Bootstrap

6种核心安全机制(1)

六种核心安全机制-加密、密钥、签名与证书

对于移动开发,程序猿很容易会忘记一些安全问题,如一个MD5的加密,大部分人都知道怎么去使用,但是其中的一些加密原理,加密方式却只有少部分会去了解,所以会忽略到很多问题(加密的选择,加密的效率),不同的环境对加密也要有不同的要求.最近看了极客学院的课程.课程内容大多是理论,但是讲得很全面,大致涉及以下方面的安全性.

软件权限,安装与卸载安全性,数据安全性,通讯安全性,接口安全性

对称加密(高效不安全)

概念:
1.秘钥: 氛围加密秘钥和解密秘钥
2.明文: 没有加密的信息
3.密文: 加密了的信息
4.加密: 明文->密文 的过程
5.解密: 密文->明文 过程

对称加密概念:加密端和解密的使用的是同一个key(秘钥)

三种对称加密方式:
1. 置换加密:将要加密的内容,通过一段自定义的数据,进行对应的替换掉,如:abcdefg 对应的秘钥是 dsgejfog ;那么baba 加密后就是 sdsd
2. 转置加密:对原始信息的顺序进行一个打乱.
如:hel loa ndr oid 对应的秘钥是 4312 ;那么加密后就是
oid ndr hel loa
3. 乘积加密:把置换加密和转置加密混合在一起.

对称加密优缺点:
优点:
1. 高效 相对于非对称加密来说,对称加密效率快.
缺点:
1.密钥交换的问题
2.不如RSA的加密安全程度高(RSA至少1024bit),但是选择256bit的AES,仍然胜任绝大多数的安全领域.

对于对称加密可以产生下面问题:
谁产生: A和B都可以产生秘钥.如果是A产生,那么要把秘钥给另一方B,怎么给呢,秘钥传输的过程中如何进行保密.
谁保管: 无法做到保密保管.

对称加密 - DES与AES

DES:一个64bit作为一个加密的单元,加密有19道工序(转置+置换)
AES:三重DES,加密很灵活(64,128,256bit可以根据不同的应用场景来选择)

应用场景:
1.公司发email,两个人协商好一个key,把要发送的内容通过des或者aes加密后发送.
2.电脑存储的数据,如一些加密软件.

注意: 如何保存这个share key,在交互的时候这个key如何进行交换.


;