用密码学和pki实现ssl和tsl

《用密码学和pki实现ssl和tsl》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、ImplementingSSL/TLSUsingCryptographyandPKI.——JoshuaDavies用密码学和PKI实现SSL和TSL翻译—勇敢的心第一章了解网络安全你可曾想过当你在网络上传输数据时到底有多安全吗？黑客有多容易就能获取到你的个人资料吗？即使是精通电脑的程序员们也很难给出肯定的答案。你可能知道用标准的加密算法来加密保护数据，你也可能知道像RSA和DSA等这些公开密钥的加密算法，你或许了解到AES已经取代DES成为了美国的新的数据加密标准了。每个人都知道当你使用浏览器时看到的地址栏带锁的图标意味着当前的会话正受到HTTPS的保护。你可能已经听说了用来加密邮件

2、的PGP（即使你没能说服你的朋友使用，已经放弃使用它了）。不过，在你听说过的中间人攻击方、时序攻击、边信道攻击（SCA）和其它的攻击手段都有可能性威胁到隐私和安全。每个人都遇到过用浏览器浏览网页时，提示“这个站点不受信任”，它的证书可能失效或者证书是由一个不被你信任的CA结构颁发的。每个星期，你都可以读到关于安全研究员们发现新的零日攻击漏洞消息的，这些漏洞往往需要一轮疯狂的修补。作为一名专业的程序员，你或许感到有必要弄清楚这些东西的真正含义，解读这些信息从而决定哪些是你真正应该担心的地方，让你不用掉进IETF、PKCS、FIPS、NIST、ITU和ASN的“兔子洞“（语出爱丽斯漫游记

3、意味奇妙的世界）中去。你或许试图直接看源码、研读用来介绍TLS的RFC2246文档。当你研读这些时，可能会令你感到失望，RFC2246文档需要对称加密算法、公钥加密算法、数字签名算法以及X.509证书的背景知识。你可能甚至不清楚从哪开始看起，尽管有一大堆书来介绍SSL和”网络安全“，却没有针对有技术倾向的读者所想要的，或者他们需要了解的细节知识。在安全专家们经常挂在嘴边的口头禅是普通的程序员都不了解安全，他们不能被信任直到他们在安全方面已经达到精通的程度了。这样很好，但是没有必要的建议。那么该从何处下手呢？安全专家真正想要告诉你的是，作为经常与安全打交道的而非一名普通的从业者，把安全

4、问题当成一个黑盒或者一个二进制属性都是不够的。你需要知道现在安全是在干什么，它是怎样运作的，哪些是你已经或者还没有保护到的。这本书是写给你的，作为一名专业的程序员了解到了基本的安全知识，想更进一步的了解到细节，但是不用通过阅读上千页的枯燥的技术规范文档（文档中只有少数相关的）。本书以简介的形式介绍套接字和套接字编程开始，然后继续详细的介绍加密的概念，最后将其运用到现在的互联网标准SSL/TLS上。你查看哪些是SSL/TLS所做的，哪些不是，它是怎样实现的。当你读完这本书后，你将会很清楚哪些总体安全策略是SSL适合的，如果实现额外的安全性，你该采用的步骤。安全套接层是什么？互联网是一个

5、分组交换网络，这意味着对于两个通信的主机，它们必须要分包它们要发送的数据，提交给路由将每个包数据传送到目的地。路由器接收到分包数据后，会依据接收地址将包派发到接收主机或者它所认为的下一个离接收主机更近的路由器。在RFC971中有对IP协议的概述，里面介绍了分包数据的标准操作，这些地址是如何被关联到分包数据头里面去的。发送方的一个数据包可能要经过许多路由器的转发才能到达接收方，如果数据的内容涉及到敏感的信息像一个账户口令，一张信用卡以及个人纳税号等，那么发送者希望能够发送时能够保证只有接收方才能读到这些消息，而不是被所有经过路径上的路由器读到。即使发送者信任路由服务器和它的管理者，路由

6、器也很容易受到那些在安全领域被称为黑客的危险分子所攻击，它们用欺骗的攻击手段使路由器将原本发送给目的主机的数据转发给另一个目标。