OpenSSL

PKI:Public Key Infrastructure :公钥基础设施
    签证机构 CA
    注册机构 RA
    证书吊销列表 CRL,以便验证有些证书是过期的
    证书存取库

    X.509 :定义了证书的结构 以及认证协议标准
        版本号
        序列号
        签名算法ID 号
        发行者名称
        有效期限
        证书拥有者的名称:主体名称
        主体公钥
        CA的唯一标识
        主体的唯一标识
        扩展信息
        发行者CA的签名

SSL:secure socker layer:安全的套接字层
TLS: 传输层安全
    TLS 1.0 是 SSL 3.0的升级版
    TLS 1.1 RFC 4346
    TLS 1.2 增进了很多安全性,目前使用最多
    TLS 1.3

    应用层
        + ssl/tls(api) 
    传输层

    用到 ssl/tls 层就是安全的,不用就是不安全的。
        http:文本编码
        https:二进制编码的

        三次握手,还有ssl握手,交换秘钥,认证,基于IP 地址实现

    协议的分层设计:
        1、最底层:基础算法源语的实现。aes rsa md5
        2、向上一层:各种算法的实现
            aes-128-cbc-pkcs7(cbc是里边的库)
        3、再向上一层:组合算法实现的半成品
        4、用各种组件拼装而成的各种成品密码学协议/软件
            tls   ssh

OpenSSL: 开源项目
    三个组件:
        openssl:多用途的命令行工具
        libcrypto:公共加密库,实现了各种加密算法。直接调用
        libssl:ssl层的实现,库,实现了ssl 和tls

        如何建立连接:https

            客户端    tcp会话的建立过程三次握手      服务器端

                        ssl的握手认证
                        s发送证书给c
                        c要认证 证书,
                            1、证书发行者名称 CA
                            2、找道发行者的证书,从中提取公钥
                            3、如果能解密,CA认证通过
                            4、证书中的主体名称 www.ma.com
                            5、检查证书信息(加密解密特征码是否相同)
                            6、检查证书吊销列表,是否在其中。
        
        openssl命令行工具:
            openssl version 程序版本号    
            
            标准命令,消息摘要命令,加密命令

            标准命令:
                enc, ca, req, ...

            对称加密
                工具:openssl enc,gpg
                算法:3des,aes,....具体 openssl --help查看

                加密:
                openssl enc -e -des3 -a -salt -in /etc/fstab -out a.txt
                就将文件加密了。

                解密:
                openssl enc -d -des3 -a -salt -in a.txt -out /t/fatab
                将加密文件恢复。

            单向加密:
                工具:md5sum,sha1sum, sha224sum, sha56sum, openssl dgst

                md5sum /etc/fastab

                openssl dgst -md5 /etc/fatab
                不同工具,算法相同,一般结果一样。

                openssl dgst -md5 -hex /file :默认就是16进制

                MAC:message authentication code:消息认证吗,不验证谁发的。
                        ---单向加密的一种延伸,用于实现在网络中保证所传输的数据的完整性

                    机制:
                        CBC-MAC:
                        HMAC:使用md5或sha1 算法:用于集群之间相互信任
            生成用户密码:
                passwd命令:sslpasswd

                openssl passwd -1 -salt 123456 : 1 表示md5, salt相同,获得的结果就相同的。
                    回车后,输入密码 如 jack
                    $1$123455$h3XGOsZlrgCKrOGd0/Ma5/  :将jack加密成这样

            生成随机数:
                openssl rand -base64 4

                openssl rand -hex 4     ---4是字节

            公钥加密:
                rsa,dsa,...
                加密:
                    算法:Rsa, ELGmal
                    工具:gpg, openssl rsautl, dsa
                数字签名:
                    算法:RSA , DSA, ELGmal
                    工具:openssl rsa, dsa # 一般不手动完成
                秘钥交换:
                    算法:dh
                DSA:Digital Signature Algorithm
                DSS:数字签名标准
                RSA:

                生成秘钥对:
                    算法:genrsa, gendsa, gendh

                    私钥:
                    openssl genrsa -out /tmp/a.orivate 2048

                    公钥:从私钥中获取
                    openssl rsa -in /tmp/a.orivate -puout

                    (umask 077; openssl genrsa -out /tmp/a.orivate 2048 )
                        # 顺便修改权限 666 - 077 负数为0
                        # 加括号,表示在子shell中执行,不会影响当前的umask 


                随机数生成器:
                    软件生成的,都是有规律可循的,不是真正的随机。

                    /dev/random:仅从熵池返回随机数,随机数用尽,阻塞
                    /devurandom:从熵池返回随机数,随机数用尽,会利用该软件生成伪随机数,非阻塞

 

posted @ 2018-10-15 19:10  JerryZao  阅读(348)  评论(0编辑  收藏  举报