Internet History, Technology, and Security----第九周

Internet History, Technology, and Security----第九周

 

Security: Web Security

本周讲解如何将加密和签名的基本思想应用于当今的网络和互联网上使用的真正安全的连接。

 

Securing Web Connections

 

Security Public/Private Key - Secure Sockets

 

Diffie, Hellman, and Merkle

1976年。当时在美国斯坦福大学的迪菲（Diffie）和赫尔曼(Hellman)两人提出了公开密钥密码的新思想，不仅加密算法本身可以公开，甚至加密用的密钥也可以公开。但这并不意味着保密程度的降低。因为加密密钥和解密密钥不一样。这就是著名的公钥密码体制。也称作非对称密码体制。不同于对称性的密码学， 在于其加密钥匙只适用于单一用户。
一把私有的钥匙，仅有用户才拥有。
一把公开的钥匙，可公开发行配送，只要有要求即取得。
每支钥匙产生一个被使用来改变属性的功能。私有的钥匙产生一个私有改变属性的功能，而公开的钥匙产生一个公开改变属性的功能。这些功能是反向相关的，例如，如果一个功能是用来加密消息，另外一个功能则被用来解密消息。不论此改变属性功能的次序为何皆不重要。公开的钥匙系统的优势是两个用户能够安全的沟通而不需交换秘密钥匙。例如，假设一个送信者需要传送一个信息给一个收信者，而信息的秘密性是必要的， 送信者以收信者的公开的钥匙来加密，而仅有收信者的私有的钥匙能够对此信息解密。公开的钥匙密码学是非常适合于提供认证，完整和不能否认的服务， 所有的这些服务即是我们所知的数字签名。

 

Identity on the Web

 

Security - Integrity and Certificate Authorities

在加密中，证书颁发机构或证书颁发机构（CA）是颁发数字证书的实体。数字证书通过证书的指定主题来证明公钥的所有权。这允许其他人（依赖方）依赖签名或关于与经认证的公钥对应的私钥的断言。CA充当受信任的第三方 -由证书的主体（所有者）和依赖证书的一方进行信任。这些证书的格式由X.509标准指定。
证书颁发机构的一个特别常见的用途是签署HTTPS中使用的证书，这是万维网的安全浏览协议。另一个常见用途是由各国政府签发身份证，用于电子签署文件。
可信证书可用于通过Internet 创建与服务器的安全连接。证书是必不可少的，以规避碰巧在到目标服务器的路径上的恶意方，该目标服务器就像它是目标一样。这种情况通常被称为中间人攻击。在启动安全连接之前，客户端使用CA证书对服务器证书上的CA签名进行身份验证，作为授权的一部分。通常，客户端软件（例如，浏览器）包括一组可信CA证书。这是有道理的，因为许多用户需要信任他们的客户端软件。恶意或受损的客户端可以跳过任何安全检查，仍然欺骗其用户相信其他情况。