戏说https

戏说https

最近在看一些关于----钥匙只有上线那里有---这就是私钥    里面也包含一些能证明上线身份的东西 -----这就是数字证书（公钥+身份证明）    公钥加密，私钥解密----这就是非对称加密

我拿到这个箱子后，把暗号放到箱子里，锁好，再给上线。这个过程即使有人中间得到这个箱子也没用，因为只有上线那里有钥匙啊。至于有人会说可以撬开箱子啊什么的，那这个就牵涉到箱子的牢固度，放在网络通信里就是算法的强度，说的白点，这个箱子坚固到除了用配套的钥匙打开外别无他法。

那么问题又来了，数字证书这个方法只解决了通信过程中的安全问题，那双方的身份怎么验证真假呢？下线的的身份验证只要双方都安全的知道了暗号还好说，关键是一开始的放暗号的箱子是上线给的，上线如果是假的，或者被敌方抓住策反了，自然之后所有的接头（通信）都是不安全的了。所以对于安全的保障是基于初始的协商过程的，而不是后续的交流过程，就像前期采取措施保障了环境的安全后，后续在这个环境中就能保住是安全的。（不绝对，理论上得这么推导）。

回到验证上线身份的问题，这个上线的真假对于下线来说基本无法判断，唯一的方法就是去一个权威的地方核实一下，这个权威肯定是所有人都认可的。----这就是CA颁发机构   有人可能会说，这个权威万一也沦陷了呢？ 好吧，其实是存在这个可能的。这个其实就是信任链的问题。如果信任链顶端都有问题，那下面所有的信任都没有基础了，所以数字证书的颁发机构本身的安全相当重要啊！

上线的身份也验证了，暗号也通过安全的方式进行传输了，看似无懈可击了，那有没有什么问题了呢？细想一下，还有一个地方存在薄弱环节，那就是那个放暗号的箱子，这个箱子其实大家都可以获取到（所以叫公钥），如果这个箱子被掉包，那暗号自然也就泄露了。所以需要对这个箱子进行加固呢。谍战剧里有一个方法，就是对物品做标记，这个标记是很难被仿制或模仿的，即一但有人对这个箱子做了手脚，上线拿回这个箱子一看就知道了。-------这就是数字签名

下面梳理一下以上提到的，对称加密

2、对称加密密码传输的安全      非对称加密

3、服务器身份验证                        数字证书

4、数字证书的安全                        数字签名

发现没有，安全的问题都是一环一环的，也许为了解决某个安全问题想了一个办法，但是这个办法本身又有漏洞，于是又要想办法修补这个漏洞，循环往复，直到无懈可击（至少当下看起来是），这其实就是开头所说的技术产生于需求，技术为解决问题而生。你绝对不会看到一个技术毫无用处而被发明出来，如果有，也会迅速被淘汰。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。