非對稱加密算法原理詳細(xì)分析

　　使用過程：

　　乙方生成兩把密鑰（公鑰和私鑰）

　　甲方獲取乙方的公鑰，然后用它對信息加密。

　　乙方得到加密后的信息，用私鑰解密，乙方也可用私鑰加密字符串

　　甲方獲取乙方私鑰加密數(shù)據(jù)，用公鑰解密

　　優(yōu)點(diǎn)：

　　更安全，密鑰越長，它就越難破解

　　缺點(diǎn)：

　　加密速度慢

　　常用算法：

　　RSA、Elgamal、背包算法、Rabin、D-H、ECC（橢圓曲線加密算法）

　　1公鑰私鑰的使用原則

　　①每一個(gè)公鑰都對應(yīng)一個(gè)私鑰。

　?、诿荑€對中，讓大家都知道的是公鑰，不告訴大家，只有自己知道的，是私鑰。

        ③如果用其中一個(gè)密鑰加密數(shù)據(jù)，則只有對應(yīng)的那個(gè)密鑰才可以解密。

　?、苋绻闷渲幸粋€(gè)密鑰可以進(jìn)行解密數(shù)據(jù)，則該數(shù)據(jù)必然是對應(yīng)的那個(gè)密鑰進(jìn)行的加密。

　　非對稱密鑰密碼的主要應(yīng)用就是公鑰加密和公鑰認(rèn)證。

　　2公鑰加密、解密

　　加密的目的，是不希望第三者看到當(dāng)前兩個(gè)通訊用戶的通訊內(nèi)容。

　　2.1加密

　　A（客戶）想給B（服務(wù)器）發(fā)送一段文字，但是不想讓別人看到，因此想使用非對稱加密方法來加密這段文字，當(dāng)然，B需要有一對公鑰和私鑰：

　　① B將他的公鑰發(fā)送給A

　?、?A用B給他的公鑰加密這段文字，然后傳給B

　　③ B用他的私鑰解密A發(fā)過來的消息，這里要強(qiáng)調(diào)的是，只要B的私鑰不泄露，這封信就是安全的，即使落在別人手里，也無法解密。

　　通過這幾步，B就能成功收到A發(fā)送的信息，同時(shí)又達(dá)到了保密的目的。

　　2.2解密

　　如果B想給A回信息，就簡單的多了：

　　① B將要回復(fù)的信息通過自己的私鑰加密，然后傳送給A

　?、?A用B之前給他的公鑰解出這份信息。

　　在公鑰加密、解密里面描述的通訊過程看似簡單，但想想這個(gè)問題：在過程2中，A怎么B給他的回信在傳遞過程中，有沒有被人修改？這就涉及到數(shù)字簽名的概念。

　　3.1數(shù)字簽名（digital signature）

　　微軟官方給出的定義：“數(shù)字簽名”是指可以添加到文件的電子安全標(biāo)記。使用它可以驗(yàn)證文件的發(fā)行者以及幫助驗(yàn)證文件自被數(shù)字簽名后是否發(fā)生更改。

　　3.1.1數(shù)字簽名原理

　　要達(dá)到這個(gè)目的，一般是對信息做一個(gè)hash計(jì)算得到一個(gè)hash值，注意，這個(gè)過程是不可逆的，也就是說無法通過hash值得出原來的信息內(nèi)容。在把信息發(fā)送出去時(shí)，把這個(gè)hash值加密后做為一個(gè)簽名和信息一起發(fā)出去。 接收方在收到信息后，會(huì)重新計(jì)算信息的hash值，并和信息所附帶的hash值（解密后）進(jìn)行對比，如果一致，就說明信息的內(nèi)容沒有被修改過，因?yàn)檫@里hash計(jì)算可以保證不同的內(nèi)容一定會(huì)得到不同的hash值，所以只要內(nèi)容一被修改，根據(jù)信息內(nèi)容計(jì)算的hash值就會(huì)變化。當(dāng)然，不懷好意的人也可以修改信息內(nèi)容的同時(shí)也修改hash值，從而讓它們可以相匹配，為了防止這種情況，hash值一般都會(huì)加密后（也就是簽名）再和信息一起發(fā)送。

　　3.1.2數(shù)字簽名使用方式

　　下面通過例子來說明這個(gè)過程：

　　B給A回信時(shí)，采用了數(shù)字簽名的方式

　　1、B先用hash函數(shù)，生成信件的摘要（digest）

　　2、B使用自己的私鑰，對這個(gè)摘要加密，這樣就生成了數(shù)字簽名（signature）

　　3、B將這個(gè)簽名附在要回復(fù)的信息后面，一起發(fā)給A

　　4、A收到B的信息后，取下數(shù)字簽名，并通過B的公鑰解密，得到信件的摘要信息

　　5、A在對B發(fā)送的信息本身使用B指定的hash函數(shù)，將得到的結(jié)果同上一步解密得到的摘要進(jìn)行對比，如果兩者一致，就說明B發(fā)過來的信息未被修改過。

　　3.2數(shù)字證書（Digital CerTIficate）

　　問題就這樣結(jié)束了嗎？遠(yuǎn)沒有，試想，雖然A確定了B回給他的信息是未修改過的，但是怎么確定給他回信息的就是B？如果有不懷好意的C把A保存的B的公鑰偷偷換成自己的，并冒用B的名義給A發(fā)信息呢？

　　要解決這個(gè)問題，A只要能確定自己持有的公鑰到底是不是B的就行了，這就需要用到數(shù)字證書。

　　數(shù)字證書是用來驗(yàn)證公鑰所屬的用戶身份。在日常生活中，如果我們要驗(yàn)證一個(gè)人的身份，通常的做法是查看他的身份證。我們信任身份證頒發(fā)機(jī)構(gòu)即政府機(jī)構(gòu)的公信力，因此只要驗(yàn)證一個(gè)人的身份證不是偽造的，我們就相信這個(gè)人的身份和身份證上所描述的是一致的。

　　數(shù)字證書就是一個(gè)人或者組織在網(wǎng)絡(luò)世界中的身份證，其發(fā)證機(jī)關(guān)是證書管理機(jī)構(gòu)（cerTIficate authority，CA）。CA用自己的私鑰對用戶的身份信息（主要是用戶名和該用戶的公鑰）進(jìn)行簽名，該簽名和用戶的身份信息一起就形成了證書。

　　3.2.1數(shù)字證書的構(gòu)成

　　證書的發(fā)布機(jī)構(gòu)（Issuer）

　　指出是什么機(jī)構(gòu)發(fā)布的這個(gè)證書，也就是指明這個(gè)證書是哪個(gè)證書中心（cerTIficate authority，簡稱CA）發(fā)布的的（只是創(chuàng)建證書，不是指證書的使用者）。

　　證書的有效期（Valid from ， Valid to）

　　也就是證書的有效時(shí)間，或者說證書的使用期限。 過了有效期限，證書就會(huì)作廢，不能使用了。

　　公鑰 （Public key）

　　這個(gè)我們在前面介紹公鑰密碼體制時(shí)介紹過，公鑰是用來對消息進(jìn)行加密解密的，是很長的一串?dāng)?shù)字。

　　證書所有者（Subject）

　　這個(gè)證書是發(fā)布給誰的，或者說證書的所有者，一般是某個(gè)人或者某個(gè)公司名稱、機(jī)構(gòu)的名稱、公司網(wǎng)站的網(wǎng)址等。

　　簽名所使用的算法 （Signature algorithm）

　　指的這個(gè)數(shù)字證書的數(shù)字簽名所使用的加密算法，這樣就可以使用證書發(fā)布機(jī)構(gòu)的證書里面的公鑰，根據(jù)這個(gè)算法對指紋進(jìn)行解密。指紋的加密結(jié)果就是數(shù)字簽名

　　指紋以及指紋算法 （Thumbprint， Thumbprint algorithm）

　　這個(gè)是用來保證證書的完整性的，也就是說確保證書沒有被修改過。 其原理就是在發(fā)布證書時(shí)，發(fā)布者根據(jù)指紋算法（一個(gè)hash算法）計(jì)算整個(gè)證書的hash值（指紋）并和證書放在一起，使用者在打開證書時(shí)，自己也根據(jù)指紋算法計(jì)算一下證書的hash值（指紋），如果和剛開始的值對得上，就說明證書沒有被修改過，因?yàn)樽C書的內(nèi)容被修改后，根據(jù)證書的內(nèi)容計(jì)算的出的hash值（指紋）是會(huì)變化的。