加解密算法是密码学的核心技术，从设计理念上可以分为两大基本类型，如表5-1所示。

表5-1　加解密算法的类型

5.2.1　加解密系统基本组成

现代加解密系统的典型组件一般包括：加解密算法、加密密钥、解密密钥。其中，加解密算法自身是固定不变的，并且一般是公 开可见的；密钥则是最关键的信息，需要安全地保存起来，甚至通过特殊硬件进行保护。一般来说，对同一种算法，密钥需要按照特定算法每次加密前随机生成，长 度越长，则加密强度越大。加解密的基本过程如图5-1所示。

加密过程中，通过加密算法和加密密钥，对明文进行加密，获得密文。

解密过程中，通过解密算法和解密密钥，对密文进行解密，获得明文。

根据加解密过程中所使用的密钥是否相同，算法可以分为对称加密 （symmetric cryptography，又称公共密钥加密，common-key cryptography）和非对称加密 （asymmetric cryptography，又称公钥加密，public-key cryptography）。两种模式适用于不同的需求，恰好形成互补。某些时候可以组合使用，形成混合加密机制。

并非所有加密算法的安全性都可以从数学上得到证明。公认的高强度的加密算法和实现往往经过长时间各方面充分实践论证后， 才被大家所认可，但也不代表其绝对不存在漏洞。因此，自行设计和发明未经过大规模验证的加密算法是一种不太明智的行为。即便不公开算法加密过程，也很容易 被攻破，无法在安全性上得到保障。

实际上，密码学实现的安全往往是通过算法所依赖的数学问题来提供，而并非通过对算法的实现过程进行保密。

5.2.2　对称加密算法

对称加密算法 ，顾名思义，加密和解密过程的密钥是相同的。该类算法优点是加解密效率（速度快，空间占用小）和加密强度都很高。缺点是参与方都需要提前持有密钥，一旦有 人泄露则安全性被破坏；另外如何在不安全通道中提前分发密钥也是个问题，需要借助Diffie–Hellman协议或非对称加密方式来实现。

对称密码从实现原理上可以分为两种：分组密码 和序列密码 。前者将明文切分为定长数据块作为基本加密单位，应用最为广泛。后者则每次只对一个字节或字符进行加密处理，且密码不断变化，只用在一些特定领域，如数字媒介的加密等。

分组对称加密代表算法包括DES、3DES、AES、IDEA等：

·DES（Data Encryption Standard）：经典的分组加密算法，1977年由美国联邦信息处理标准（FIPS）采用FIPS-46-3，将64位明文加密为64位的密文，其密钥长度为64位（包含8位校验位）。现在已经很容易被暴力破解；

·3DES：三重DES操作：加密→解密→加密，处理过程和加密强度优于DES，但现在也被认为不够安全；

·AES（Advanced Encryption Standard）：由美国国家标准研究所（NIST）采用，取代DES成为对称加密实现的标准，1997～2000年NIST从15个候选算法中评选 Rijndael算法（由比利时密码学家Joan Daemon和Vincent Rijmen发明）作为AES，标准为FIPS-197。AES也是分组算法，分组长度为128、192、256位三种。AES的优势在于处理速度快，整 个过程可以用数学描述，目前尚未有有效的破解手段；

·IDEA（International Data Encryption Algorithm）：1991年由密码学家James Massey与来学嘉联合提出。设计类似于3DES，密钥长度增加到128位，具有更好的加密强度。

序列密码，又称流密码。1949年，Claude Elwood Shannon（信息论创始人）首次证明，要实现绝对安全的完善保密性（perfect secrecy），可以通过“一次性密码本”的对称加密处理。即通信双方每次使用跟明文等长的随机密钥串对明文进行加密处理。序列密码采用了类似的思想， 每次通过伪随机数生成器来生成伪随机密钥串。代表算法包括RC4等。

对称加密算法适用于大量数据的加解密过程；不能用于签名场景；并且往往需要提前分发好密钥。

注意 　分组加密每次只能处理固定长度的明文，因此对于过长的内容需要采用一定模式进行分割处理，《实用密码学》一书中推荐使用密文分组链（Cipher Block Chain，CBC）、计数器（Counter，CTR）等模式。

5.2.3　非对称加密算法

非对称加密 是现代密码学历史上一项伟大的发明，可以很好地解决对称加密中提前分发密钥的问题。

顾名思义，非对称加密算法中，加密密钥和解密密钥是不同的，分别称为公钥（public key）和私钥（private key）。私钥一般需要通过随机数算法生成，公钥可以根据私钥生成。公钥一般是公开的，他人可获取的；私钥一般是个人持有，他人不能获取。

非对称加密算法的优点是公私钥分开，不安全通道也可使用。缺点是处理速度（特别是生成密钥和解密过程）往往比较慢，一般比对称加解密算法慢2～3个数量级；同时加密强度也往往不如对称加密算法。

非对称加密算法的安全性往往需要基于数学问题来保障，目前主要有基于大数质因子分解、离散对数、椭圆曲线等经典数学难题进行保护。

代表算法包括：RSA、ElGamal、椭圆曲线（Elliptic Curve Crytosystems，ECC）、SM2等系列算法。

·RSA：经典的公钥算法，1978年由Ron Rivest、Adi Shamir、Leonard Adleman共同提出，三人于2002年因此获得图灵奖。算法利用了对大数进行质因子分解困难的特性，但目前还没有数学证明两者难度等价，或许存在未知 算法在不进行大数分解的前提下解密；

·Diffie-Hellman密钥交换：基于离散对数无法快速求解，可以在不安全的通道上，双方协商一个公共密钥；

·ElGamal：由Taher ElGamal设计，利用了模运算下求离散对数困难的特性。被应用在PGP等安全工具中；

·椭圆曲线算法（Elliptic Curve Cryptography，ECC）：现代备受关注的算法系列，基于对椭圆曲线上特定点进行特殊乘法逆运算难以计算的特性。最早在1985年由Neal Koblitz和Victor Miller分别独立提出。ECC系列算法一般被认为具备较高的安全性，但加解密计算过程往往比较费时；

·SM2（ShangMi 2）：国家商用密码算法，由国家密码管理局于2010年12月17日发布，同样基于椭圆曲线算法，加密强度优于RSA系列算法。

非对称加密算法一般适用于签名场景或密钥协商，但不适于大量数据的加解密。

目前普遍认为RSA类算法可能在不远的将来被破解，一般推荐可采用安全强度更高的椭圆曲线系列算法。

5.2.4　选择明文攻击

细心的读者可能会意识到，在非对称加密中，由于公钥是公开可以获取的，因此任何人都可以给定明文，获取对应的密文，这就带来选择明文攻击的风险。

为了规避这种风险，现有的非对称加密算法（如RSA、ECC）都引入了一定的保护机制。对同样的明文使用同样密钥进行多次加密，得到的结果完全不同，这就避免了选择明文攻击的破坏。

在实现上可以有多种思路。一种是对明文先进行变形，添加随机的字符串或标记，再对添加后结果进行处理。另外一种是先用随机生成的临时密钥对明文进行对称加密，然后再对对称密钥进行加密，即混合利用多种加密机制。

5.2.5　混合加密机制

混合加密机制同时结合了对称加密和非对称加密的优点。

先用计算复杂度高的非对称加密协商出一个临时的对称加密密钥（也称为会话密钥，一般相对所加密内容来说要短得多），然后双方再通过对称加密算法对传递的大量数据进行快速的加解密处理。

典型的应用案例是现在大家常用的HTTPS协议。HTTPS协议正在替换掉传统的不安全的HTTP协议，成为最普遍的Web通信协议。

HTTPS在传统的HTTP层和TCP层之间通过引入Transport Layer Security/Secure Socket Layer（TLS/SSL）加密层来实现可靠的传输。

SSL协议最早是Netscape于1994年设计出来实现早期HTTPS的方案，SSL 3.0及之前版本存在漏洞，被认为不够安全。TLS协议是IETF基于SSL协议提出的安全标准，目前最新的版本为1.2（2008年发布）。推荐使用的 版本号至少为TLS 1.0，对应到SSL 3.1版本。除了Web服务外，TLS协议也广泛应用于Email、实时消息、音视频通话等领域。

采用HTTPS建立安全连接（TLS握手协商过程）的基本步骤如下（可参见图5-2）：

图5-2　TLS握手协商过程

1）客户端浏览器发送信息到服务器，包括随机数R1、支持的加密算法类型、协议版本、压缩算法等。注意该过程为明文。

2）服务端返回信息，包括随机数R2、选定加密算法类型、协议版本以及服务器证书。注意该过程为明文。

3）浏览器检查带有该网站公钥的证书。该证书需要由第三方CA来签发，浏览器和操作系统会预置权威CA的根证书。如果证书被篡改作假（中间人攻击），很容易通过CA的证书验证出来。

4）如果证书没问题，则客户端用服务端证书中的公钥加密随机数R3（又叫Pre-MasterSecret），发送给服 务器。此时，只有客户端和服务器都拥有R1、R2和R3信息，基于随机数R1、R2和R3，双方通过伪随机数函数来生成共同的对称会话密钥 MasterSecret。

5）后续客户端和服务端的通信都通过对称加密算法（如AES）进行保护。

可以看出，该过程的主要功能是在防止中间人窃听和篡改的前提下完成会话密钥的协商。为了保障前向安全性（perfect forward secrecy），TLS对每个会话连接都可以生成不同的密钥，避免某次会话密钥泄露之后影响了其他会话连接的安全性。需要注意，TLS协商过程支持加密 算法方案较多，要合理地选择安全强度高的算法，如DHE-RSA、ECDHE-RSA和ECDHE-ECDSA。

示例中对称密钥的协商过程采用了RSA非对称加密算法，实践中也可以通过Diffie–Hellman协议来完成。

5.2.6　离散对数与Diffie–Hellman密钥交换协议

Diffie–Hellman（DH）密钥交换协议是一个经典的协议，最早发表于1976年，应用十分广泛。使用该协议可以在不安全信道完成对称密钥的协商，以便后续通信采用对称加密。

DH协议的设计基于离散对数问题（Discrete Logarithm Problem，DLP）。离散对数问题是指对于一个很大的素数p，已知g为p的模循环群的原根，给定任意x，求解X=g^x mod p是可以很快获取的。但在已知p、g和X的前提下，逆向求解x目前没有多项式时间实现的算法。该问题同时也是ECC类加密算法的基础。

DH协议的基本交换过程如下：

1）Alice和Bob两个人协商密钥，先公开商定p，g；

2）Alice自行选取私密的整数x，计算X=g^x mod p，发送X给Bob；

3）Bob自行选取私密的整数y，计算Y=g^y mod p，发送Y给A；

4）Alice根据x和Y，求解共同密钥Z_A=Y^x mod p；

5）Bob根据X和y，求解共同密钥Z_B=X^y mod p。

实际上，Alice和Bob计算出来的结果将完全相同，因为在mod p的前提下，Y^x=（g^y）^x=g^（xy）=（g^x）^y=X^y。而信道监听者在已知p、g、X、Y的前提下，无法求得Z。

来源：我是码农，转载请保留出处和链接！

本文链接：http://www.54manong.com/?id=963

• 原版引言2018-09-14 13:45
• 12.5　票据背书快速部署2018-10-10 12:52
• 加密经济2018-09-14 12:53
• 未来的新经济是可编程经济，区块链将变革经济、社会和生活2018-09-21 10:50