第 31、32、33 集：计算机安全；黑客与攻击；加密

第 31 集：计算机安全

01:00 Secrecy, Integrity, Availability     保密性, 完整性, 可用性
01:49 Threat Model     威胁模型

03:14 身份验证 (Authentication) 的三种方式：
What you know, 你知道什么
What you have, 你有什么
What you are, 你是什么

07:34 访问控制 Access Control
08:48 Bell LaPadula model 不能向上读取，不能向下写入
11:00 隔离 Isolation, 沙盒 Sandbox

计算机安全：可看成是保护系统和数据的：保密性，完整性，可用性 

保密性：如黑客泄漏别人的信用卡信息

完整性：是只有有权限的人才能使用和修改系统和数据，如黑客知道你的密码，假冒你发邮件

可用性：是有权限的人应该随时可以访问系统和数据。如黑客发送大量的假请求让服务器很慢或者挂掉，也叫拒绝服务攻击(DDOS)

威胁模型分析：根据三个特性，从抽象层面的想象对敌人进行分析。一般会以能力水平区分

常见安全问题归纳：

     1.你是谁？

     2.你能访问什么？

三种身份认证：

     1.你知道什么？如用户名、密码、安全提示问题。

     2.你有什么？

     3.你是什么？

Bell—LaPadula模型：不能向上读，不能向下写

隔离：“沙箱”程序

 

 

---

第 32 集：黑客与攻击

01:28 社会工程学 Social Engineering
01:38 钓鱼 Phishing
02:06 假托 Pretexting
02:50 木马 Trojan Horses
03:32 NAND镜像 NAND Mirroring
04:12 漏洞利用 Exploit
04:16 缓冲区溢出 Buffer Overflow
05:45 边界检查 Bounds Checking
06:16 代码注入 Code Injection
09:32 零日漏洞 Zero Day Vulnerability
09:53 计算机蠕虫 Worms
09:58 僵尸网络 Botnet
10:11 拒绝服务攻击 DDoS

黑客入侵最常见的方式是“欺骗”，欺骗别人让人泄漏信息。如网络钓鱼

还有其他比如 暴力破解，物理重写内存再继续暴力破解等方式

远程攻击：一般是利用系统漏洞来获得某些能力或者权限，也叫“漏洞利用”。

                一种常见的漏洞利用叫做“缓冲区溢出”，就是字符很长的那种，一般用“边界检查”限制字数就行

代码注入：如SQL语句注入

 

 

---

第 33 集：加密

00:16 多层防御 Defence in depth
01:00 加密 - Encryption，解密 - Decryption
01:11 凯撒加密 Caesar cipher
01:27 替换加密 Substitution cipher
01:59 移位加密 Permutation cipher
02:03 列移位加密 Columnar transposition cipher
02:37 德国 Enigma 加密机
04:54 1977年"数据加密标准" - Data Encryption Standard (DES)
05:24 2001年"高级加密标准" - Advanced Encryption Standard (AES)
07:06 密钥交换 - Key exchange
07:33 用颜色来举例"单向函数"和"密钥加密"的原理
08:24 迪菲-赫尔曼密钥交换 - Diffie-Hellman Key Exchange
10:18 非对称加密 - Asymmetric encryption
11:22 非对称加密算法 RSA

加密是计算机安全中最常见的防御形式

硬件加密：二战的英格玛，艾伦图灵

软件加密：AES等

对称加密：如单向函数加密：发送方、接收方、公共密钥

非对称加密：公钥加密，私钥解密 。公钥就像是锁，私钥就像对应的钥匙。一旦上锁，只有私钥钥匙能打开。目前主流技术是RSA 

反过来也可以：私钥加密，公钥解密。这种做法常用于签名：服务器用私钥加密，任何人都可以用服务器的公钥解密。因为只有私钥的持有人才能加密，所以能证明数据来自正确的服务器或个人。