iOS要开始强制推行HTTPS了，大家都开始学习HTTPS的相关知识，网上很多博文一上来就讲对称加密，非对称加密，AES，RSA，和TLS和SSL协议。对于我这种没怎么深入过网络层的人来说全靠背！理解起来相当痛苦。尤其是对称加密，非对称加密，私钥加密，公钥加密，证书，数字签名，TLS和SSL是用来干嘛的，他们之间的关系，协议握手为啥要那么多，绕来绕去的，真是傻傻分不清楚。

这篇笔记就是为了理解上面所说的那些概念，知道上面提到的名词到底是啥意思，之间啥关系，以及最重要最重要的，为什么协议要那么多步骤，这些步骤存在的意思是什么，他为什么就能实现安全性？他又是怎样实现安全性的？

目录：

• 网络层-OSI模型层
• TLS和SSL之间的关系
• 对称加密（私钥加密）
• 非对称加密（公钥加密）
• 数字签名
• 协议
• 名称简写及全称

网络层：

OSI模型层：

TLS和SSL之间的关系：

SSL协议由Netscape公司开发
1995年年底发布SSL3
1996年5月TLS工作组成立，开始讲SLL从Netscape迁移至IETF
1999年1月TLS1.0面市，为了取悦Microsoft，协议进行了更名（从SSL更成TLS）
2006年4月，TLS1.1问世
...

对称加密（私钥加密）

概念：是一种混淆算法，能让数据在非安全信道上进行安全通信。为了保证通信安全，首先要得到双方都认可的加密算法和密钥（双方的密钥相同）。
密钥与加密算法：
数据在非安全信道上进行安全通信。为了保证通信安全，要用到密钥和加密算法。
为何要密钥？
即使攻击者知晓了整个密码系统除密钥以外的所有情报，系统仍然应当能保证安全

• 如果加密算法要得到广泛使用，就必须让其他人知道，当越来越多的人知道，那敌人知道的可能性就会增加。
• 没有密钥的简单算法不便于在大群体中使用，每个人都可以解密所有人的通信。
• 设计出优秀的加密算法非常困难，一种算法想要更安全，就得经过更多的曝光和审视。

如果加密算法足够优秀，攻击者只有一种方法，那就是尝试所有可能的解码密钥，俗称穷举密钥搜索（exhaustive key search），基于这一点，我们可以说密文的安全性完全取决于密钥，我们通过密钥长度来衡量加密强度，如128位的密钥有34*10^37种可能的组合。

密码：

• 序列密码
  核心：生成一串称为密钥序列的无穷序列
  加密过程：将密钥序列中的1字节与明文序列中的1字节进行异或操作
  解密过程：因为异或操作可逆，将密文序列中的1字节与密钥序列中的相同字节进行异或操作。
  关键点：序列密码决不能第二次相同的密钥
  熟知的序列密码：RC4（简单，但以不再安全）
• 分组密码
  核心：每次加密一整块数据，只要使用相同的密钥，每一个可能的输入组合都有唯一的输出。因此在输入上制造一个小变化（例如在任意一处变换1位），从而得到大量变体。
  加密过程：接受输入并生成看似杂乱无章的输出。
  问题1：只能使用它们加密长度等于加密块大小的数据。因此需要一个方法处理任意长度的数据（填充）
  问题2：对于相同的输入，输出是相同的，这种特性使许多攻击成为可能。
  实践中的应用：使用分组密码模式的加密方案（后面有说明）来使用分组密码，来避免分组算法的问题，作为其他加密基元的基础来使用（例如散列函数，消息验证，伪随机数生成器，甚至序列密码）
  熟知的分组密码：AES
  • 填充
    追加额外的数据到明文的结尾，在TLS中，加密块的最后1字节包含填充长度，指示填充多少字节（不包含填充长度字节）

散列函数：
定义：将任意长度的输入转化为定长度的输出，散列函数的结果成为散列，适用于密码学的散列函数有以下特性：

• 单向性：给定一个散列，无法找到或者构造出生成它的信息。
• 弱抗碰撞性：给定一条消息和散列，无法找到一条不同的消息具有相同的散列。
• 强抗碰撞性：计算上无法找到两条散列相同的信息。

使用场合：以紧凑的方式表示并比较大量数据，例如比较两个文件。经常被称为指纹，信息摘要（简单称为摘要）
熟知的散列函数：SHA1，SHA256

散列函数的强度最多只是散列长度的一半

消息验证代码：
在数据的散列与数据本身分开传输时（以防攻击者可以同时修改数据和散列），散列函数可以用于验证数据完整性。
用身份验证扩展了散列函数的密码学函数：

• MAC：只有拥有散列密钥，才能生成合法的MAC
  通常与加密算法一起使用，如果没有MAC，那拦截者即使无法解码密文，也能修改密文。
• 密钥的散列（keyed-hash）：HMAC，将散列密钥和消息以一种安全的方式交织在一起。

分组密码模式：
为了加密任意长度的数据而设置的密码学方案。是分组密码的扩展。所以的分组密码模式都支持机密性。不过有些将其与身份验证连接在一起，有些模式会将分组密码直接转成序列密码。
它有多种输出模式（以下只举出2个）：

• 电码本模式（ECB）
  核心：是最简单的分组密码模式，它只支持数据长度正好是块大小的整数倍的情况，如果数据不满足这个条件就要事先填充。加密就是将数据按块大小切分，然后分别加密每一块。
  劣势：因为分组密码是确定的（输入相同，输出也相同），1、密文中出现的模式对应明文中出现的模式。2、攻击者可以发现信息是否重复。3、攻击者可以观察密文，并提交任意明文进行加密
• 加密块链接模式（CBC）
  基于ECB，SSl和TLS的主要模式，整个过程开始于生成一个随机初始向量IV，长度与加密块相等，加密前，明文的第一块内容与IV进行异或操作，这一步对明文做了掩饰，并保证密文不尽相同。对于下一个加密块使用上一个块的密文作为IV，以此类推。

  必须通过线路传输到接收端，这是解密必须的。

非对称加密（公钥加密）

为什么要有非对称加密？
对称加密无法满足以下条件：

• 随着使用它的团体成员增加，团体中的成员要共享同一个密钥，因此出现问题的几率变大了
• 我们可以两两一个密钥，这样3个人就需要3个密钥，10个人就需要45个密钥，1000个人就需要49500个密钥！

而非对称加密可以解决以上问题。
使用两个密钥，公钥和私钥，两个密钥之间存在一定的数学关系。
使用公钥加密，只有对应的私钥能解。
使用私钥加密，任何人都可以用他们相应的公钥解密（不提供机密性，可以用作数字签名）。
使用说明：你可以广泛并安全的分享你的公钥，那么任何人都可以想你发送信息，只有你可以阅读。如果他们使用各自的私钥签名，你还可以精确的知道消息出自何人之手。

注意：虽然公钥密码的属性非常有趣，但它非常缓慢，不适用于数据量大的场景，因此往往部署于身份验证和共享秘密的协商，这些秘密后续用于快速的对称加密。

数字签名

前面说过MAC就是一种电子签名，它可以使用事先安全交换的散列密钥验证真实性，虽然这种校验非常有用，但仍有不足，因为它仍然依赖于一个私有密钥。
借助于公钥密码，数字签名可以实现与现实生活中的手写签名类似，我们可以利用公钥密码的非对称性设计出一种算法，使用私钥对信息进行签名，并使用对应的公钥验证它。
实际的方式依照选择公钥的验证密码而不同，下面以RSA为例：
签名过程：
1、将需要签名的文档用散列函数得到散列。
2、将散列和一些元数据进行编码，例如使用的散列算法。
3、将编码使用私钥加密，其结果就是签名。
4、追加到文档中作为验证的依据。
验证过程：
1、接收方接收文档，并用相同的散列算法算出散列。
2、使用公钥解密，将散列解码出来。
3、对比散列算法是否正确，散列的值是否一致。
RSA的强度取决于加密，散列以及编码组件各自的强度。

协议

加密基元本身没有什么用，例如加密和散列算法。我们只有将这些元素组合成方案和协议才能满足复杂的安全需求。

实例场景：
Alice和Bob要通信。Mallory是个攻击者。
我们假设协议允许交换任意数量的消息。因为对称加密擅长对大量数据进行加密，所以选取我们最喜欢的AES算法来进行数据加密。使用AES，Alice和Bob可以安全的交换消息，Malloc看不到他们通信的内容。但是这还不够，因为Malloc还可以干其它事情，例如神不知鬼不觉的修改消息。为了解决这个问题，我们使用只有Alice和Bob知道的散列密钥计算每个消息的MAC，在发送消息的同时，也发送消息的MAC。这时Mallory再也不能修改消息了，然而他仍然可以丢弃或者重发任意消息。为了解决这个问题，我们扩展协议，为每条消息标记指定序号。最为重要的是，我们将序号作为MAC计算数据的一部分。如果发现序号出现空缺，就能知道消息丢了。如果发现序号重复，就检测重放攻击。为了得到最佳效果，我们使用某个特殊消息来标记会话结束。如果没有这个消息，Mallory能够悄悄的结束（截断）会话。如果所有措施以到位，Mallory最多只能做到阻止Alice和Bob与其他人通信。我们对此无能为力。

到目前为止，有一大块缺失：Alice和Bob如何协商得到需要的两个密钥（一个用于加密（AES的密钥），一个用于检测完整性（MAC的密钥）），同时还要当心Mallory？我们通过为协议添加两个步骤来解决这个问题：

• 使用公钥密码对会话进行身份验证。
  举个例子，Alice生成一个随机数，要求Bob对其签名以证明真的是他，Bob也要求Alice做同样的事情。
• 使用密钥交换方案对加密密钥进行秘密协商。
  举个例子，Alice可以生成所有密钥，使用Bob的公钥加密，再发送给Bob，这就是RSA密钥交换的工作方式。

最后我们协议完工时的状态是：

• 以握手阶段开始，包括身份验证和密钥交换
• 数据交换阶段，保存机密性和完整性
• 以关闭序列结束。

站在宏观的角度看，我们的协议与SSL和TLS完成的工作相似。

名词简写及全称：

SSL：secure socket layer 安全套接字层
TLS：transport layer security 传输层安全
IP：internet protocol 网络协议
TCP：transmission control protocol 传输控制协议
PKI：public key infrastructure 公钥基础设施
OSI：open systems interconnection 开放系统互联模型
AES：advanced encryption standard 高级加密标准
MAC：message authentication code 消息验证代码
HMAC：hash-based message authentication 基于散列的消息验证代码
CBC：cipher block chaining 加密块链接
RSA：en.wikipedia.org/wiki/RSA
ECB：electromic codebook 电码本
CBC：cipher block chaining 加密块链接
IV：initialization vector 初始向量

我的简书主页：www.jianshu.com/users/b92ab…