什么是SSL加密?
SSL加密使用公钥加密,它需要非对称密钥来加密和解密在服务器和客户端——通常是网站和浏览器、或邮件服务器和Microsoft Outlook等邮件客户端之间发送的数据。
SSL即安全套接字层的历史与互联网的历史紧密交织在一起。事实上,SSL的首个可行版本于1995年由互联网浏览器Netscape发布为SSL 2.0,并于1999年升级为SSL 3.0直至后因数个漏洞而被停用。之后它被TLS即传输层安全所取代,后者目前被认是SSL的一个更安全的版本。然而,许多人仍然将TLS(目前使用的互联网安全协议)称为SSL,并且这些术语往往可以互换使用。
在此处了解有关TLS/SSL加密发展情况的更多信息。
TLS/SSL加密最广泛地用于保护互联网上的网站,也是您能在浏览器地址栏中看到HTTPS的原因。TLS/SSL加密还能在传输过程中保护信用卡号、社会安全号码和登录凭据等敏感信息。要建立此连接,浏览器和服务器需要一个数字证书,也称为TLS/SSL证书。
在TLS/SSL加密背后发挥作用的技术包括非对称和对称密钥。这些公钥和私钥由不同类型的算法组成,例如RSA和椭圆曲线加密(ECC),这使得它们几乎不可能被破解。
什么是非对称加密?
非对称加密,也称为公钥加密或SSL加密,使用两个单独的密钥进行加密和解密。通过使用非对称加密,任何人都可以使用公钥对消息进行加密。然而,解密密钥是保密的。这样,只有预定的收件人才能解密消息。
最常见的非对称加密算法是RSA。RSA代表Ron Rivest、Adi Shamir和Leonard Adleman,他们在1977年首次公开使用该算法。非对称密钥通常为1024或2048位。然而,小于2048位的密钥不再被视为能安全使用的密钥。2048位密钥含有大量独特的加密码,使用617个数字。
尽管可以创建更大的密钥,但其增加的计算负担是如此之大,以至于很少使用大于2048位的密钥。换个角度来看,一台计算机平均需要超过140亿年才能破解一个2048位的证书。
什么是对称加密?
对称加密(或预共享密钥加密)使用一个密钥来加密和解密数据。发送方和接收方都需要相同的密钥来进行通信。对称密钥的大小通常为128位或256位,密钥越大,就越难破解。例如,128位密钥有340,282,366,920,938,463,463,374,607,431,768,211,456种加密码的可能性。正如您可以想象的那样,“暴力”攻击(即攻击者尝试所有可能的密钥,直到找到正确的密钥)需要相当长的时间才能破解128位密钥。使用128位还是256位密钥取决于服务器和客户端软件的加密能力。TLS/SSL证书并不规定使用的密钥大小。
哪个更强:非对称密钥还是对称密钥?
由于非对称密钥比对称密钥大,因此经过非对称加密的数据比对称加密的数据更难破解。然而,这并不意味着非对称密钥更好。与其按大小进行比较,不如按以下特性比较这些密钥:计算负担大小和是否易于分发。
对称密钥比非对称密钥小,因此它们需要较少的计算负担。然而,对称密钥也有一个重大劣势——尤其是在您使用它们来保护数据传输的情况下。由于对称加密和解密使用相同的密钥,因此您和收件人都需要该密钥。如果您能走过去把密钥告诉收件人,这并不是什么大问题。然而,如果您必须将密钥发送给远在世界各地的用户(这是更可能的情况),您就需要担心数据安全。
非对称加密不存在这个问题。只要您做好私钥的保密工作,就没有人能解密您的消息。您可以分发相应的公钥,而不用担心谁会获得公钥。任何拥有公钥的人都可以加密数据,但只有拥有私钥的人才能解密数据。
TLS/SSL如何同时使用非对称加密和对称加密?
公钥基础设施(PKI)是创建、管理、分发、使用、存储和吊销数字证书所需的一组硬件、软件、人员、策略和过程。PKI还通过证书颁发机构(CA)将密钥与用户身份绑定在一起。PKI使用混合式加密系统,并受益于这两类加密的使用。例如,在TLS/SSL通信中,服务器的TLS证书包含非对称公钥和私钥对。服务器和浏览器在SSL握手期间创建的会话密钥是对称密钥。
