加密技術--天書奇譚

　　所謂數據加密（Data Encryption）技術是指將一個信息（或稱明文，plain text）經過加密鑰匙（Encryption key）及加密函數轉換，變成無意義的密文（cipher text），而接收方則將此密文經過解密函數、解密鑰匙（Decryption key）還原成明文。加密技術是網絡安全技術的基石。

　　數據加密技術要求只有在指定的用戶或網絡下，才能解除密碼而獲得原來的數據，這就需要給數據發送方和接受方以一些特殊的信息用于加解密，這就是所謂的密鑰。其密鑰的值是從大量的隨機數中選取的。按加密算法分為專用密鑰和公開密鑰兩種。

　　專用密鑰，又稱為對稱密鑰或單密鑰，加密和解密時使用同一個密鑰，即同一個算法。如DES和MIT的Kerberos算法。單密鑰是最簡單方式，通信雙方必須交換彼此密鑰，當需給對方發信息時，用自己的加密密鑰進行加密，而在接收方收到數據后，用對方所給的密鑰進行解密。當一個文本要加密傳送時，該文本用密鑰加密構成密文，密文在信道上傳送，收到密文后用同一個密鑰將密文解出來，形成普通文體供閱讀。在對稱密鑰中，密鑰的管理極為重要，一旦密鑰丟失，密文將無密可保。這種方式在與多方通信時因為需要保存很多密鑰而變得很復雜，而且密鑰本身的安全就是一個問題。

　　對稱密鑰是最古老的，一般說“密電碼”采用的就是對稱密鑰。由于對稱密鑰運算量小、速度快、安全強度高，因而目前仍廣泛被采用。

　　DES是一種數據分組的加密算法，它將數據分成長度為64位的數據塊，其中8位用作奇偶校驗，剩余的56位作為密碼的長度。第一步將原文進行置換，得到64位的雜亂無章的數據組；第二步將其分成均等兩段；第三步用加密函數進行變換，并在給定的密鑰參數條件下，進行多次迭代而得到加密密文。

　　公開密鑰，又稱非對稱密鑰，加密和解密時使用不同的密鑰，即不同的算法，雖然兩者之間存在一定的關系，但不可能輕易地從一個推導出另一個。有一把公用的加密密鑰，有多把解密密鑰，如RSA算法。

　　非對稱密鑰由于兩個密鑰（加密密鑰和解密密鑰）各不相同，因而可以將一個密鑰公開，而將另一個密鑰保密，同樣可以起到加密的作用。

　　在這種編碼過程中，一個密碼用來加密消息，而另一個密碼用來解密消息。在兩個密鑰中有一種關系，通常是數學關系。公鑰和私鑰都是一組十分長的、數字上相關的素數（是另一個大數字的因數）。有一個密鑰不足以翻譯出消息，因為用一個密鑰加密的消息只能用另一個密鑰才能解密。每個用戶可以得到唯一的一對密鑰，一個是公開的，另一個是保密的。公共密鑰保存在公共區域，可在用戶中傳遞，甚至可印在報紙上面。而私鑰必須存放在安全保密的地方。任何人都可以有你的公鑰，但是只有你一個人能有你的私鑰。它的工作過程是：“你要我聽你的嗎？除非你用我的公鑰加密該消息，我就可以聽你的，因為我知道沒有別人在偷聽。只有我的私鑰（其他人沒有）才能解密該消息，所以我知道沒有人能讀到這個消息。我不必擔心大家都有我的公鑰，因為它不能用來解密該消息。”

　　公開密鑰的加密機制雖提供了良好的保密性，但難以鑒別發送者，即任何得到公開密鑰的人都可以生成和發送報文。數字簽名機制提供了一種鑒別方法，以解決偽造、抵賴、冒充和篡改等問題。

　　數字簽名一般采用非對稱加密技術（如RSA），通過對整個明文進行某種變換，得到一個值，作為核實簽名。接收者使用發送者的公開密鑰對簽名進行解密運算，如其結果為明文，則簽名有效，證明對方的身份是真實的。當然，簽名也可以采用多種方式，例如，將簽名附在明文之后。數字簽名普遍用于銀行、電子貿易等。

　　數字簽名不同于手寫簽字：數字簽名隨文本的變化而變化，手寫簽字反映某個人個性特征，是不變的；數字簽名與文本信息是不可分割的，而手寫簽字是附加在文本之后的，與文本信息是分離的。

　　值得注意的是，能否切實有效地發揮加密機制的作用，關鍵的問題在于密鑰的管理，包括密鑰的生存、分發、安裝、保管、使用以及作廢全過程。

［上一頁］ ［下一頁］