必要知識:
假設通信方是甲和乙
1. 對稱加密算法加密解密用同一個祕鑰,速度快
2. 非對稱加密使用公鑰加密,私鑰解密。或者私鑰加密公鑰解密, 速度慢。
3. 公鑰在網上可以自由交換,私鑰自己保留。
4. CA是甲乙都信任的,通信方把自己公鑰交由CA生成證書,另一方確認證書是自己信任的CA機構頒發並且沒有被篡改。
上圖是甲向乙發送數據時的過程。
甲對數據部分生成摘要,用甲私鑰加密, 乙在收到信息後對數據部分計算摘要,用甲公鑰機密摘要並進行對比,從而保證數據的完整性,並確保數據是來自於甲。但此時數據仍未被加密,能被第三方看到(但不能篡改)。甲生成對稱加密祕鑰並加迷以上數據。爲了完成祕鑰交換,甲用乙的公鑰加密,則只有乙才能進行解密。
總結:
1.非對稱加密主要是加密摘要或者對稱祕鑰,不適合直接加密數據。
2.對稱祕鑰用來加密數據。
爲了防止第三方攻擊(如何確認拿到了乙的公鑰後確認就是乙的公鑰?)
使用CA。乙把自己公鑰交給CA, CA生成一份證書,並用自己的私鑰加密證書的摘要部分。甲持有CA的證書(或者說公鑰,一般是直接裝在操作系統或者瀏覽器中),可以驗證乙的證書是否是自己信任的CA機構頒發(同樣是計算數據部分摘要後和用公鑰解密的摘要對比)。