- 博客(11)
- 收藏
- 关注
RSS订阅转载 林林总总的密码安全设备(三)
不一定非要使用经典的PKI,通过面部识别、大数据分析、第三方身份数据合作,再加上自身的商誉,同样可以做的身份验证,交易安全。TF卡插在手机里,具有较高的便捷性和私密性。其次,支持TF卡的移动设备一般也只有一个TF卡插槽,插入了证书TF卡载体就没办法再使用自带的数据存储TF卡。最后,TF卡是一种标准存储载体,很多设备都可以读出里面的内容,虽然内容已加密,但毕竟存在被破解的风险。通过上面的介绍可以看出,移动端的安全设备方案的不同在于数据传输方式的不同,作为载体的安全设备本身,其密码功能并没有本质的不同。
2023-08-15 18:22:57
62
转载 林林总总的密码安全设备(二)
在用户进行指纹验证时,指纹Key使用相同的算法计算采集到指纹的特征值,然后将此特征值与设备中保存的特征值进行对比,以验证用户身份。更重要的是,由于光学采集的原理就是照相,所以对于有指纹图像的物体(如高清的指纹照片、有完整指纹印记的橡皮泥),都可以采集到图像,而造成指纹验证通过。对于签发证书的CA系统来讲,密码机更是其安全保护的核心,那个签发了无数张证书,处于庞大证书链顶端的私钥,就是存放在密码机里。认假率是错误的指纹验证通过的概率,它与指纹验证的质量负相关,认假率越高,指纹验证越不靠谱。
2023-08-15 18:22:00
185
转载 林林总总的密码安全设备(一)
从开发的角度讲,如果USB Key存储的是RSA证书,那应用系统可基于CryptoAPI/CSP体系实现设备完全透明,也就是说应用系统不需要调用USB Key的任何接口,甚至不需要知道有没有USB Key,只需通过标准的CryptoAPI接口,就可以使用Key中的私钥和证书,这一点在前面已经介绍过。凡是使用私钥进行的运算,都是在USB Key中完成。另外,如果想使用USB Key存取重要的业务数据,情况就反过来了:对于支持国密算法证书的USB Key,国密库接口里包括读写数据的标准接口,对接一次即可;
2023-08-15 18:20:54
80
转载 SSL后面的密码学
客户端会生成一个随机数作为生成对称密钥的数据,叫预主密钥,然后用服务器证书的公钥加密这个密钥,并把这个加密的密钥传送给服务器,服务器用自己的私钥解密。服务器认证也叫单向认证,即客户端浏览器访问HTTPS网站时,先要对网站的真实性进行认证,认证通过后,客户端与网站之间的数据交换以密文形式进行。上述双向认证过程可能和有些网上文章描述的不同,那些文章描述的是在双向认证中,客户端直接把自己的证书发送给服务器,而不是签名,之后服务器先用客户端公钥加密服务器选定的对称加密方案,客户端收到后使用私钥解密得到。
2023-08-15 18:19:50
48
转载 密码学的骰子——随机数
而普通计算机使用的CPU或主板基本是没有这种随机数发生器功能的,因此,在密码学的应用中,随机数发生器芯片成了USBKey的标配,安全的运算,不能没有它的参与。但是在给定边界条件下,是不存在真随机数的,因为随机数范围有边界,那计算出的随机数列必然有重复。很多伪随机数列从局部看,都展现了完美的随机性,但如果你把这个随机数列拉长,就会发现它的分布也是有规律的。这是因为编程语言提供的随机数生成方法(学名叫伪随机数生成器)是靠软件算法实现的,既然是算法,那就必定遵循了一定的规律,也就有被预测的可能。
2023-08-15 18:18:54
113
转载 CAPICOM开发指引——对称加解密、数字信封及数字摘要
封装与加密最大不同在于多了一个Recipients属性,它是用来指定数字信封的接收者,实际上就是用来加密的证书(公钥)集合。参数设置完毕后,就可以调用EncryptedData 组件的Encrypt方法进行加密,此方法有一个EncodingType参数,代表加密结果的编码方式,此参数类型前文已经介绍过,不再赘述。解密成功后,访问Content属性即可得到明文。前面介绍过,在实际应用中,非对称加解密都是通过数字信封的形式实现的,所以,CAPICOM中实现非对称加解密的组件就叫做EnvelopedData。
2023-08-15 18:17:47
88
转载 CAPICOM开发指引——证书管理及数字签名
VerifyFlag的缺省值是CAPICOM_VERIFY_SIGNATURE_AND_CERTIFICATE,但在实际应用时,验证证书有效性可能会带来一些复杂的结果,所以这里推荐使用CAPICOM_VERIFY_SIGNATURE_ONLY,证书的有效性可以单独来验证。具体开发时,各位还需要参考具体文档。这里要说明的是,调用Sign方法签名时传入的是Signer对象,但验证时返回的是Signers对象,即Signer对象的集合,是因为SignedData对象支持通过调用CoSign方法实现多用户会签。
2023-08-15 18:16:42
50
转载 密码算法是安全的吗?
这种方式下图片的显示和验证结果本身是分离的,它们是通过程序功能关联的。迄今为止,这两个算法所基于的数学难题还没有被解决,所以算法的理论仍然是安全的,对算法的攻击行为仍然是基于暴力破解,当然攻击者会辅以明文、密文分析等方法加快暴力破解的速度。最后,从信息安全的更高维度看,安全本身就是一个系统的概念,它不是光靠算法或技术就能实现的,还得有正确的制度和方法,以及有能力、有责任心、能够严格遵守制度的人。首先,从算法本身讲,现代密码算法的安全性都来源于数学上的某个或多个难题,如果难题被攻破了,算法也就被攻破了。
2023-08-15 18:15:24
42
转载 Windows下密码应用开发指引
这样的结构层次界限清晰,上层应用无需知道下层CSP细节,更重要的是,通过使用不同的CSP,就可以实现不同级别的安全运算,而应用系统本身可以做到无需改造。是由各个安全厂商提供的。根据密码学“私钥永远不出Key”的圭帛,涉及到密钥的运算都需要由硬件完成,而不同硬件的原生接口千差万别,应用系统如果直接调用硬件的接口,会带来很多的重复开发,程序的可移植性和兼容性也会差很多。因此,CSP机制的意义在于屏蔽了硬件实现的不同,各个厂商提供自己的CSP,使CryptoAPI可以用同样的接口调用不同的安全硬件功能。
2023-08-15 18:14:06
81
转载 现代密码学核心——非对称加密
RSA的核心思想是产生一对密钥,这对密钥在数学上地位完全平等,它们的特点是用其中一个密钥加密生成的密文,只能用另一个密钥解密。所以在实际应用环境下,一般是将对称加密和非对称加密结合起来使用:首先随机产生一个密钥,使用这个密钥作为对称密钥加密消息明文,然后用接收者公钥加密上一步使用的对称密钥,把加密后的消息密文和对称密钥密文发送给接收者;虽然这个协议实际上提出的是密钥协商的算法,不支持加密和数字签名,但由于它开创性地提出了使用不同密钥的解决思路,人类终于可以实现非对称加密了。,另外一个密钥私藏,叫。
2023-08-15 18:04:12
57
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人