第7章 PKI 和加密应用

Public keys are freely shared; private keys are kept secret.

公钥可以自由共享，私钥必须保密。

别人用你的公钥给你加密，只有你的私钥能解开。

加密机密消息用接收者公钥；解密用接收者私钥。

RSA relies on the difficulty of factoring large primes.

RSA 依赖大素数乘积分解的困难性。

把两个大质数相乘容易，反推它们很难。

RSA 常考：Rivest、Shamir、Adleman，大整数分解。

Merkle-Hellman was proven ineffective.

Merkle-Hellman 已被证明无效。

它有历史意义，但不应作为现代安全选择。

看到 Knapsack 背包算法，记住已被破解。

ElGamal extends Diffie-Hellman.

ElGamal 是 Diffie-Hellman 的扩展。

它基于离散对数问题，可用于加密和签名。

ElGamal 关键词：DLP、Diffie-Hellman extension。

ECC provides equivalent security with shorter keys.

ECC 用更短密钥提供等效安全强度。

同样安全强度下，ECC 密钥更短、计算更轻。

3072 位 RSA 大致对应 256 位 ECC。

Diffie-Hellman creates a shared secret.

Diffie-Hellman 用于创建共享秘密。

它主要用于协商会话密钥，不是直接拿来加密消息正文。

TLS 中常用 DHE/ECDHE 协商对称会话密钥。

Key length comparisons vary by cryptosystem.

不同密码系统的密钥长度比较不同。

256 位 ECC 不是比 3072 位 RSA 弱，算法数学基础不同。

密钥长度题要看算法族，不是只看数字大小。

A 3,072-bit RSA key is equivalent to 256-bit ECC.

3072 位 RSA 与 256 位 ECC 大致等效。

ECC 适合资源受限或需要更短证书和更快握手的场景。

这个换算是 CISSP 常见记忆点。

Quantum computing may make popular algorithms insecure.

量子计算可能使流行算法不安全。

强量子计算会冲击依赖分解和离散对数的算法。

RSA、Diffie-Hellman、ECC 都属于量子风险高的传统公钥算法。

Quantum key distribution has laboratory implementations.

量子密钥分发已有实验室实现。

QKD 用量子性质协助分发密钥，但现实部署受距离和设备限制。

QKD 不等于通用量子加密落地，考试注意 practical limitations。

Post-quantum cryptography resists quantum attacks.

后量子密码用于抵抗量子攻击。

它是在传统计算机上运行、但设计为抗量子攻击的算法。

后量子迁移是算法生命周期和加密敏捷性的体现。

Cryptographic algorithms become obsolete.

密码算法会过时。

今天安全的算法，未来可能因为算力或攻击进步而需要替换。

看到 crypto agility、migration、deprecation，想到算法生命周期管理。

Hash functions create message digests.

哈希函数生成消息摘要。

摘要像指纹，不能还原成原文。

问 reversible 或 decrypt，哈希通常不是答案。

Hash functions have basic requirements.

哈希函数有基本要求。

任意输入、固定输出、易计算、单向、抗碰撞。

碰撞是两个不同输入产生相同摘要。

MD5 is vulnerable to collisions.

MD5 容易发生碰撞。

仍可能在旧系统里见到，但不适合保证完整性。

看到 MD5 保护完整性，多半是错误或过时选项。

SHA-2 and SHA-3 provide stronger options.

SHA-2 和 SHA-3 提供更强选项。

SHA-2 常见 224、256、384、512 位输出；SHA-3 是不同结构的替代方案。

SHA-1 已不推荐，现代优先 SHA-2/SHA-3。

Other hash algorithms include RIPEMD and HAVAL.

其他哈希算法包括 RIPEMD 和 HAVAL。

考试主要识别名字和输出长度类别，不必深挖实现。

HAVAL 可变长度，RIPEMD 有多个版本。

Salting helps protect passwords.

加盐有助于保护密码。

盐让相同密码的哈希也不同，防彩虹表和批量撞库。

密码存储优先用专用密码哈希和 salt，不是普通快速哈希。

Digital signatures use a hash and a private key.

数字签名使用哈希和私钥。

先对消息做摘要，再用发送者私钥签摘要。

签名用发送者私钥，验证用发送者公钥。

Digital signatures provide integrity and nonrepudiation.

数字签名提供完整性和不可否认性。

能证明消息没改，也能证明是某私钥持有人签的。

不可否认性不要选共享密钥方案。

HMAC uses a shared secret key.

HMAC 使用共享秘密密钥。

双方都知道同一密钥，都能生成和验证 MAC。

HMAC 提供完整性和认证，但不提供不可否认性。

FIPS 186-5 specifies digital signature standards.

FIPS 186-5 规定数字签名标准。

DSS 是美国联邦数字签名标准体系。

DSS 相关算法包括 RSA、ECDSA、EdDSA 等。

Use the recipient's public key for confidential messages.

机密消息使用接收者公钥加密。

想保密，找接收者；想签名，找发送者。

口诀：保密用对方公钥，签名用自己私钥。

HMAC is more efficient than digital signatures.

HMAC 比数字签名更高效。

内部系统共享密钥校验完整性时，HMAC 常更轻量。

需要不可否认性时，不能只用 HMAC。

PKI uses CAs to generate certificates.

PKI 使用 CA 生成证书。

证书像身份证，证明这个公钥属于这个主体。

PKI 解决 public key belongs to whom 的信任问题。

X.509 defines digital certificate structure.

X.509 定义数字证书结构。

证书字段包括颁发者、主题、有效期、公钥、签名算法等。

ITU X.509 是数字证书标准。

Certificate authorities issue certificates.

证书颁发机构签发证书。

CA 用自己的私钥签证书，浏览器用 CA 公钥验证。

信任 CA 就会信任该 CA 签发的证书。

Trust chains trace back to a root CA.

信任链追溯到根 CA。

根 CA 通常离线保护，中间 CA 承担日常签发。

浏览器验证链：服务器证书 → 中间 CA → 受信任根 CA。

Registration authorities verify identities.

注册机构负责验证身份。

RA 可以替 CA 做身份审查，但不一定签发证书。

身份验证职责常对应 RA，证书签发常对应 CA。

Organizations may run internal CAs.

组织可以运行内部 CA。

企业内部系统可信任自建 CA，节省外部证书成本。

内部 CA 适合内部身份和设备证书，不一定被公网浏览器信任。

Enrollment proves identity to a CA.

注册过程向 CA 证明身份。

申请证书前，要先让 CA 相信你是谁。

Enrollment 是证书生命周期的早期步骤。

A CSR requests a signed certificate.

CSR 请求签名证书。

CSR 包含主体信息和公钥，CA 验证后签发证书。

CSR 不应包含私钥。

EV certificates provide higher assurance.

EV 证书提供更高保证级别。

DV 只验证域名控制，EV 会做更严格组织验证。

assurance level 高低是 DV/OV/EV 的核心区别。

Certificates may be revoked.

证书可能被吊销。

私钥泄露、错误签发、主体变化，都可能需要吊销。

证书有效期未到也可能因 revocation 失效。

CRLs list revoked certificate serial numbers.

CRL 列出已吊销证书的序列号。

CRL 像黑名单，但更新和下载有延迟。

CRL 的弱点是延迟和列表体积。

OCSP provides real-time certificate validation.

OCSP 提供实时证书验证。

浏览器向 OCSP 服务器询问证书状态：有效、吊销或未知。

OCSP Stapling 由服务器附带近期 OCSP 响应，减轻 CA 负担。

DER, PEM, PFX, and P7B are certificate formats.

DER、PEM、PFX 和 P7B 是证书格式。

DER 是二进制，PEM 是文本，PFX/P12 常含私钥和证书链。

不要只靠 .crt 后缀判断格式，.crt 可用于 DER 或 PEM。

TLS is a well-known example of hybrid cryptography.

TLS 是混合密码的著名例子。

先用公钥技术协商，再用对称密钥加密大量数据。

hybrid = asymmetric for exchange/signature + symmetric for bulk encryption。

Portable devices should use full disk encryption.

便携设备应使用全盘加密。

笔记本丢了，磁盘加密能保护静态数据。

Windows 常见 BitLocker/EFS，macOS 常见 FileVault。

TPM stores and manages encryption keys.

TPM 存储并管理加密密钥。

TPM 是主板上的安全芯片，常辅助全盘加密。

TPM 可防止简单拆盘读取密钥。

PGP secures email messages.

PGP 用于保护电子邮件消息。

PGP 早期由 Phil Zimmermann 推出，常与密钥环和信任网络相关。

PGP 和 S/MIME 都是邮件加密考点。

S/MIME became a de facto email standard.

S/MIME 成为加密邮件事实标准。

S/MIME 基于证书和 PKI，企业邮件常见。

S/MIME 关键词：certificates、RSA、enterprise email。

SSL is no longer secure; TLS replaced it.

SSL 已不再安全，TLS 取代了它。

很多人口头说 SSL，其实应检查是否使用现代 TLS。

HTTPS 通常 TCP 443；TLS 1.2 是最低安全选项，TLS 1.3 更推荐。

Cipher suites identify algorithms used by TLS.

密码套件标识 TLS 使用的算法。

套件名称会说明批量加密、模式和哈希等组件。

TLS_AES_256_CBC_SHA384 这类字符串能读出算法组合。

Higher-layer encryption is often end-to-end.

较高层加密通常是端到端加密。

不同 OSI 层加密，保护范围不同。

SSH 是端到端加密的常见例子。

SSH-1 is no longer considered secure.

SSH-1 已不再被认为安全。

SSH-2 增强了抗 MITM、窃听和 IP/DNS 欺骗能力。

SSH-2 支持 SFTP 和通道复用。

IPSec establishes secure IP communications.

IPSec 建立安全 IP 通信。

它是一套架构，不是单一算法。

IPSec 两个核心协议：AH 和 ESP。

AH provides integrity; ESP provides confidentiality.

AH 提供完整性，ESP 提供机密性。

AH 不加密内容；ESP 能保护数据包内容。

考试常问 AH 是否提供 confidentiality，答案是否。

IPSec has transport and tunnel modes.

IPSec 有传输模式和隧道模式。

传输模式常端到端，隧道模式常网关到网关。

VPN 网关场景多联想到 tunnel mode。

Tor provides anonymous routing.

Tor 提供匿名路由。

多层加密和中继节点像剥洋葱一样隐藏路径。

Tor 关注匿名性，不等于所有风险都消失。

Steganography hides messages inside files.

隐写术把消息隐藏在文件中。

加密隐藏内容，隐写隐藏消息存在本身。

LSB 最低有效位常用于图像隐写。

Blockchain uses cryptographic hashes.

区块链使用密码学哈希。

哈希链把区块串起来，篡改会破坏后续链条。

区块链不是等于加密货币，核心包含哈希、签名和分布式账本。

Lightweight cryptography supports constrained devices.

轻量级密码支持受限设备。

IoT 设备算力、电量、内存有限，需要更轻的算法。

low-power、low-latency、IoT 常联想到 lightweight cryptography。

Homomorphic encryption allows computation on encrypted data.

同态加密允许对加密数据进行计算。

不用先解密也能计算，适合隐私计算场景，但成本高。

关键词 compute while encrypted，选 homomorphic encryption。

Brute-force attacks try every possible key.

暴力破解尝试每个可能密钥。

密钥空间越大，暴力破解越难。

足够长密钥和强算法是主要防护。

Birthday attacks exploit collision probability.

生日攻击利用碰撞概率。

比直觉更少的尝试就可能找到两个同摘要输入。

哈希碰撞相关题常出现 birthday attack。

Side-channel attacks use implementation clues.

侧信道攻击利用实现泄露线索。

功耗、时间、电磁、缓存行为都可能泄密。

不是破算法数学，而是破实现。

Meet-in-the-middle affected Double DES.

中间相遇攻击影响双 DES。

它从加密和解密两头夹击，导致 2DES 不如直觉强。

2DES 被放弃的重要原因是 meet-in-the-middle。

MITM sits between two parties.

中间人位于通信双方之间。

攻击者冒充双方转发或修改通信；重放则重复旧消息。

证书验证、随机数、时间戳、会话绑定可缓解相关风险。