本文共 1883 字,大约阅读时间需要 6 分钟。
现在的加密/解密技术主要有三种:对称加密、非对称加密和单向加密。它们三者各有优缺点,常用于电子商务中的数据安全保护。
对称加密是指加密和解密使用相同的密钥。其特性是加密/解密使用同一口令,将原文分割成固定大小的数据块进行加密。对称加密的优点是加密效率高、计算量小,速度快。然而,其缺点在于密钥的传输安全性较低,容易被中间人截获。
常见的对称加密算法包括DES、AES等。其中,AES(高级加密标准)是目前较为常用的算法,支持128、192和256位密钥长度。
非对称加密解决了对称加密的缺陷,使用不同的公钥和私钥进行加密和解密。常见的非对称加密算法有RSA、DSA等。RSA不仅可以用于加密解密,还可用于实现用户认证,而DSA主要用于数字签名。
非对称加密的长度通常为512、1024、2048位,2048位是最常用的长度。
单向加密是一种单向函数,输出结果对输入数据变化极其敏感,称为雪崩效应。常用的单向加密算法有MD5、SHA1等,其输出长度固定,用于数据完整性校验。
OpenSSL是一个强大的安全套接字层密码库,广泛应用于网络安全领域。它包含三个主要套件:libcrypto(通用功能库)、libssl(SSL协议库)和OpenSSL(多功能命令行工具)。
OpenSSL的目录结构围绕三个套件功能部分进行规划。它支持对称加密、非对称加密、单向加密等功能,并可作为简单的证书颁发机构(CA)。
gpg、openssl enc。gpg、openssl rsautl。sha1sum、md5sum、cksum、openssl dgst。[root@gmq tmp]# openssl enc -des3 -a -salt -in /path/to/input_file -out /path/to/cipher_file[root@gmq tmp]# openssl enc -d -des3 -a -salt -in /path/to/cipher_file -out /path/to/clear_file
[root@gmq tmp]# openssl dgst -sha1 /etc/fstab[root@gmq tmp]# openssl dgst -md5 /etc/fstab
公钥加密用于实现密钥交换和身份认证,常用算法包括RSA、ECDSA等。数字签名则是基于私钥加密的技术,用于数据完整性校验和身份验证。
私有CA的配置文件通常位于/etc/pki/tls/openssl.cnf。以下是私有CA的基本操作步骤:
生成私钥:
umask 077; openssl genrsa -out private/cakey.pem 2048
生成自签证书:
openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655
CA Client申请证书:
openssl req -new -key httpd.key -out httpd.csr
CA服务器签署证书:
openssl ca -in httpd.csr -out httpd.crt -days 3655
CA Client导入证书:
openssl x509 -in httpd.crt -add_extensions some_extension -out httpd.pem
吊销证书:
openssl ca -revoke httpd.crt
/etc/httpd/ssl/private/。常用证书协议包括x509v3和PKCS#10等。
转载地址:http://nakfk.baihongyu.com/