« Back
in 安全 VPN 思科 read.

VPN理论2

加密算法:(讲课内容:cisco designing vpn security)
DES
3DES
AES 比较新,比较变态
RC 适用于软件
RSA

基于保密的算法 来进行加密 基于保密的密钥 来进行加密 不再基于算法进行加密,现在算法公开,但是密钥不公开  

不同层次加密:
应用层加密
会话层加密
网络层加密
链路层加密



理想的算法:
抵御密钥攻击,比如暴力破解,密码猜测
需要变长的密钥长度
雪崩效应
不受进出口的限制

 

对称加密:
相同的key来加密和解密
DES IDEA RC2/4/5/6 blowfish
DES用于IPSEC
RC4用于https

常用的对称加密密码技术:block ciphers(块加密), stream ciphers(流加密), message authentication codes (hmac)

 

块加密、流加密的概念
块加密:将数据分割成 定长的块(如果最后一块数据不能达到定长数值,使用0填满),对每一块进行加密
流加密:首先产生一个无限长的密钥,使用这个密钥对明文数据的二进制 每位进行异或(注意不是对每个位进行加密)

 

特点:

1.加密速度快;2.算法简单,容易硬件加速;3.密钥管理是个大问题

DES(Data Encryption Standard)--平方换位,适用于硬件

ibm 1975设计,加密算法很成熟,但是密钥不够长,容易被暴力破解。

key的长度为64bits,只有56bits在使用,8个bits用于奇偶效验,56bits中包括40bits的key 和 16bits的已知数。

 

DES的模式:

ECB 电子密码本:两块相同的信息输入到DES后,会产生相同的密文。

CBC 密文块链接:首先产生一个IV(initialization vector,初始化向量,加密种子),第一块信息和IV做异或,然后送入DES,得到密文。后续的信息块 和 前一个信息块产生的密文做异或,然后送入DES中,得到密文。IPSec就是使用的CBC。

CFB(cipher feedback mode,加密回馈模式)、OFB(output feedback mode,输出回馈模式) 这两个des模式,是用于流加密的。

VPN2-1

 

CBC加密解密过程

VPN2-2

3DES

两种类型:112bit的key k1=k3;168bit的key k1不等于k3

工作过程:先是加密,然后再解密,最后再加密

VPN2-3

AES(Advanced Encryption Standard)--立体换位

VPN2-4

rivest ciphers(RC2/4/5/6)

流加密技术,加密速度快,适用于软件

RC4,常用于HTTPS (适用于软件实现)

 

HTTPS简介---只是保障了不被第三方窃听

pc----request----->https server

pc<---public key---https server

pc产生一个随机对称密钥,使用public key加密这个对称密钥发给https server

服务器使用private key对pc发来的密钥进行解密,得到随机对称密钥

然后后续的数据使用随机对称密钥来进行加密和解密。

 

非对称加密

不同的key来加密和解密

密钥长度:512bits - 2048bits

 

非对称加密问题:

加密速度比对称加密要慢

硬件计算量大

密钥管理方便

用于小型服务(签名、密钥交换)

 

DH和RSA都是基于数学难题来进行加密的。

DH是基于离散对数的。

RSA是基于大素数的因式分解的。RSA之所有能够保密,关键在于假如已知两个非常大的质数的乘积,很难解析出到底是哪两个质数相乘的结果。

应用:密钥交换、数字签名

 

 

Hash

1.用于完整性校验

2.不可逆

3.任意大小的数据,hash成为定长摘要

4.雪崩效应
 

两种hash算法:md5(128bit)、sha-1(160bit)  

hash

VPN2-5

 

由于单纯的hash不能保证安全的传输,就引出了HMAC(hash message authentication code)

HMAC使用一个附加的密钥输入到hash功能中。

发送者和接受者都知道这个密钥:

添加了认证

不易受到中间人攻击

基于现有的hash算法(md5、sha-1)

VPN2-6