[IPSEC PKI]
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了[IPSEC PKI]相关的知识,希望对你有一定的参考价值。
PKI:
对称加密
非对称加密(混合加密)
数字签名
?
理论概述:
(1)预备知识
对称加密:加密密钥和揭秘蜜钥是同一个密钥
缺点:不适合在互联网上传输密钥 密钥维护工作量大 n(n-1)/2 ;
优点:加密效率高。
非对称加密: 公钥和私钥密钥对;公钥加密,私钥解密; 私钥加密,公钥解密;
特点:公钥推导不出私钥,每新加一个用户加一个非对称密钥就可以。 缺点:适合在互联网上传公钥 加密效率低
?
密码长度决定安全强度:
56bit密钥破解 需要3.5或21分
128bit 密钥破解 需要 5.4*10的18次方年
特点:越长 复杂度越高
安全标准:
1.成本标准 破解成本 vs 信息价值成本
2.时间标准 信息有效期 vs 破解所用时间
(2)非对称加密应用 a b之间发邮件(两者结合)
加密细节:使用对称密钥加密数据,使用非对称加密加密密钥
数字签名
数字签名作用:能够防止抵赖,确认信息来源,不能更改(员工出差,财务部差旅费,领导签名)
细节:私钥签名 公钥确认(收发信)
对文件的摘要(散列函数hash)=指纹 进行加密
对摘要加密====数字签名
怎么知道没改?再次hash
hash值的应用:qq二次传文件
例:a(有公私钥)给b发邮件:
发签名的邮件? 可以
发加密的邮件? 不可以
(3)证书颁发机构
数字证书就是非对称密钥(win加密文件 ie属性-内容-证书)
身份证 vs 大使
宾馆(不信你,信公安局)
身份证----派出所 vs CA证书颁发机构(不以盈利为目的)
证书申请过程:
1,企业向CA申请证书,将公司信息、法人等发给CA,CA核实后才发证。
2,证书上有CA的签名
?
信任证书颁发机构:意味着有ca公钥
认证过程:
1,a的公钥的真实性:检查ca的公钥是否改过(b用ca的关于a的公钥检查【a的公钥用ca的私钥签名】:a的公钥确实是ca发的公钥)
2,用a的公钥检测a的签名的合法
a的合同的签名
a的公钥的签名
以上是关于[IPSEC PKI]的主要内容,如果未能解决你的问题,请参考以下文章