Web科普:什么是HTTPS?为什么要购买证书?
novakon2016/04/06软件综合 IP:广东
HTTP协议中,信息以明文传输。
例如,小刚登陆科创论坛,用户名和密码都是明文传输的。因为从小刚家到科创论坛要经过很多网络设施,黑客可以在这个过程中拦截到小刚的密码。

所以,我们要加密小刚与科创论坛之间的通信。
我们先来介绍对称加密。对称加密其实就是RAR压缩包的加密方式:利用同一个密钥实现加密和解密。
假设小刚知道科创的密钥是loveKC,他利用这个密钥加密所有的数据,再发给科创,然后科创将数据用loveKC密钥解密。这个过程就很不安全,因为黑客很容易就可以知道这个密钥。大家都是论坛的普通用户,既然小刚能知道,大家都能知道。于是黑客仍然能监听到通信内容,也可以伪造通信内容。

然后介绍非对称加密。非对称加密是一个伟大的发明,具体各位可以搜索RSA算法。概念上来讲,科创论坛有两个密钥,一个是公钥,一个是私钥。公钥是公开的,所有人都知道;而私钥只有科创自己知道。用公钥加密的数据,只能用私钥解密;用私钥加密的数据,只能用公钥解密,这就是非对称加密的伟大之处。
现在,假设小刚知道科创的公钥是KCpublic,于是他用公钥加密数据,再发给科创。黑客在过程中并不能解密,因为黑客无法获得私钥。数据到达科创后,科创用私钥KCprivate解密,就能获得小刚发来的信息了。是不是很奇妙?这就是对非对称加密的一个不严谨的概括。总而言之,HTTPS需要配合一定的非对称加密技术实现其保密功能。

但是这个过程仍然不安全。黑客可以把自己伪装成科创论坛,自己生成公钥和私钥,然后把公钥发给用户。这样一来,用户很可能误以为黑客就是科创(假如这个用户对科创不是很熟的话),然后把敏感信息通过黑客的公钥加密,给黑客发过去。我靠,这可怎么防?怎样才能验证,发给我公钥的人,就真的是科创论坛,而不是黑客呢?

于是专家们研究了很久,最后给出解决方案:证书。什么是证书?比如政府颁发的营业执照,就是一种证书,它的特点是难以伪造:只要打个电话给工商局确认一下,就知道真假了。显然,要伪造一个公司很容易,但要伪造一个政府或者权威机构,就很困难了。

具体怎么操作呢?首先,由国家权威机构生成一个“国家权威非对称密钥”,其中公钥部分以“根证书”的形式强制发给每一个互联网用户。这样,就保证了任何人都可以解密并确认来自国家权威机构的信息。
而私钥,则由国安+武警重兵把守,锁在中南海里面,保证任何人不得接近。这样,就保证了任何人都不能把自己伪装成国家权威机构,发送伪造的权威信息。
随后,科创论坛的负责人坐车去中南海,填写一个《申请kechuang.org证书》的表格,并交一定数量的管理费。中南海就会利用国家权威私钥,为科创签发一个SSL证书,可以用于HTTPS。

由于这个证书里面记录了科创的域名kechuang.org,而且可以通过公开的国家权威公钥,来验证确实是国家颁发的,所以大部分的网络用户都会信任。如果一个黑客想要把自己伪装成kechuang.org,他就必须去中南海填表申请国家权威证书,结果肯定马上就被武警和国安撵了出去。这样一来,再也没有人能伪造科创的身份啦!代价就是科创必须每年向中南海支付保护费。
如果不是为了“权威”,科创自己也是可以给自己颁发证书的(也很简单,用OpenSSL套装即可),只不过所有的网络用户都不会信任。

问题1:到底有哪些权威机构,给我颁发了根证书,令我承认它们?
windows用户请打开“Internet选项”,然后点击“内容”选项卡的“证书”按钮。
QQ截图20160406135616.png
如果在这里添加科创自己颁发的根证书,浏览器就会信任之,可以省下一笔保护费。

问题2:权威机构如何保护私钥不被盗取、不被破坏?
除了国安和武警,还需要在具体软硬件上下功夫。
目前通行的解决方案叫做硬件安全模块(hardware security module, HSM),简单的讲就是一个小盒子,它内部保有私钥,可以签发证书,但几乎无法通过任何方式获取其内部私钥,相对来说也较难被破坏。
QQ截图20160406141548.jpg
注:暴利。

[修改于 8年4个月前 - 2016/04/06 23:05:45]

来自:计算机科学 / 软件综合
8
已屏蔽 原因:{{ notice.reason }}已屏蔽
{{notice.noticeContent}}
~~空空如也
红盟大使
8年4个月前 IP:广东
815276
吓到我了,第一眼还以为是HTPB,不过,即使一个黑客不能建立一个这样子的站点,但是他却可以做一个高仿站,不过相信不会有太多人中坑,所以这个协议是相当成功的
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
熊猫阿Bo
8年4个月前 IP:德国
815337
忍住不引用我的GPG介绍帖。如今有免费的CA机构,但是受行业壁垒影响,影响力极小。
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
phpskycn
8年4个月前 IP:浙江
815562
引用 熊猫阿Bo:
忍住不引用我的GPG介绍帖。如今有免费的CA机构,但是受行业壁垒影响,影响力极小。
大多数人看到一个“证书不被信任”的提升可能就方了
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
熊猫阿Bo
8年4个月前 IP:德国
815679
引用 phpskycn:
大多数人看到一个“证书不被信任”的提升可能就方了
这是PKI的一个缺点。连PGP的发明人自己都说他开创了一套东西之后全世界都陷入了可信网络、PKI的……牢笼之中!

其他形式的密码学应用方案,如今只能看密码学家们分析讨论结果并公布利害让用户自己取舍了。
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
gslbbq
8年4个月前 IP:澳门
815722
簡單易懂,的確是科普好貼。
但看到內容有一個地方有點疑問,文中提到:
“具体怎么操作呢?首先,由国家权威机构生成一个“国家权威非对称密钥”,其中公钥部分以“根证书”的形式强制发给每一个互联网用户。这样,就保证了任何人都可以解密并确认来自国家权威机构的信息。”
那有沒有可能黑客可以偽造“根证书”強制發送給互聯網用戶,這樣不就可以隨便偽裝和盜竊用戶信息了?
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
novakon作者
8年4个月前 IP:广东
815726
引用 gslbbq:
簡單易懂,的確是科普好貼。
但看到內容有一個地方有點疑問,文中提到:
“具体怎么操作呢?首先,由国家权威机构生成一个“国家权威非对称密钥”,其中公钥部分以“根证书”的形式强制发给每一个互联网用户。这样,就保证了任何人都可以解密并确认来自国家...
这个比较困难,一般操作系统会自带大量根证书,额外的证书如果要安装,需要用户确认,或者需要高级权限。一般来讲,如果黑客能直接把证书装到用户电脑里(例如欺骗用户安装),估计也不需要这么麻烦的方法来窃取用户信息了(直接欺骗用户安装木马岂不更方便)。。。。
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
gslbbq
8年4个月前 IP:澳门
815744
原來如此...
因為看到強制發給用戶這樣的字眼,
還以為“根證書”真的那麼神奇可以直接無視用戶操作,
如果是系統預裝的那樣倒合理很多~
感謝大神解惑,又學到一點新知識了~開心~[s::lol]
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论

想参与大家的讨论?现在就 登录 或者 注册

所属专业
上级专业
同级专业
novakon
学者 机友 笔友
文章
1256
回复
8385
学术分
16
2008/03/29注册,2年6个月前活动

已走,勿送

主体类型:个人
所属领域:无
认证方式:手机号
IP归属地:未同步
文件下载
加载中...
{{errorInfo}}
{{downloadWarning}}
你在 {{downloadTime}} 下载过当前文件。
文件名称:{{resource.defaultFile.name}}
下载次数:{{resource.hits}}
上传用户:{{uploader.username}}
所需积分:{{costScores}},{{holdScores}}下载当前附件免费{{description}}
积分不足,去充值
文件已丢失

当前账号的附件下载数量限制如下:
时段 个数
{{f.startingTime}}点 - {{f.endTime}}点 {{f.fileCount}}
视频暂不能访问,请登录试试
仅供内部学术交流或培训使用,请先保存到本地。本内容不代表科创观点,未经原作者同意,请勿转载。
音频暂不能访问,请登录试试
支持的图片格式:jpg, jpeg, png
插入公式
评论控制
加载中...
文号:{{pid}}
投诉或举报
加载中...
{{tip}}
请选择违规类型:
{{reason.type}}

空空如也

加载中...
详情
详情
推送到专栏从专栏移除
设为匿名取消匿名
查看作者
回复
只看作者
加入收藏取消收藏
收藏
取消收藏
折叠回复
置顶取消置顶
评学术分
鼓励
设为精选取消精选
管理提醒
编辑
通过审核
评论控制
退修或删除
历史版本
违规记录
投诉或举报
加入黑名单移除黑名单
查看IP
{{format('YYYY/MM/DD HH:mm:ss', toc)}}