摘要密碼學與資訊安全


整理一些 密碼學 (Cryptography)資訊安全 (Information Security) 的專有名詞、重要概念、密碼學演算法、應用協議、資訊安全概念,主要資料都參考自 Wikipedia。

  • 本文非一次性整理,相關筆記漸進式整理上來。
  • 本文只是個人學習的梳理,可能有誤,如有建議歡迎給予指導,感謝。

一、專有名詞與重要概念

專有名詞的寫法統一格式:縮寫, 英文原文 - 中文翻譯

  • cryptography: 密碼學
  • cryptographic algorithms: 加密演算法
    • symmetric encryption: 對稱式加密
    • asymmetric encryption: 非對稱式加密, 一對金鑰,分別是 Private Key (私鑰) 以及 Public Key (公鑰)
  • encrypt: 加密
  • decrypt: 解密
  • key: 一般來說都翻譯成 金鑰,類似於真實世界的鑰匙概念。
  • plaintext: 明文, 尚未經過加密處理的原始資料。
  • ciphertext: 密文, 明文經過加密演算法所產生的
  • digital signature: 數位簽章
    • DSA, Digital Signature Algorithm 數位簽章演算法
  • OTP, one-time pad 一次性密碼
  • brute-force attacks 暴力攻擊

Public Key Infrastructure, PKI

Public Key Infrastructure, PKI, 公開金鑰基礎建設: 又稱公開金鑰基礎架構、公鑰基礎建設、公鑰基礎設施、公開密碼匙基礎建設或公鑰基礎架構,是一組由硬體、軟體、參與者、管理政策與流程組成的基礎架構,其目的在於創造、管理、分配、使用、儲存以及復原 數位憑證

簡單說,PKI 的目的是:

如何確認我拿到的 Public Key 真的是對方發的 Public Key?

由以下成分組成:

  • 用戶: 使用 PKI 的人或機構
  • CA (Certification Authority, 認證機構): 頒發憑證的人或機構
  • Repository: 儲存憑證 (Certificate) 的資料庫

Public Key Certificate

Public Key Certificate 公開金鑰認證, 又稱數位憑證 (Digital Certificate)或身份憑證(Identity Certificate)。用來證明擁有 公開金鑰 的身份數位識別,這個識別裡必須包含 公鑰資訊擁有者身份數為憑證認證機構,也就是 (用戶 Public Key + 識別資訊) + (CA Public Key) + CA 資訊

  • 電子憑證的儲存形式:常見的二進位副檔名有 .cer.crt.der,base64 的副檔名形式有 .pem
  • 把憑證跟私鑰一起儲存,則使用 PKCS#12 (.p12) 格式
  • 憑證種類:自簽憑證、根憑證、中介憑證、授權憑證、終端實體憑證 (TLS 伺服器憑證、萬用字元憑證、TLS 客戶端憑證)
  • X.509:一種廣泛使用的憑證標準格式,v3 的標準是 RFC 5280
    • CSR: Certificate Signing Request 憑證簽章請求

Cryptographic Hash Function

Cryptographic Hash Function 密碼雜湊函式: 又譯為 加密雜湊函式密碼雜湊函式加密雜湊函式,是 雜湊函式 的一種。它被認為是一種單向函式,也就是說極其難以由雜湊函式輸出的結果,回推輸入的資料是什麼。這樣的 單向函式 被稱為「現代密碼學的馱馬」。


二、密碼學

  1. Symmetric-key Algorithm 對稱式演算法
  2. Asymmetric Cryptography 非對稱式密碼學

Symmetric-key Algorithm (對稱式演算法)

也稱 Symmetric-key Cryptography (對稱金鑰密碼學)

  • DES (Data Encryption Standard)
  • 3DES
  • AES
  • Blowfish
  • IDEA
  • RC5
  • RC6

Asymmetric Cryptography (非對稱式密碼學)

也稱 Public-Key Cryptography (公開金鑰密碼學),簡稱 公鑰密碼學,主要是 Asymmetric Algorithm (非對稱金鑰演算法) ,相對於對稱金鑰密碼學,最大的特點在於 Encrypt (加密)Decrypt (解密) 使用不同的金鑰。


三、協議系統

整理一些基於密碼學與資訊安全、常見的安全協議系統:

  • 應用層
    • PGP (Pretty Good Privacy,優良保密協定): 是一套用於訊息加密、驗證的應用程式,採用IDEA的雜湊演算法作為加密和驗證之用。
    • DKIM, DomainKeys Identified Mail 域名密鑰識別郵件:
    • SSL/TLS
    • SSH
    • OAuth
  • 密鑰管理
    • Kerberos: Kerberos是一種計算機網絡認證協議,它允許某實體在非安全網絡環境下通信,向另一個實體以一種安全的方式證明自己的身份。
    • X.509: 簡稱 PKIX,公鑰憑證的格式標準。應用在包括 TLS/SSL 的眾多網路協定。
  • 域名系統
  • 網路層
    • IPSec
    • L2TP
    • OpenVPN
    • PPTP

結論

一直對於資訊安全與密碼學很有興趣,在整理 AWS KMS 學習筆記時,就給自己挖一個坑:

整理密碼學與資訊安全的筆記,把一些以往不清楚的知識整理起來。

很多東西平常工作都會用到,但是卻不求甚解,透過整理文章重新梳理自己有限的知識,如有誤歡迎給予指證,感謝。


延伸閱讀

參考資料

資訊安全相關




Comments