰是足夠安全的。雜湊算法常常用來保護囗令,其特徵是單向計算,難以從結果逆推輸入。保存和驗證口令均應針對雜湊算法的值來進行。
非對稱算法一般比較慢,所以一般結合對稱算法使用。使用公鑰加密保護對稱密鑰,然後使用此對稱密鑰可以高速加密大量的用戶信息,這種方法在信息保密領域得到了廣泛的使用。
算法在安全系統中是相對靜態的要素,值得關注的是算法的選擇和實現來源,需要確認採用的算法符合標準,其實現經過了可信的第三方認證機構的審查和測試。一個安全的算法意味着,除了正確的密鑰,不能解密數據或者產生簽名。系統設計和運行的焦點是密鑰的形態和管理。
證書將用戶的標識與其非對稱公鑰綁定起來。基於對根證書的共同信任和數字簽名,建立實體之間對通信對象的信任,對方確是某人(某公司)。通過使用公鑰保護建立對通信內容的加密保護,確保不會被中間截獲。https協議和安全的電子郵件均是通過這種方式實現的。
例如,“支付寶”在線支付網站使用了https協議保護其身份和內容的安全。點擊地址欄右側的鎖形圖標,然後點擊“查看證書”,即可看到支付寶網站所使用的證書信息。如圖1所示:
通過打開的下圖2可以看到證書頒發給www.alipay.com,這就是證書的主題,這個主題必須與服務器的DNS名稱完全一致,否則瀏覽器就會給出“服務器證書無效”的警告信息,並建議用戶不要繼續打開網站。
證書的頒發者有責任調查證書申請者的身份,網站所使用的證書包含有使用頒發者證書(根證書)私鑰進行的簽名。用戶計算機系統檢驗證書時會使用根證書的公鑰驗證這個簽名的有效性。對網站證書的信任是建立在信任證書頒發者(根證書)的前提下的。Windows系統發行時內置了對VeriSign等證書頒發機構(即他們的根證書)的信任。在企業內網Intranet上可以部署私有的根證書,在Internet上一般則需要向第三方證書頒發機構申請和購買證書。
圖3、圖4、圖5顯示了這個證書的詳細信息,包括證書主題的完整內容,證書採用的算法,證書的公鑰(包括其長度),證書的雜湊值(即摘要,這裏譯作了“縮微圖”)等等。
不使用第三方證書頒發機構提供的證書,用戶自行交換證書建立對等信任,以及導入新的根證書時,需要仔細覈對“縮微圖”的值。
圖2 證書信息
圖3 證書詳細信息1
圖4 證書詳細信息2
圖5 證書詳細信息3