SSL是網(wǎng)景公司發(fā)布的協(xié)議,后來被互聯(lián)網(wǎng)標(biāo)準(zhǔn)化組織接手恕齐,升級并重命名為TLS
https中的s就是ssl
SSL為了實(shí)現(xiàn)這三個(gè)目的:
1)認(rèn)證用戶和服務(wù)器,確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器
2)加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊取
3)維護(hù)數(shù)據(jù)的完整性,確保數(shù)據(jù)在傳輸過程中不被改變
小明給小白寫了一封信(HTTP)吆豹,這封信被快遞員A拿到了,他拆開信理盆,發(fā)現(xiàn)是情書:
小白痘煤,雖然你我構(gòu)造一樣,但是我愛你猿规。
1.A很反感衷快,把信改寫了:
小明,雖然你我構(gòu)造一樣姨俩,但是我愛你蘸拔。
然后把信發(fā)給了小明(發(fā)送到錯(cuò)誤的客戶機(jī))
2.A很反感,把信打印成傳單环葵,貼的滿小區(qū)都是(數(shù)據(jù)中途被竊鹊髑稀)
3.A很反感,將信改寫了:
小白张遭,你是個(gè)傻逼陨晶,咱們絕交吧。
(數(shù)據(jù)傳輸過程中被改變)
對稱加密
小明知道了快遞員的事兒帝璧,為了防止A再搞他先誉,他把信亂序了,然后把讀信的方式(先讀單數(shù)的烁,再讀雙數(shù))寫在信封夾層里:
小一白樣褐耳,,雖但然是你我我愛構(gòu)你造渴庆。
A拆開信發(fā)現(xiàn)铃芦,自己讀不懂了(無法破解密碼)這時(shí)候上面三條途徑都無法搞小明,只能乖乖把信寄給小白襟雷,或者把信扔了(網(wǎng)絡(luò)傳輸異常刃滓,無法解決)
一來二去,A終于發(fā)現(xiàn)耸弄,我曹咧虎,原來小明把密碼放在夾層里。搞明白了信的加密方式计呈,A又把小明整了一頓砰诵。
非對稱加密
這次小明沒辦法了征唬,但是他對小白的愛是擋不住的,有天請小白出來吃飯茁彭,跟小白說這件事总寒,小白給他出了個(gè)主意:
用非對稱加密的方式(公鑰加密,私鑰解密)理肺,加密信件摄闸。
小白先把公鑰的加密方式給小明,小明用公鑰加密對稱加密的密碼(對稱加密的公鑰)
小白看信的方式是這樣的:
1.用自己的私鑰解密小明對稱加密的公鑰
2.用小明的公鑰解密信件
證書
A已經(jīng)脫離了整蠱小明的最初目的妹萨,現(xiàn)在是小明和A之間智慧的較量:
A截獲并偽造小白的非對稱加密的公鑰贪薪,在小區(qū)公告板上通知所有人小白的假公鑰
小明用假的公鑰加密了自己的公鑰,并寫信給小白:我想你了眠副。
A用自己的私鑰解密小明的公鑰并解密信件画切,又把小明整蠱了一頓,還在微博上挑釁小明:呵呵囱怕,只要我掌握了傳輸渠道霍弹,你再怎么玩都玩不過我。
小明無計(jì)可施娃弓,只好求助于工會:
工會討論出一個(gè)解決辦法典格,非對稱加密的公鑰的更新和公告都必須我們工會的人去發(fā)布,這個(gè)人得有上崗證(證書)這時(shí)候工會的角色類似于瀏覽器台丛,只有持有工會認(rèn)可的上崗證耍缴,才能證明這個(gè)公鑰是合法的,不是別人偽造的挽霉。
其他
這時(shí)候有不想加入工作的組織發(fā)布了自己的上崗證(12306點(diǎn)擊查看詳情)防嗡,因?yàn)檗k理上崗證是要花錢的,而且它還把公鑰貼在小區(qū)工會搭建的公告板上侠坎,如果小明想買火車票去看小白:
1.信任這份不受工會認(rèn)可的公鑰蚁趁,才能買到票(但是快遞員A也可以仿造公鑰)
2.不信任,那就買不到
為什么不直接用非對稱加密的公鑰直接加密信件
非對稱加密之后再解密是很耗費(fèi)系統(tǒng)資源的实胸。也就是說如果用非對稱加密他嫡,小明寫給小白的信小白可能需要花費(fèi)一下午才能讀懂,但即使是現(xiàn)在這樣的方式庐完,對比起最初的HTTP(明文)钢属,還是耗費(fèi)了很多時(shí)間,包括:
1.小明用公鑰加密信件
2.小明用小白的公鑰加密自己的公鑰
3.小白用私鑰解密小明的公鑰
4.小白用小明的公鑰解密信件
沒有兩全的解決辦法门躯,要么追求速度淆党,要么追求安全,二者不可得兼
最后
SSL加密就是絕對安全的嗎?假設(shè)快遞員A直接知道算法之后宁否,多次嘗試小明的公鑰直接破解怎么辦徙鱼?暫時(shí)還沒有辦法信卡,涉及到密碼學(xué)的問題,可以看一下這個(gè)新聞:
OpenSSL又出新漏洞阅仔,超過1100萬https站點(diǎn)受影響
