iOS签名机制02- 对称密码与公钥密钥

本文思维导图

文章结构.png

根据密钥的使用方式，可以将密码分为两类：对称密码 和 公钥密码（非对称密码）。对称密码中，加密用的密钥和解密用的密钥是相同的；公钥密码中，加密用的密钥和解密用的密钥是不同的。

对称密码

• 加密用的密钥和解密用的密钥是相同的
  

  

  对称密码.png

• 常见的对称密码有：DES、3DES和AES

  • DES(Data Encryption Standard)
    • DES是一种将64bit明文加密成64bit密文的对称密码算法，密钥长度是56bit
    • 规格上来说，密钥长度是64bit，但每隔7bit会设置一个用于错误检查的bit，因此密钥长度实质上是56bit
    • 由于DES每次只能加密64bit的数据，遇到比较大的数据，需要对DES加密进行迭代（反复）

    • 目前已经可以在短时间内被破解，所以不建议使用

      
      
      

      DES.png
  • 3DES
    • 3DES，将DES重复3次所得到的一种密码算法，也叫做3重DES
    • 目前还被一些银行等机构使用，但处理速度不高，安全性逐渐暴露出问题

    • 3DES的加密与解密

      
      
      

      3DES-1.png

    • 如果所有密钥都使用同一个，则结果与普通的DES是等价的
      

      3DES-2.png

    • 如果密钥1、密钥3相同，密钥2不同，称为DES-EDE2
      

      DES-EDE2.png
  • AES(Advanced Encryption Standard)
    • 取代DES成为新标准的一种对称密码算法
    • AES的密钥长度有128、192、256bit三种
    • 在2000年时选择Rijindael算法作为AES的实现
    • 目前AES，已经逐步取代DES、3DES，成为首选的对称密码算法
    • 一般来说，我们也不应该去使用任何自制的密码算法，而是应该使用AES，它经过了全世界密码学家所进行的高品质验证工作

• 密钥配送问题

  • 问题

    • 在使用对称密码时，一定会遇到密钥配送问题
    • 假设，Alice将使用对称密码加密过的消息发给了Bob
    • 只有将密钥发送给Bob，Bob才能完成解密
    • 在发送密钥过程中，可能会被Eve窃取密钥，最后Eve也能完成解密

    • 如下图
      

      密钥配送问题.png

  • 解决方式

    • 事先共享密钥
    • 密钥分配中心
    • Diffie-Hellman密钥交换
    • 公钥密码（推荐使用）

公钥密钥

• 加密用的秘钥和解密用的秘钥是不同的
  
  

  公钥密码.png
• 基本概念
  • 公钥密码中，密钥分为加密密钥、解密密钥2种，它们并不是同一个密钥
  • 公钥密码也被称为非对称密码（Asymmetric Cryptography）
  • 在公钥密码中
    • 加密密钥，一般是公开的，因此该密钥称为公钥（public key）
    • 解密密钥，由消息接收者自己保管的，不能公开，因此也称为私钥（private key）
    • 公钥和私钥是一 一对应的，是不能单独生成的，一对公钥和密钥统称为密钥对（key pair）
    • 由公钥加密的密文，必须使用与该公钥对应的私钥才能解密
    • 由私钥加密的密文，必须使用与该私钥对应的公钥才能解密
• 解决密钥配送
  1. 消息的接收者，生成一对公钥、私钥
  2. 将公钥发给消息的发送者
  3. 消息的发送者使用公钥加密消息
  4. 消息的接收者利用私钥对加密消息进行解密

  5. 整体流程
     

     解决密钥配送问题.png

• RSA
  • 使用最广泛的公钥密码算法是RSA
  • RSA的名字，由它的3位开发者，即Ron Rivest、Adi Shamir、Leonard Adleman的姓氏首字母组成

混合密码系统

• 为什么会有混合密码系统
  • 对称密码的缺点：不能很好的解决密钥配送问题
  • 公钥密码的缺点：加密解密速度比较慢
  • 混合密码系统，是将对称密码和公钥密码的优势相结合的方法
    • 解决了公钥密码速度慢的问题
    • 通过公钥密码解决了对称密码的密钥配送问题
  • 网络上的密码通信所用的SSL/TLS都运用了混合密码系统
• 混合密码系统-加密
  • 会话密钥（session key）
    • 为本次通信随机生成的临时密钥
    • 作为对称密码的密钥，用于加密消息，提高速度
  • 加密步骤（发送消息）
    1. 消息发送者要拥有消息接收者的公钥
    2. 生成会话密钥，作为对称密码的密钥，加密消息
    3. 用消息接收者的公钥，加密会话密钥
    4. 将前2步生成的加密结果，一并发给消息接收者
  • 发送出去的内容包括
    • 用会话密钥加密的消息（加密方法：对称密码）

    • 用公钥加密的会话密钥（加密方法：公钥密码）
      

      Snip20190123_14.png

• 混合密码系统-解密

  • 消息接收者用自己的私钥解密出会话密钥

  • 再用第1步解密出来的会话密钥，解密消息
    

    Snip20190123_15.png

• 混合密码系统=总结

  • 发送（加密）过程（Bob消息接收者，Alice消息发送者）
    1. Bob先生成一对公钥、私钥
    2. Bob把公钥共享给Alice
    3. Alice随机生成一个会话密钥（临时密钥）
    4. Alice用会话密钥加密需要发送的消息（使用的是对称密码加密）
    5. Alice用Bob的公钥加密会话密钥（使用的是公钥密码加密，也就是非对称密码加密）
    6. Alice把第4、5步的加密结果，一并发送给Bob
  • 接收（解密）过程
    1. Bob利用自己的私钥解密会话密钥（使用的是公钥密码解密，也就是非对称密码解密）
    2. Bob利用会话密钥解密发送过来的消息（使用的是对称密码解密)