Day 06
线上课程:
.ACW 资安网络学院:https://www.acwacademy.org.tw/
科目:密码学概论
讲者:朱惠中
时间:2 小时
连结:https://bit.ly/3JA1hek
资安的基础理论就是密码学,老师一开始就说了这堂不讲很深的数学运作
主要的目的是让学生用科普的方式理解密码学的理论、做法;重点是观念
的建立。内容解释了对称式加密、非对称式加密有什么不同?杂凑的作用
。课程后面还介绍了一本书“世界第一简单的密码学”。
一、密码学基本观念与名词解释:
◎密码学的目标:
.传统目标(CIA):机密性、完整性、可用性
.现代/网络目标(A3CIN):身份验证、存取控制、可用性、机密性、
完整性、不可否认性。
网络的导入让原来的 CIA 增加了身份验证、存取控制的过程,对
于最后的结果还要具有不可否认性。
工业控制系统的目标:安全性。
◎技术(密码学)、管理(ISO27001), 强化技术的结果。
.A.9 存取控制
.A.10 密码
.A.13 通讯安全
◎密码学的基本概念:
.加解密就是利用某种方式将资讯打散,避免无权检视资讯内容的人看到
资讯的内容,但须允许真正获得授权的人,能看到资讯的内容。
.‘获得授权的人’是指拥有加(解)密金钥(key)的使用者
.组成组件:算法、金钥
.加密是让毫无相干的人员难以读取资讯的内容即使知道加密系统所使用
的加密算法没有金钥也无从得知资讯的内容
◎加密提供的安全服务
.机密性
.完整性
.可说明性:确认资讯的来源且不可否认这个来源。
◎相关名词
.明文:所有人都看得懂的内容。
.密文:加密的内容只有金钥的人看的懂的内容。
.金钥:
(1) 私密金钥(Secret Key):一群人拥有,加解密同一把金钥。
(2) 公开金钥(Public Key):加密使用公开金钥。
(3) 私有金钥(Private Key):解密使用私有金钥 (私人拥有)。
*公开金钥、私有金钥是成对的
(4) 交谈金钥(Session Key):一次性金钥。
(5) 杂凑函数(Hash Function):输入不一样,输出一定不一样;
输入长度不一样、输出长度均固定。
(6) 讯息鉴别码(MAC):Hash的一种(有2个输入值)只能保证完整性
、无法达到机密性。
.起始向量:解密后的资料不是真的资料还要再透过向量取得真实资料。
.数位信封:利用非对称加密技术来传送私密金钥的方法;用接收者的公
钥加密,接收者收到后用私钥解密。
.讯息摘要:利用杂凑(Hash)把较长讯息转换成较短的讯息;可视为不需
要加密金钥的算法。
.数位签章:用于签名及验证以满足不可否认的目标。
*需要加密的地方:储存、传输、运算。
二、加解密种类与密码学应用
◎对称式加密:加解密用一把钥匙需要建立安全通道送出金钥。
*替代、交换、两者混用。
◎非对称式加密:加解密用不同一把钥匙。每个人都能取得其他人的公开金钥。
*比较复杂的数学方法在做加解密:RSA, Diffie-Hellman, ECC)。
◎密码学安全的定义
.绝对安全:一次性密码。
.计算上的安全:在计算能力有限上无法破解此密文。(努力的方向)。
→用技术去解决管理的问题,用管理去强化技术的结果。
◎结论:
这堂课的概念解释之后,老师提供了很多流程图去解释这样子的加解密
用法可不可行?(有技术可行实务上不适用)也针对可行的去解释这种
方式在什么情况下适用?(电子信封、电子签章)对于实务考试用法很
有帮助。
目前为止,觉得上得最顺的一堂课,没有想睡着的感觉也似乎都懂了。
语调有点慢用1.5倍的速度看完。