有兩種加密方法常常在SSL生態系統中被提及——非對稱加密與對稱加密。
SSL握手期間的非對稱加密
當你瀏覽一個使用SSL證書的網站時,你瀏覽器做的第一件事就是和帶着證書的服務器實行SSL握手。
這個SSL握手是瀏覽器查看SSL證書有效性和磋商加密鏈接細節的關鍵一環。這一過程在幾毫秒的時間裏完成。
瀏覽器確定證書籤發自可信CA、依舊有效且沒有被撤回後,還要確保有問題的證書是其相應公鑰的合法所有者。
你可能聽說過公鑰私鑰。公鑰更易識別,常見的有2048位簽名密鑰。數字越大,密鑰越複雜。
公鑰私鑰是非對稱加密的典型例子。公鑰負責加密,私鑰負責解密。使用非對稱加密,連接方式只有一條路。
瀏覽器使用非對稱加密來驗證公私鑰對,以及擴展證書本身。爲此,瀏覽器將使用隨時可用的公鑰來加密一小撮一次性數據。 如果服務器能夠解密這個數據並以明文形式發回,那麼它證明了它的私鑰對應於公鑰。
至此,瀏覽器和服務器可以開始他們的加密鏈接了。
對話密鑰形式的對稱加密
在SSL握手期間使用非對稱加密作爲一種驗證方法之後,瀏覽器和服務器協商加密連接的條款並交換所謂的會話密鑰。
會話密鑰提供了一種在安全會話期間用於通信的對稱加密形式。 而私鑰通常是2048位(偶爾有4096或1024),會話密鑰往往較小,這也意味着不太安全。
但不用擔心,即使在128/256位,會話密鑰仍然需要專用超級計算機工作多年,才能加密可能被破解。 換句話說,會話密鑰仍然非常安全。
究其原因,大小差異僅僅是速度和性能。 在某些情況下,2048位密鑰可能更繁瑣。 128/256-bit的強度仍然足夠,但是在加密連接期間允許更好的性能,這是一個重要的因素。
使用對稱加密,密鑰可以執行兩種功能:既可以加密,也可以解密。 這使得擁有相應會話密鑰的客戶端和服務器能夠安全地進行通信。 畢竟,沒有正確的鑰匙,沒有人可以監視這個連接,不管第三方,無論多麼複雜 。
會話密鑰在加密連接的整個持續時間內保持活動狀態。 在連接結束時密鑰被丟棄,並且在下一次訪問時生成新的密鑰。 這很簡單,但相當有效。
如你所見,對稱或非對稱密鑰的運作方式不同,一種允許雙方進行加密和解密,另一種則是單方面通信。但兩者都是SSL的組成部分。非對稱加密有助於在SSL握手期間驗證公鑰/私鑰對的所有權,而對稱加密是在安全連接期間用於實際通信的方法。
