公钥/私钥/签名/验证签名/加密/解密/非对称加密
对称加密:一般的加密是用一个密码加密文件,然后解密也用同样的密码.
非对称加密:加密用的一个密码,而解密用另外一组密码,密解密的密码不一样,就是用一组密钥中的一个来加密数据,用另一个解开即:公钥和私钥,公钥和私钥都可以用来加密数据,相反用另一个解开。
加密解密:公钥加密数据,私钥解密的情况被称为加密解密,公钥加密的数据只有它相对应的私钥可以解开;把公钥给想要传数据送给你的人,只有拥有私钥的你才能解开公钥加密的数据.
签名和验证签名:私钥加密数据,公钥解密一般被称为签名和验证签名;用私钥对数据进行签名,只有配对的公钥可以解开,解开了数据说明这数据是你发的,这个被称为签名;相反,则不是.
实际应用中,一般都是和对方交换公钥,要给对方发送数据,用对方的公钥加密,对方得到数据后用自己的私钥解密,这样最大程度保证了安全性.
RSA/DSA/SHA/MD5
非对称加密的算法有很多,比较著名的有RSA/DSA :
RSA可以用于加/解密,也可以用于签名验签
DSA则只能用于签名.
SHA和md5被称为摘要算法,不用于加密解密或者签名,他们依据数据内容生成一种固定长度的摘要,生成的摘要值与原数据存在对应关系,但是不能还原成原数据的,如果原数据被修改,那么生成的摘要都会不同,传输过程中把原数据和摘要都传给对方,把得到的原数据同样做一次摘要算法,然后与给你的摘要相比,就可以知道这个数据有没有在传输过程中被修改了.
实际应用过程中,因为需要加密的数据可能会很大,进行加密费时费力,所以一般都会把原数据先进行摘要,然后对这个摘要值进行加密,将原数据的明文和加密后的摘要值一起传给你.这样你解开加密后的摘要值,再和你得到的数据进行的摘要值对应一下就可以知道数据有没有被修改了.
CA/PEM/DER/X509/PKCS
一般的公钥不会用明文传输给别人的,正常情况下都会生成一个文件,这个文件就是公钥文件,然后这个文件可以交给其他人用于加密,但是传输过程中如果有人恶意破坏,将你的公钥换成了他的公钥,然后得到公钥的一方加密数据,不是他就可以用他自己的密钥解密看到数据了吗,为了解决这个问题,需要一个公证方来做这个事,任何人都可以找它来确认公钥是谁发的.这就是CA,CA确认公钥的原理也很简单,它将它自己的公钥发布给所有人,然后一个想要发布自己公钥的人可以将自己的公钥和一些身份信息发给CA,CA用自己的密钥进行加密,这里也可以称为签名.然后这个包含了你的公钥和你的信息的文件就可以称为证书文件了.这样一来所有得到一些公钥文件的人,通过CA的公钥解密了文件,如果正常解密那么机密后里面的信息一定是真的,因为加密方只可能是CA,其他人没它的密钥啊.这样你解开公钥文件,看看里面的信息就知道这个是不是那个你需要用来加密的公钥了.
实际应用中,一般人都不会找CA去签名,因为那是收钱的,所以可以自己做一个自签名的证书文件,就是自己生成一对密钥,然后再用自己生成的另外一对密钥对这对密钥进行签名,这个只用于真正需要签名证书的人,普通的加密解密数据,直接用公钥和私钥来做就可以了.
密钥文件的格式用OpenSSL生成的就只有PEM和DER两种格式,PEM的是将密钥用base64编码表示出来的,直接打开你能看到一串的英文字母,DER格式是二进制的密钥文件,直接打开,你可以看到........你什么也看不懂!.X509是通用的证书文件格式定义.pkcs的一系列标准是指定的存放密钥的文件标准,你只要知道PEM DER X509 PKCS这几种格式是可以互相转化的.