2. 程式人生 > >網絡傳輸與加密 (2)

網絡傳輸與加密 (2)

阿新 發佈:2018-08-07
區分 .cn 關註 小技巧 隨機 沒有 amp 偽造 就是

網絡傳輸與加密

讓我們先回顧一下上次的驗證過程,如下圖

技術分享圖片

有了“原信息”和它對應的“md5簽名字符串”,我們就可以做最基本的信息驗證:通過md5簽名字符串的一致性,來保障我們收到的信息沒有受到更改。

P.S.:由於簽名signature在後續文章中會另有所指,為區分md5簽名字符串,我們將md5簽名字符串的叫法,更改為md5指紋字符串。意思同簽名是一樣的,就是A之所以是A的證據、特征,可以用簽名來表示,也可以用指紋來表示。這裏,我們開始將md5字符串對應的這個特征,稱作md5指紋。

但一個容易發現的漏洞是,如果“原信息”和“md5指紋字符串”同時被修改了該怎麽辦?原信息被代提成了偽信息,而md5指紋字符串也被替換成了偽信息所生成的md5碼,這時候,原有的驗證過程都可以走通,根本無法發現信息被修改了或者替換了。

技術分享圖片

為了解決這個問題,在工業實踐中便會將驗證和加密進行組合使用。除了單純的組合,還會引入一些基本的小技巧。

例如,因為md5的驗證算法是公開的,所以很容易生成一份信息的md5指紋字符串,從而對原信息進行偽造。那麽,可以不可以讓人無法或者說難於偽造這份信息的md5指紋字符串呢?

一個小技巧是:並不提供原信息的md5驗證碼,而是提供“原信息+a key”的md5指紋字符串:

技術分享圖片

這個key,就是一串如“2d2316235b41924ac7c4b194661d2984”這樣的隨機字符串,它由“發信人”和“收信人”分別單獨保存。

這時候,我們的驗證流程就變成了:

  • 發件人將“原信息”和“key”一起打包,生成一個md5指紋字符串。再將原信息和md5指紋字符串發送出去。

  • 收件人收到信息後,將“接受信息”和“key”一起打包,生成一個md5字符串,再與接收到的md5字符串比較,看它們是否一致。

在這樣的情況下,即便是原信息和md5字符串同時被修改了,但因為偽造者並不知道這個md5字符串是在原有信息的基礎上,增加了什麽樣的一個key字符串來生成的,他就幾乎不可能提供一個“原信息+key”的md5字符串。因為他無法逆向推導出那個key長成什麽樣。而這個“幾乎不可能”,是由md5加密算法所保證的。

另一種保障“原信息”和“md5指紋字符串”的方式,是直接考慮把md5驗證碼做加密。這種方式並不同上面的小技巧相沖突,事實上它完全可以和上面的技巧結合,構造出更安全的方式。但為了降低理解的困難程度,讓我們先暫時拋開上面的小技巧,只是單純地考慮“原信息”“md5指紋字符串”和“md5字符串加密”這三樣東西。

還是回到剛開頭提到的核心想法,為什麽僅有“原信息”和“md5指紋字符串”是不安全的?因為這兩者的對應關系是由一個已知的算法連通的。之前的小技巧,是把這個用於連通的“已知”算法,通過一個私密的key,巧妙地把這個公開的“已知”算法變成了一個“未知”的算法,從而無法制造出對應的md5指紋字符串。

所以,這裏的重點其實是,你沒辦法去偽造md5指紋字符串。

基於這樣的考慮,我們還可以用別的方式,讓其他人依舊無法偽造出md5指紋字符串,例如,你根本就不知道這個md5指紋字符串長什麽樣!

怎麽做呢?那就是,我不再提供“原信息和md5指紋”的組合,而是提供“原信息”和“用私鑰加密後的md5指紋”,也即是把md5指紋又做了一次亂碼。

你或許會問,加密了md5有什麽用?不是照樣可以直接把信息和md5指紋同時換掉嗎?

沒錯,你是可以這樣做,但是,這時候作為接收方來講,他的接受驗證過程,已經變成了:

  1. 用公鑰解密,得到一串字符串,當作原信息的md5指紋。

  2. 將md5函數作用在接收到的信息,得到一個本地生成的md5指紋。

  3. 將本地生成的md5指紋和原md5指紋做比較。

所以,即便是你替換了原信息和md5指紋,但如果這個md5指紋沒有被私鑰加密過,那麽按照上述步驟,通過公鑰解密出來的字符串,便不會是相應的md5指紋,而是一串不知所雲的亂碼。從而,你必須通過私鑰加密,才可以偽造md5指紋來欺騙接收方。

這個被加密了的md5指紋,也被稱作數字簽名(digital signature)。

此時,所有的安全問題,便落在了這個“私鑰”上。只要它不被竊取,你發送的信息便是安全的、可以得到驗證的。

那麽,如何保證你的“私鑰”不被竊取呢?使用網絡傳輸嗎?萬一在半路上被劫走篡改怎麽辦?基於此,更為安全妥當的辦法,便是使用物理傳輸,直接在現實中,手把手的將秘鑰給發送方。

我們在生活中遇到過這樣的情況嗎?當然!還記得銀行的網銀盾麽?為什麽銀行要煞費苦心地給你一個U盤?因為裏面存放著你用來加密的私鑰啊!(以及之後我們會談到的證書)相比於通過網絡連接將私鑰發放給客戶,直接通過現實中的實物來傳遞私鑰,是更加可靠的。

近期回顧

《不是不屑,而是自保》
《網絡傳輸與加密》
《為什麽需要提前撰寫Spec文檔》

如果你喜歡我的文章或分享,請長按下面的二維碼關註我的微信公眾號,謝謝!

技術分享圖片

更多信息交流和觀點分享,可加入知識星球:

技術分享圖片

網絡傳輸與加密 (2)

相關推薦

傳輸加密 (2)

區分 .cn 關註 小技巧 隨機 沒有 amp 偽造 就是 網絡傳輸與加密 讓我們先回顧一下上次的驗證過程,如下圖 有了“原信息”和它對應的“md5簽名字符串”,我們就可以做最基本的信息驗證:通過md5簽名字符串的一致性,來保障我們收到的信息沒有受到更改。 P.S

Oracle傳輸加密和完整性驗證

HR 4.2 orm 5.6 onf pos AR sha ltr 轉自 http://blog.itpub.net/24052272/viewspace-2129175/ 測試環境: 11.2.0.4 winodows 單機 應用場景: 對oracle服務器和客戶端之間

2017-2018-2 20179216 《攻防實踐》第五周總結

通過 advance 會話 輕量級 兩個 構造 點擊 審計 添加 教材內容總結 1. Web應用程序體系結構 Web應用程序是一種使用瀏覽器在互聯網或企業內部網上進行訪問操作的應用軟件形態。Web應用體系有瀏覽器作為客戶端完成數據顯示和展示內容的渲染;由功能強大的服務器完

2017-2018-2 20179216 《攻防實踐》第七周總結

rsh 支持 紅色 網絡 擴展庫 屏幕 scrip 完整 custom 教材內容總結 第七章 Windows操作系統安全攻防 1、Windows操作系統基本框架 Windows操作系統的基本結構 分為運行於處理器特權模式的操作系統內核,以及運行在處理器非特權模式的用戶空

Python 的傳輸文件功能的設計實現

roc 內容 guid 公司 代碼結構 網絡傳輸 智能 類型 模塊 Python 的網絡傳輸文件功能的設計與實現 摘要:Python 是目前較流行的程序設計語言之一,它具有簡單易學代碼簡潔等特點,並且Python 提供了大量的功能庫文件,開發大型應用程序時非常方便,廣泛用於

2017-2018-2 20179216 《攻防實踐》第十周作業

adl code tab 安裝 困難 即使 得到 版本 內存地址 緩沖區溢出漏洞實驗 一、實驗簡介 緩沖區溢出是指程序試圖向緩沖區寫入超出預分配固定長度數據的情況。這一漏洞可以被惡意用戶利用來改變程序的流控制,甚至執行代碼的任意片段。這一漏洞的出現是由於數據緩沖器和返回地

2017-2018-2 20179225 《攻防實踐》 第10周作業

his 設計 導致 rcp xpl $0 及其 program with 緩沖區溢出漏洞實驗 1 實驗簡介 緩沖區溢出是指程序試圖向緩沖區寫入超出預分配固定長度數據的情況。這一漏洞可以被惡意用戶利用來改變程序的流控制,甚至執行代碼的任意片段。這一漏洞的出現是由於數據緩沖器和

2017-2018-2 20179225 《攻防實踐》 第13周作業

內容 scan 使用 基礎問題 定位 數字 和我 ron 依然 實踐內容 (1)理解免殺技術原理 (2)正確使用msf編碼器,veil-evasion,自己利用shellcode編程等免殺工具或技巧; (成功實現了免殺的。如何做成功的簡單語言描述即可,不要截圖、指令。與殺軟

安全管理精講視頻筆記3-PGP郵件系統加密及實驗

cancel 菜單 express keys p地址 private dmi wan 類型 第一章 第三節?PGP郵件系統加密及實驗 ?PGP(Pretty Good Privacy)機制:??發送方甲:甲的私鑰+消息文摘->簽名,簽名+郵件內容+乙的公鑰->加

安全管理精講視頻筆記9-Windows傳輸模式IPSec配置實驗演示

源地址 加密 window 3des md5 協議 篩選 sha1 驗證方法 第四章 第二節?Windows傳輸模式IPSec配置實驗演示   配置Windows IPSec:  (1)新建IPSec:開始--管理工具--本地安全策略

傳輸協議

都是 用戶體驗 bug 抓包 網絡傳輸 方式 幫我 精確 郵件傳輸 指服務器和客戶端間進行通信時的約束和規範,客戶端與服務端的數據交互並不是雜亂無章的,需要遵照(基於)一定的規範進行。 1,常見協議:   1、HTTP、HTTPS 超文本傳輸協議   2、FTP 文件傳輸協

Java:傳輸

.get utf println bsp byte new 字節碼 gbk str 網絡以字節碼傳輸 String s = "我恨你"; //轉成字節: byte[] brr = s.getBytes();//gbk //iE:utf-8 String s1

DICOM醫學圖像處理:fo-dicom傳輸之 C-Echo and C-Store

通訊 過程 reading 網絡傳輸 基類 對象 last 控制流程 con 背景: 上一篇博文對DICOM中的網絡傳輸進行了介紹。主要參照DCMTK Wiki中的英文原文。通過對照DCMTK與fo-dicom兩個開源庫對DICOM標準的詳細實現,對理解

python爬蟲信息提取之request的安裝

網絡爬蟲 與信息提取 第一天本文出自 “大李子” 博客,謝絕轉載!python網絡爬蟲與信息提取之request的安裝

[定向爬蟲] 爬蟲實例2-淘寶定向爬蟲

break 解析 tao 運行 title out 繼續 pri 字符串分割 import requests import re import time #獲取html頁面 def getHTMLText(url): try:

python爬蟲信息提取【筆記】

robots 請求 api python requests 中國 正則 網絡 正則表達式詳解 以下是‘’網絡爬蟲‘’課程(中國MOOC)學習筆記 【萬能的b站】 核心思想: The Website is the API 課程大綱: 一、Requests與robots.txt

基礎知識(2)====對(1)的補充

網絡總結 心得 封裝和解封裝封裝:解封裝:一個重要的協議arp 我們知道,當我們在瀏覽器裏面輸入網址時,DNS服務器會自動把它解析為IP地址,瀏覽器實際上查找的是IP地址而不是網址。那麽IP地址是如何轉換為第二層物理地址(即MAC地址)的呢?在局域網中,這是通過ARP協議來完成的。ARP協議對

Linux運維之道之基礎學習1.2

linux 達內 雲計算 網絡基礎1.2物理層解析-----------------------------------------------------------------------------------------------物理層--網絡的基礎------物理層是TCP/IP模型的

5月深度學習班第4課CNN,典型結構常用框架

images 什麽 內容 targe idt html tuning strong 人臉識別 CNN與常用框架 主要內容?神經網絡與卷積神經網絡 1.層級結構   2.數據處理   3.訓練算法   4.優缺點?實際搭建與訓練CNN 1.典型CNN   2.訓練與fin

雲計算--原理應用--20171115

斷開連接 廣播 自動 常用 開始 連接 ttl 意義 流動 IP 協議 ARP協議 TCP/UDP協議 網絡傳輸介質 一 IP協議 網絡層負責定義數據通過網絡流動所經過的路徑。主要功能如下: 定義基於IP協議的邏輯地址(IP地址) 選擇數據通過網絡的最佳路徑 連接不同