加密与安全(个人笔记)

信息安全防护的目标

保密性 Confidentiality
完整性 Integrity
可用性 Usability
可控制性 Controlability
不可否认性 Non-repudiation

安全防护环节

物理安全：各种设备/主机、机房环境
系统安全：主机或设备的操作系统
应用安全：各种网络服务、应用程序
网络安全：对网络访问的控制、防火墙规则
数据安全：信息的备份与恢复、加密解密
管理安全：各种保障性的规范、流程、方法

安全攻击： STRIDE

Spoofing 假冒
Tampering 篡改
Repudiation 否认
Information Disclosure 信息泄漏
Denial of Service 拒绝服务
DDOS 分布式拒绝服务
Elevation of Privilege 提升权限（早期centos5可以利用普通用户提权称为root模式）

安全设计基本原则

使用成熟的安全系统
以小人之心度输入数据
外部系统是不安全的
最小授权
减少外部接口
缺省使用安全模式
安全不是似是而非
从STRIDE思考
在入口处检查
从管理上保护好你的系统

安全算法

常用安全技术

认证
授权
审计
安全通信

加密算法和协议

对称加密
公钥加密
单向加密
认证协议

对称加密算法

特点：
1、加密、解密使用同一个密钥，效率高
2、将原始数据分割成固定大小的块，逐个进行加密
缺陷：
1、密钥过多
2、密钥分发
3、数据来源无法确认

非对称加密算法

发送者
使用接收者的公钥来加密消息M 将P(M)发送给接收者
接收者
使用密钥S来解密：M=S(P(M))
实现数字签名：
发送者生成公钥/密钥对：P和S 公开公钥P，保密密钥S 使用密钥S来加密消息M 发送给接收 S(M)
接收者使用发送者的公钥来解密M=P(S(M))
结合签名和加密
分离签名

gpg工具

对称文件
gpg -c 可以生成一个对称的加密文件，生成一个加密文件
gpg -d 可以解开加密文件，只是在屏幕上打印，（-o 新文件名）可以生加密前的文件

非对称加密

生成公钥私钥对
在hostA主机上生成公钥/私钥对 gpg --gen-key
在hostA主机上查看公钥 gpg --list-keys
在hostA主机上导出公钥到wang.pubkey gpg -a（ask码转化，生成一个可以看懂的文件) --export -o（导出） wang.pubkey

实现公钥的安全传输CA

PKI：Public Key Infrastructure
签证机构：CA（Certificate Authority）
注册机构：RA
证书吊销列表：CRL
X.509：定义了证书的结构以及认证协议标准版本号序列号签名算法颁发者有效期限主体名称
安全协议 SSL：Secure Socket Layer TLS: Transport Layer Security
功能：机密性，认证，完整性，重放保护 (第一次发放同样的信息认可，第二次就不认可了)

openssl命令搭建CA

对称密钥
openssl enc -e(加密) -des3(用什么加密) -a(加密之后用Base64编码重新编码，以可视状态呈现，如果不加加密文件以二进制来呈现) -salt(添盐，在不加盐的情况密码一样，加密结果也是一样) -in testfile -out(输出) testfile.cipher

解密 openssl enc -d(解密） -des3 -a -salt –in testfile.cipher -out testfile

dgst命令：指定hash值

openssl dgst -md5 [-hex默认] /PATH/SOMEFILE
passwd命令生成加密口令
openssl passwd -1(算法） -salt（指定盐） SALT(最多8位)
用加加密口令创建用户

rand随机

openssl rand -base64 9 产生随机的密码
genrsa生成私钥对

可以从私钥退出公钥，不可以从公钥中退出私钥
openssl rsa -in PRIVATEKEYFILE –pubout –out PUBLICKEYFILE

搭建CA

openssl x509 -in CA路径 -noout -text查看已有ca

申请CA认证

需要国家省份单用途一致（如果向要修改需要修改策略/etc/pki/tls/openssl.cnf）

签发CA认证

serial为16进制

吊销证书

查看crl文件： openssl crl -in /etc/pki/CA/crl.pem -noout -text