非对称加密：非对称加密使用一对密钥，即公钥和私钥。公钥用于加密，私钥用于解密。（通信前一定要获取到对方的公钥）其优点是安全性高，适合小数据量的加密。常见的非对称加密算法包括RSA（Rivest-Shamir-Adleman）和ECC（椭圆曲线加密）以及Rabin、Eigamal。适合用于数字签名、密钥交换和身份验证等场景。

💡

对称加密过程：

密钥生成：生成一个密钥，发送方和接收方都需保管好这个密钥。

加密：

发送方使用密钥对明文数据进行加密，生成密文。

例如，使用AES算法加密数据。

传输：将密文发送给接收方。

解密：

接收方使用相同的密钥对密文进行解密，恢复出明文数据。

💡

非对称加密过程：

密钥对生成：生成一对密钥，包括公钥和私钥。

公钥分发：将公钥发送给需要与之通信的任何人，私钥则保留在自己手中。

加密：

发送方使用接收方的公钥对明文数据进行加密，生成密文。

例如，使用RSA算法加密数据。

传输：将密文发送给接收方。

解密：

接收方使用自己的私钥对密文进行解密，恢复出明文数据。

💡

适用场景：

对称加密：适合大数据传输，如文件加密、数据库加密等。

非对称加密：适合小数据加密，如数字签名、密钥交换等。

2）简述对文件进行数字签名及使用签名验证数据的过程。

数字签名通过对文件生成哈希值，然后用私钥加密该哈希值形成签名。验证时，接收方用公钥解密签名，得到哈希值，并与自己计算的哈希值进行比对，若一致则验证通过，确保数据未被篡改。

（数字签名和数据同时发过去，hash值加密，对方用用户公钥解密，hash和自己对数据计算的hash值一致则验证通过）

对文件进行数字签名及使用签名验证数据的过程如下：

💡

数字签名过程：

生成哈希值：

对待签名的文件使用哈希算法（如SHA-256）生成一个唯一的哈希值（摘要）。

加密哈希值：

使用签名者的私钥对生成的哈希值进行加密，形成数字签名。

附加签名：

将数字签名附加到原始文件上，形成带有签名的文件。

签名验证过程：

提取签名和文件：

接收方获取带有签名的文件，并提取出原始文件和数字签名。

重新生成哈希值：

对接收到的原始文件使用相同的哈希算法生成哈希值。

解密数字签名：

使用签名者的公钥对数字签名进行解密，得到签名时生成的哈希值。

比较哈希值：

将解密得到的哈希值与重新生成的哈希值进行比较。如果两者相同，说明文件未被篡改且签名有效，确认签名者的身份。

3）数字证书包含哪些内容？如何使用数字证书来做身份验证？

💡

所有者信息：

包括证书所有者的姓名、组织名称等身份信息。

公钥：

证书所有者的公钥，用于加密数据或验证数字签名。

证书颁发机构信息：

颁发该证书的机构名称、数字签名等信息，以证明证书的合法性和可信度。

有效期：

证书的有效时间范围，超过该时间证书将失效。

序列号：

证书的唯一标识符，用于区分不同的证书。

💡

身份验证过程：

服务端向CA机构申请证书：

服务端向CA机构提交证书申请，包括自身的身份信息等相关资料。

CA机构审核：

CA机构对服务端提交的资料进行审核，以确保证明申请者的身份真实有效。

下发证书：

审核通过后，CA机构为服务端颁发数字证书。

客户端与服务端通信：

在通信过程中，服务端将数字证书发送给客户端。

客户端验证CA机构安全性：

客户端使用预存的CA机构的公钥，对服务端证书中的CA机构数字签名进行验证。通过验证CA机构的数字签名，客户端可以确认证书的真实性和完整性，从而确保证书中包含的服务端公钥是可信的。

通过以上过程，客户端可以信任服务端的公钥，为后续的安全通信奠定基础。

例如，在HTTPS连接中，服务器会提供其数字证书给浏览器。浏览器验证证书后，使用证书中的公钥加密后续通信，确保只有服务器能解密信息。同时，浏览器也验证了服务器的身份，防止用户连接到伪造的网站。

3 EDR终端管理

2 IPSec VPN

Last update: 2024-11-11