19、加密技术

加密技术

加密，是以某种特殊的算法改变原有的信息数据，使得未授权的用户即使获得了已加密的信息，但因不知解密的方法，仍然无法了解信息的内容。

加密技术是最常用的安全保密手段，利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。加密技术包括两个元素：算法和密钥。算法是将普通的信息或者可以理解的信息与一串数字（密钥）结合，产生不可理解的密文的步骤，密钥是用来对数据进行编码和解密的一种算法。在安全保密中，可通过适当的钥加密技术和管理机制来保证网络的信息通信安全。

加密技术算法

1、对称加密算法

比如DES、3DES、AES、SM4等算法，单密钥加解密，使用这种方式加密是可以通过解密来还原出原始密码的，当然前提条件是需要获取到密钥。

2、非对称加密算法

比如RSA、ECC、SM2等算法，公钥加密，私钥解密，反之亦然；使用这种方式是需要第三方认证机构传递公钥；公钥加密保证安全性，私钥加密保证认证性。

加密技术应用

加密技术的应用是多方面的，但最为广泛的还是在电子商务,VPN和数据安全方面的应用，下面就分别简叙。

1、电子商务

电子商务电子商务（E-business）要求顾客可以在网上进行各种商务活动，不必担心自己的信用卡会被人盗用。在过去，用户为了防止信用卡的号码被窃取到，一般是通过电话订货，然后使用用户的信用卡进行付款。人们开始用RSA（一种公开/私有密钥）的加密技术，提高信用卡交易的安全性，从而使电子商务走向实用成为可能。

许多人都知道NETSCAPE公司是Internet商业中领先技术的提供者，该公司提供了一种基于RSA和保密密钥的应用于因特网的技术，被称为安全插座层（Secure Sockets Layer，SSL）。

也许很多人知道Socket，它是一个编程接口，并不提供任何安全措施，而SSL不但提供编程接口，而且向上提供一种安全的服务，SSL3.0已经应用到了服务器和浏览器上，SSL2.0则只能应用于服务器端。

SSL3.0用一种电子证书（electric certificate）来实行身份进行验证后，双方就可以用保密密钥进行安全的会话了。它同时使用"对称"和"非对称"加密方法，在客户与电子商务的服务器进行沟通的过程中，客户会产生一个Session Key，然后客户用服务器端的公钥将Session Key进行加密，再传给服务器端，在双方都知道Session Key后，传输的数据都是以Session Key进行加密与解密的，但服务器端发给用户的公钥必需先向有关发证机关申请，以得到公证。

基于SSL3.0提供的安全保障，用户就可以自由订购商品并且给出信用卡号了，也可以在网上和合作伙伴交流商业信息并且让供应商把订单和收货单从网上发过来，这样可以节省大量的纸张，为公司节省大量的电话、传真费用。在过去，电子信息交换（Electric Data Interchange，EDI）、信息交易（information transaction）和金融交易（financial transaction）都是在专用网络上完成的，使用专用网的费用大大高于互联网。正是这样巨大的诱惑，才使人们开始发展因特网上的电子商务，但不要忘记数据加密。

2、VPN

越来越多的公司走向国际化，一个公司可能在多个国家都有办事机构或销售中心，每一个机构都有自己的局域网LAN（Local Area Network），但在当今的网络社会人们的要求不仅如此，用户希望将这些LAN连结在一起组成一个公司的广域网，这个已不是什么难事了。

事实上，很多公司都已经这样做了，但他们一般使用租用专用线路来连结这些局域网 ，他们考虑的就是网络的安全问题。具有加密/解密功能的路由器已到处都是，这就使人们通过互联网连接这些局域网成为可能，这就是我们通常所说的虚拟专用网（Virtual Private Network ，VPN）。当数据离开发送者所在的局域网时，该数据首先被用户端连接到互联网上的路由器进行硬件加密，数据在互联网上是以加密的形式传送的，当达到目的LAN的路由器时，该路由器就会对数据进行解密，这样目的LAN中的用户就可以看到真正的信息了。

3、数据安全

电脑已经进入千家万户，并且在商业办公中起着不可替代的作用。电脑中保存的重要数据和机密的数据的安全已经成为所有电脑使用者十分重视的问题。无论是个人的电脑数据或公司的电脑数据，如果一旦泄密，造成的损失和影响将是巨大的。

加密技术有以下实际应用中：

• 报文加密：全报文、报文段
• 通信加密：IPSec、SSL、专业网络
• 数据库加密：列加密、表加密
• 邮件加密：PGP、SM9
• 文件加密：
• 硬盘加密：

加密技术技巧

下面的技巧可强化加密的安全性：

1、不要使用老的加密算法企业应当停止使用DES等老的加密算法，也不要使用其亲戚3DES（三重数据加密标准）。

2、使用企业支持的最长的加密密钥建议企业尽可能使用最大长度的密钥，这可以使那些无法访问后门的企业难以破解企业的加密。当今，AES 128可谓强健，但如果可能，不妨使用AES 512 或更长的密钥。

3、多层加密建议企业尽可能地利用多层加密，这可以增加攻击者的困难。如果有可能，不妨对数据库的每个字段、每个表以及整个数据库都进行加密。

4、安全存储加密密钥企业面临的最大问题可能并不是加密算法被美国的国安局留下后门，而是密码本身仅仅是加密方案的一部分。对于基础架构的其它要素，如密钥管理系统，企业也必须保证其安全。攻击者都愿意对付安全系统的最薄弱环节。如果攻击者很容易就可以窃取密钥，为什么还会费力破解加密算法呢？

有的企业将保护其数据的密钥给第三方，尤其是在企业将数据存储在公共云中并由云供应商加密和保护时。这里的问题是，企业无法控制密钥，而是必须相信云供应商的雇员会安全地保存密钥。

如果企业可以实施一种可以将密钥控制在云中的加密系统，就会安全得多。自动处理加密的云加密网关可以帮助公司实现这种安全。

5、确保正确实施加密事实上，实施加密系统并非易事，因为它有许多动态部件，任何一个部件都有可能成为一个薄弱环节。你必须进行大量调查，确保正确实施加密。

在实施加密过程中，哪些方面容易出错？除了密钥容易遭受攻击，还有CBC（密码分组链接）的实施方式。使用CBC，可以用同样长度的随机文本块（也称为初始化向量）对纯文本进行异或运算，然后对其进行加密，产生一个加密文本块。然后，将前面产生的密文块作为一个初始化向量对下一个纯文本块进行异或运算。

CBC的正确实施要求在开始每个过程时都有一个新的初始化向量。一个常见的错误是用一个不加改变的静态初始化向量来实施CBC。如果正确实施了CBC，那么，如果我们在两个不同的场合加密了文本块，所生产的密文块就不会相同。

6、不要忽视外部因素公司几乎无法控制的外部因素有可能破坏加密系统的安全性。例如，SSL依赖于数字证书，而且这些因素依赖于嵌入在浏览器（如IE、火狐、Chrome等）中的根证书颁发机构的完整性。但是，我们如何知道其是否可信，或者这些证书颁发机构不是某外国情报机构的幌子？你是否觉得这听起来牵强附会，但却有可能是事实。

此外，DNS也是不得不重视的弱点。只要DNS被攻克，攻击者就可以使用钓鱼技术绕过加密。

当然，这里强调的是加密问题的各种可能性。一个正确实施的加密系统只能在一种情况下被攻克，即测中密钥，在短时间内猜对密钥并非不可能，但其可能性微乎其微。