密码算法、密钥体系---安全行业基础篇1_密码算法和密钥

一、密码算法

密码算法是一种数学和计算方法，用于保护数据的机密性和安全性。不同的密码算法使用不同的数学原理和技术来加密和解密数据。以下是一些常见的密码算法类型：

1. 对称密码算法：

特点：相同的密钥用于加密和解密数据。数据必须是块的整数倍。

优缺点：优点是速度快，但缺点是密钥管理复杂，因为必须确保密钥的安全传输和存储。

概念：key加密明文得到密文，key解密密文得到明文。

要素：密钥、明文、密文、块（加解密的数据最小单元）。

用途：数据加密传输，只有拥有key的人才可以获取数据明文。

种类： AES（高级加密标准）：广泛使用，用于加密敏感数据。块大小16字节
DES（数据加密标准）/3DES：早期的对称密码算法，现在不再视为安全。8字节

SM4(国密)：块大小16字节

2. 非对称密码算法：

特点：有一对密钥，一个用于加密，另一个用于解密。

优缺点：优点是不存在密钥交换问题，密钥管理更容易，但通常比对称算法慢，不适合做大量运算。

概念：

加密：发送者使用接收者的公钥加密

解密：接收者使用自己的私钥解密

签名：使用自己的私钥签名，一般对摘要值进行签名

验签：使用签名者的公钥验证已签名的数据，保证数据的真实性。

要素：密钥对（公钥：可公开。私钥：只有自己知道）。公钥运算则使用私钥还原，私钥运算则使用公钥还原。

用途：数据加密传输，只有拥有key的人才可以获取数据明文。

种类：RSA（常用）、ECC（椭圆曲线密码学）、SM2(国密)

3. 哈希函数：

特点：防碰撞，即无法找到输出相同的两个输入。不能反向运算，即不可能由输出计算出输入。

概念：一段任意长度的输入数据，经过哈希运算，可以生成一段固定长度的输出数据。输入输出为一一对应，用输出（较短）可以代表输入（任意长度）

要素：输入数据原文，输出摘要值。输入不一样，输出必然不一样。

用途：验证数据完整性、消息摘要、签名验签。

种类：MD5 输出长度16字节，已被攻破不安全。
SHA1 输出长度20字节，已被攻破不推荐使用。
SHA256 输出长度32字节，目前安全界的主流。
SH512 输出长度64字节。
SM3(国密) 输出长度32字节。

4. 密码协议：

这些是用于在网络通信中保护数据机密性的特定协议和算法，如TLS/SSL用于加密Web连接。

密码算法的选择取决于特定的用途和安全需求。在设计或选择密码算法时，必须考虑密钥管理、性能、抵抗攻击的能力以及合规性等因素。此外，密码学的发展是一个不断演化的领域，新的算法和技术不断出现，以适应不断变化的威胁和安全挑战。因此，安全性专业人士需要密切关注密码学领域的最新发展。

二、密钥体系

密钥体系是一个关键的概念，用于管理和维护在加密和安全通信中使用的密钥。它是确保数据机密性和安全性的基础。密钥体系包括以下重要组成部分：

1. ** 密钥生成： **
密钥体系的第一步是生成密钥。密钥可以是对称密钥（用于对称加密算法）或非对称密钥（用于非对称加密算法）。生成密钥的过程应该是随机的和安全的，以防止恶意攻击者猜测密钥。

2. ** 密钥分发： **
生成密钥后，需要将密钥安全地传输到通信的各方。这通常涉及使用安全协议来确保密钥在传输过程中不被拦截或篡改。密钥分发是一个关键的挑战，因为它直接影响到系统的安全性。

3. ** 密钥存储： **
密钥必须在使用前安全地存储，以防止未经授权的访问。对于对称密钥，存储是特别重要的，因为任何能够访问密钥的人都可以解密数据。对于非对称密钥，私钥的安全性至关重要，因为它用于解密数据或进行数字签名。

4. ** 密钥更新： ** 密钥不应永久不变，因为长时间使用相同的密钥会增加系统受到攻击的风险。因此，密钥体系应包括定期更换密钥的策略。

5. ** 密钥销毁： ** 当不再需要使用某个密钥时，必须确保它被安全地销毁，以防止未经授权的访问。密钥销毁是数据安全的重要方面。

6. ** 密钥管理： ** 密钥管理包括监控密钥的使用情况，跟踪密钥的生命周期，记录密钥的分发和销毁，以及响应与密钥相关的事件，如丢失或泄露。

7. ** 密钥策略和访问控制： **
密钥体系应该定义哪些实体有权访问哪些密钥以及如何使用这些密钥。访问控制和密钥策略可以确保只有授权的用户或系统可以访问密钥。

密钥体系的复杂性取决于应用的安全需求和使用的加密算法。在实际应用中，有时会使用密钥管理系统（Key Management
System，KMS）来自动化和简化密钥的生成、分发、存储和管理。密钥管理是保护信息安全的重要组成部分，因此需要特别关注以确保数据的机密性和完整性。

在密钥体系中，Fixed Key、MK/SK和DUKPT是常见的术语，具有以下含义：

1. Fixed Key（固定密钥）：这是一种使用单个固定密钥进行加密和解密的密钥管理方案。固定密钥体系中，所有使用该密钥的加密操作都完全相同。这种方案的优点是简单易用，但缺点是如果密钥泄漏或被破解，整个系统的安全性将受到威胁。

2. MK/SK（Master Key/Session Key）：MK/SK是一种层次式的密钥管理方案，其中包含一个主密钥（Master Key）和会话密钥（Session Key）。主密钥用于生成临时的会话密钥，而会话密钥用于加密通信或数据。每个会话都使用一个独立的会话密钥，从而提高了系统的安全性。这种方案的优点是提供更好的密钥管理和更高的安全级别。

3. DUKPT（Derived Unique Key Per Transaction）：DUKPT是一种基于派生密钥的密钥管理方案。它使用主密钥派生出唯一的会话密钥，并且每个交易都使用不同的会话密钥进行加密。DUKPT通过使用不同的密钥来提高系统的安全性和追踪能力。每个会话密钥只在一个交易中使用，从而减少了密钥泄漏的风险。这种方案广泛应用于金融领域中的支付终端设备等场景。

总结起来，Fixed
Key是一种简单的密钥管理方案，MK/SK是一种层次式的密钥管理方案，而DUKPT是一种基于派生密钥的密钥管理方案。每种方案都有其独特的优点和缺点，具体选择应根据安全需求和应用场景来决定。

在密钥体系中，以下是常见术语的解释：

• PIK（PIN Encryption Key）：用于加密和解密用户的个人识别号码（PIN）的密钥。PIK通常与每个帐户关联，用于保护帐户持有人的敏感信息。

• DEK（Data Encryption Key）：用于加密和解密数据的密钥。DEK可以用于保护存储在数据库、文件系统或传输过程中的数据。

• MAK（Message Authentication Key）：用于签名和验证消息完整性的密钥。MAK可用于确保数据在传输过程中没有被篡改或损坏。

• KSN（Key Serial Number）：密钥序列号是一种用于唯一标识加密设备或密钥的值。它通常与加密操作相关联，以确保使用正确的密钥。

• IPEK（Issuer Public Encryption Key）：发卡行公共加密密钥，用于生成分发给终端设备的工作密钥。IPEK允许发卡行与终端设备之间进行安全的密钥交换。

• TR31（ANS X9.24 Part 1）：是美国国家标准与技术研究所（NIST）发布的规范，用于定义密钥管理和密钥交换的协议。TR31通过协商和分发密钥来确保安全通信和数据保护。

TR31 Key
Block是一种远程导入密钥的方法（报文规范格式），可以导入MK/SK中的MK、PIK、MAK，或DUKPT中的IPEK。KBPK用于对Key
Block加密，终端与后台具有相同的KBPK。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里