对称加密
加密和解密的**相同。效率高。
非对称加密
加密和解秘的**不同。安全性高。有两对,每对中一把是公钥,一把是私钥。公钥加密的信息只有私钥能解。私钥加密的信息只有公钥能解。
客户端给外卖网站发送的时候,用外卖网站的公钥加密。外卖网站给客户端发送消息的时候,使用客户端的公钥。
数字证书
外卖网站需要把公钥传给客户端,但是客户端如何验证这个公钥一定是外卖网站给的,而不是黑客?
数字证书可以验证外卖网站公钥的合法性,由权威机构(Certificate Authority,CA)颁发,权威机构的合法性由上层权威机构证实,层层向上追溯,直到root权威机构。
数字证书中有颁发者、被颁发者、有效期、外卖网站的公钥、签名算法。
CA用自己私钥通过签名算法给数字证书签名。
签名算法大概这样工作:对信息做一个Hash计算,得到一个Hash值,该过程不可逆。信息发送出去是,把该Hash值加密后,作为签名和信息一同发出。
这样,客户端会从外卖网站得到证书。如果不信任该证书,可以一直上溯,直到一个受信的CA。信任了该证书后,需要获得颁发该证书的CA的公钥,用该CA的公钥解密外卖网站证书的签名,解密成功后,如果Hash对的上,说明外卖网站的公钥没问题。
还有一种证书,称为Self-Signed Certificate,自己给自己签名,如根证书。
HTTPS 工作模式
非对称加密算法传输对称**,保证传输安全;对称加密算法传输大量实际通信内容,保证传输效率。
重放与篡改
Timestamp和Nonce随机数联合起来,可做 一个不可逆的签名,防止黑客将截获的包发送多次。
该签名是唯一的,同样的请求只接受一次。
如果黑客篡改Timestamp或Nonce,用签名算法解不出来,就会丢弃。