加密和安全

墨菲定律

一种心理学效应，是由爱德华·墨菲（Edward A. Murphy）提出的，原话：如果有两种或两种以上的方式去做某件事情，而其中一种选择方式将导致灾难，则必定有人会做出这种选择

安全机制
信息安全防护的目标
保密性 Confidentiality
完整性 Integrity
可用性 Usability
可控制性 Controlability
不可否认性 Non-repudiation

安全防护环节
物理安全：各种设备/主机、机房环境

 

系统安全：主机或设备的操作系统
应用安全：各种网络服务、应用程序
网络安全：对网络访问的控制、防火墙规则
数据安全：信息的备份与恢复、加密解密
管理安全：各种保障性的规范、流程、方法

安全算法

常用安全技术
认证
授权
审计
安全通信
加密算法和协议
对称加密
公钥加密
单向加密
认证协议

对称加密算法

对称加密：加密和解密使用同一个密钥

DES：Data Encryption Standard，56bits
3DES：
AES：Advanced (128, 192, 256bits)
Blowfish，Twofish
IDEA，RC6，CAST5

特性：
加密、解密使用同一个密钥，效率高
将原始数据分割成固定大小的块，逐个进行加密

缺陷：
密钥过多
密钥分发
数据来源无法确

非对称加密算法

公钥加密：密钥是成对出现
公钥：公开给所有人；public key
私钥：自己留存，必须保证其私密性；secret key

特点：用公钥加密数据，只能使用与之配对的私钥解密

功能：
数字签名：主要在于让接收方确认发送方身份
对称密钥交换：发送方用对方的公钥加密一个对称密钥后发送给对方
数据加密：适合加密较小数据
缺点：密钥长，加密解密效率低下
算法：
RSA（加密，数字签名）
DSA（数字签名）

非对称加密

基于一对公钥/密钥对
用密钥对中的一个加密，另一个解密
实现加密：
接收者
生成公钥/密钥对：P和S
公开公钥P，保密密钥S
发送者
使用接收者的公钥来加密消息M
将P(M)发送给接收者
接收者
使用密钥S来解密：M=S(P(M))

CA和证书

PKI：Public Key Infrastructure
签证机构：CA（Certificate Authority）
注册机构：RA
证书吊销列表：CRL
证书存取库：
X.509：定义了证书的结构以及认证协议标准
版本号
序列号
签名算法
颁发者
有效期限
主体名称
主体公钥
CRL分发点
扩展信息
发行者签

证书获取
证书类型：
证书授权机构的证书
服务器
用户证书
获取证书两种方法：
•使用证书授权机构
生成证书请求（csr）
将证书请求csr发送给CA
CA签名颁发证书
•自签名的证书
自已签发自己的公钥

 HTTPS结构

HTTPS工作过程

 

OpenSSL

 

OpenSSL：开源项目
三个组件：
openssl：多用途的命令行工具，包openssl
libcrypto：加密算法库，包openssl-libs
libssl：加密模块应用库，实现了ssl及tls，包nss
openssl命令：
两种运行模式：交互模式和批处理模式
openssl version：程序版本号
标准命令、消息摘要命令、加密命令
标准命令：enc, ca, req

 

对称加密：
工具：openssl enc, gpg
算法：3des, aes, blowfish, twofish

基于密钥的登录方式

基于key认证实现

 在客户端生成密钥对

 

把公钥文件传输至远程服务器对应用户的家目录

 

测试结果

 

 

rsync命令
基于ssh和rsh服务实现高效率的远程系统之间复制文件
使用安全的shell连接做为传输方式

 

比scp更快，只复制不同的文件
常用选项：
-n 模拟复制过程
-v 显示详细过程
-r 递归复制目录树
-p 保留权限
-t 保留时间戳
-g 保留组信息
-o 保留所有者信息
-l 将软链接文件本身进行复制（默认）
-L 将软链接文件指向的文件复制
-a 存档，相当于–rlptgoD，但不保留ACL（-A）和SELinux属性（-X）

 删除centos6里的从centos7里传来的几个文件

在centos7主机再次执行同步命令，发现只同步刚才删除的文件