安全知识总结

• 技术路线
  • Hash等摘要算法-->数字摘要
  • 对称和非对称加密技术-->数字信封
  • Hash等摘要算法、对称和非对称加密技术-->数字签名
  • 数字签名和CA-->数字证书
  • 数字信封、数字证书和TCP-->SSL/TLS
• 对称加密和非对称加密
  • 对称加密也叫作私钥加密，因为加解密用的密钥是一样的，所以要保密
    • 效率高，通常加密大规模的数据如正文内容。
    • 最常见的非对称加密算法是RSA，512或1024位
  • 非对称加密也叫作公钥加密，因为加解密用的密钥是不一样的，但是是一对，一起生成的，一个自己留着用来解密的叫做私钥，一个发布给大家用来加密的叫做公钥。
    • 效率低，比对称加密慢上千几千倍，通常用来加密摘要等小量数据，或者解决密钥分发的问题
    • 常见的对称加密算法有DES、3DES、RC-5（RSA数据安全公司的很多产品都用了它）
  • 这两种算法经常结合在一起使用
• 数字摘要
  • MD5：密钥长度为128
  • SHA：密钥为160位，较长，安全性较高
• 数字信封和数字签名
  • 数字信封（保密性，保证只有对方可以解密消息内容）： 发送方用对称密钥加密内容，然后用接收方的非对称加密的公钥来加密这个对称密钥，这两者一起作为数字信封给接收方，然后接收方用自己的非对称加密的私钥解密得到对称加密的密钥，再解密内容即可。
  • 数字签名（完整性和可抵赖性，验证这个消息真的是特定的人发送的）：先生成数字摘要，然后用发送者的非对称加密私钥对摘要进行加密，然后把它发送给接收者，接收者用发送者的非对称加密公钥进行解密，成功就说明这个消息一定是该发送者发送的。
  • 对比（两者在发送时加密所使用的密钥不同）：从发送者的角度看（虽然HTTPS等是一个交互的过程，但可以拆开看，因为每一次都是一个独立的要保证安全性的过程），数字信封用别人的公钥加密信息以保证只有对方可以拿到（也就是说是多个发送者对应一个接收者）；数字签名用自己的私钥加密信息以保证是自己亲自发送的、别人可以用公钥验证（也就是说是一个发送者对应多个接收者）。
• 数字证书和SSL/TLS
  • 数字证书包含主体名、CA提供的服务端的数字签名（为服务端背书，帮他签字）、服务端的公钥等信息。
  • 同时达到了数字签名和数字信封的效果，并且节省了两组公私钥对（如果不让客户端和服务端的公私钥对同时承担这两项工作的话，就需要服务端和客户端各两组公私钥对了，一组用来数字信封，一组用来数字签名）。
  • 结合了CA、对称和非对称加密、数字摘要等技术于一体。
  • 这个过程中存在三组公私钥对和一个对称加解密密钥
    • CA的公钥（用于验证服务端提供的数字证书（其实是验证其中的签名），需要安装在客户端，如操作系统、浏览器或特定软件的要求的位置以供使用）和CA的私钥（用于验证申请证书的服务端的信息和服务端提供的自己的公钥，对这些信息生成数字证书中的数字签名，也就是说证书中已经是服务端的公钥了，并且通过客户端验证后就说该公钥是有效的确实是这个服务端的）
    • 服务端的公私钥对（起到解密客户端数字信封和签服务端数字签名的作用）。私钥自己用来解密客户端发来的数据（数字信封），也用来发送给客户端时进行数字签名。公钥已经放在服务端的数字证书中一起提供给客户端，让客户端用来加密发送给服务端的数据，也让客户端用来在收到数据时验证服务端的数字签名。
    • 客户端的公私钥对（起到解密服务端数字信封和签客户端数字签名的作用）。私钥自己用来解密服务端发来的数据（数字信封），也用来发送给服务端时进行数字签名。公钥在握手过程中提供给服务端，让服务端用来加密发送给客户端的数据，也让服务端用来在收到数据时验证客户端的数字签名。
    • 对称加密密钥用于加解密最终的大量交互数据，也就是真正的消息内容
• 常见安全协议
  • SSL
    • 提供三方面的服务
      • 用户和服务器的合法性认证（数字签名）
      • 加密数据以隐藏被传送的数据（加解密技术）
      • 保护数据的完整性（数字摘要）
  • SET
    • 信用卡
  • PGP
    • 用于邮件，基于RSA公钥加密体系，可以防止非授权者阅读，也可以加上数字签名让收件人确信发件人。这个过程类似HTTPS。
• Windows安全相关
  • IE浏览器的区域设置按安全级别从低到高是：Internet区域、Intranet区域、可信任站点区域、受限站点区域。
  • 用户组按默认权限从低到高是：Everyone、Users、power users、Administrators。
  • 本地策略中有很多安全设置