数据加密算法
目前企业面临的计算环境和过去有很大的变化,许多数据资源能够依靠网络来远程存取,而且越来越多的通讯依赖于公共网络公共网络(如 Internet ),而这些环境并不保证实体间的安全通信,数据在传输过程可能被其它人读取或篡改。
加密将防止数据被查看或修改,并在原本不安全的信道上提供安全的通信信道,它达到以下目的:
保密性:防止用户的标识或数据被读取。
数据完整性:防止数据被更改。
身份验证:确保数据发自特定的一方。
一、数据加密/编码算法列表
常见用于保证安全的加密或编码算法如下:
1、常用密钥算法
密钥算法用来对敏感数据、摘要、签名等信息进行加密,常用的密钥算法包括:
DES (Data Encryption Standard):数据加密标准,速度较快,适用于加密大量数据的场合;
DES 是一种分组密码,是两种基本的加密组块替 代和换位的细致而复杂的结合,它通过反复依次应用这两项技术来提高其强度,经过共16轮的替代和换位的变换后,使得密码分析者无法获得该算法一般特性以外 更多的信息。对于DES 加密,除了尝试所有可能的密钥外,还没有已知的技术可以求得所用的密钥。
3DES (Triple DES):是基于DES ,对一块数据用三个不同的密钥进行三次加密,强度更高;
RC2和 RC4:用变长密钥对大量数据进行加密,比 DES 快;
IDEA (International Data Encryption Algorithm)国际数据加密算法,使用 128 位密钥提供非常强的安全性;
IDEAInternation Data Encryption Algorithm )算法又叫国际数据加密算法.相对于DES 的56位密钥它使用128位密钥.每次加密一个64位的数据块。IDEA 算法的安全性相对DES 算法有很大的提高。其密钥是128位,在穷举攻击的情况下。需要经过2128次加密才能恢复出密钥,假设一个芯片能每秒产生和运行lO 亿个密钥,它将检测1013年。且被认为循环四次就可以抵御差分密码分析。因此IDEA 是非常安全的.而且它比DES 在软件实现上快得多。 IDEA 是一个迭代分组密码,分组长度为64比特,密钥长度为128比特。IDEA 的软件实现速度与DES 差不多。但硬件实现速度要比DES 快得多,快将近10倍。它将64比特的数据分成4个子块,每个16比特,令这四个子块作为迭代第一轮的输出,全部共8圈迭代。每圈迭代都是4个子块彼此间以及16比特的子密钥进行异或,MOD2加运算,MOD2+1乘运算。任何一轮迭代第三和第四子块互换。该算法
所需要的" 混淆" 可通过连续使用三个" 不相容" 的群运算于两个16比特子块来获得,并且该算法所选择使用的MA-(乘加)结构可提供必要的" 扩散" 。
RSA :由 RSA 公司发明,是一个支持变长密钥的公共密钥算法,需要加密的文件快的长度也是可变的;
DSA (Digital Signature Algorithm):数字签名算法,是一种标准的 DSS (数字签名标准); AES (Advanced Encryption Standard):高级加密标准,是下一代的加密算法标准,速度快,安全级别高,目前 AES 标准的一个实现是 Rijndael 算法;
BLOWFISH ,它使用变长的密钥,长度可达448位,运行速度很快;
其它算法,如ElGamal 、Deffie-Hellman 、新型椭圆曲线算法ECC 等。
2、单向散列算法
单向散列函数一般用于产生消息摘要,密钥加密等,常见的有:
MD5(Message Digest Algorithm 5):是RSA 数据安全公司开发的一种单向散列算法,MD5被广泛使用,可以用来把不同长度的数据块进行暗码运算成一个128位的数值;
SHA (Secure Hash Algorithm)这是一种较新的散列算法,可以对任意长度的数据运算生成一个160位的数值;
MAC (Message Authentication Code):消息认证代码,是一种使用密钥的单向函数,可以用它们在系统上或用户之间认证文件或消息。HMAC (用于消息认证的密钥散列法)就是这种函数的一个例子。
CRC (Cyclic Redundancy Check ):循环冗余校验码,CRC 校验由于实现简单,检错能力强,被广泛使用在各种数据校验应用中。占用系统资源少,用软硬件均能实现,是进行数据传输差错检测地一种很好的手段(CRC 并不是严格意义上的散列算法,但它的作用与散列算法大致相同,所以归于此类)。
3、其它数据算法
其它数据算法包括一些常用编码算法及其与明文(ASCII 、Unicode 等)转换等,如 Base 64、Quoted Printable、EBCDIC 等。
二、算法的 .NET 实现
常见的加密和编码算法都已经在 .NET Framework中得到了实现,为编码人员提供了极大的便利性,实现这些算法的名称空间是:System.Security.Cryptography 。
System.Security.Cryptography 命名空间提供加密服务,包括安全的数据编码和解码,以及许多其他操作,例如散列法、随机数字生成和消息身份验证。
System.Security.Cryptography 是按如下方式组织的:
1、私钥加密
私钥加密又称为对称加密,因为同一密钥既用于加密又用于解密。私钥加密算法非常快(与公钥算法相比),特别适用于对较大的数据流执行加密转换。
.NET Framework 提供以下实现私钥加密算法的类:
DES :DESCryptoServiceProvider
RC2:RC2CryptoServiceProvider
Rijndael (AES ):RijndaelManaged
3DES :TripleDESCryptoServiceProvider
2、公钥加密和数字签名
公钥加密使用一个必须对未经授权的用户保密的私钥和一个可以对任何人公开的公钥。用公钥加密的数据只能用私钥解密,而用私钥签名的数据只能用公钥验证。公钥可以被任何人使用;该密钥用于加密要发送到私钥持有者的数据。两个密钥对于通信会话都是唯一的。公钥加密算法也称为不对称算法,原因是需要用一个密钥加密数据而需要用另一个密钥来解密数据。
.NET Framework 提供以下实现公钥加密算法的类:
DSA :DSACryptoServiceProvider
RSA :RSACryptoServiceProvider
3、哈希(Hash )值
哈希算法将任意长度的二进制值映射为固定长度的较小二进制值,这个小的二进制值称为哈希值。哈希值是一段数据唯一且极其紧凑的数值表示形式。如果散列一段明文而且哪怕只更改该段落的一个字母,随后的哈希都将产生不同的值。要找到散列为同一个值的两个不同的输入,在计算上是不可能的,所以数据的哈希值可以检验数据的完整性。
.NET Framework 提供以下实现数字签名算法的类:
HMAC :HMACSHA1 (HMAC 为一种使用密钥的 Hash 算法)
MAC :MACTripleDES
MD5:MD5CryptoServiceProvider
SHA1:SHA1Managed 、SHA256Managed 、SHA384Managed 、SHA512Managed
4、随机数生成
加密密钥需要尽可能地随机,以便使生成的密钥很难再现,所以随机数生成是许多加密操作不可分割的组成部分。
在 .NET Framework 中,RNGCryptoServiceProvider 是随机数生成器算法的实现,对于数据算法,.NET Framework 则在其它命名空间中实现,如 Convert 类实现 Base 64 编码,System.Text 来实现编码方式的转换等。
从以上来看,.NET Framework 对于数据加密/编码还是支持比较好,大大地方便了开发人员,但美中不足的是,.NET Framework 中的数据加密算法仍然不够完全,如 IDEA 、BLOWFISH 、其它算法,如ElGamal 、Deffie-Hellman 、ECC 等,对于一些其它的数据校验算法支持也不够,如 CRC 、SFV 等,开发人员只能去从早期代码做移植或者寻找第三方厂商的实现。
数据加密算法
目前企业面临的计算环境和过去有很大的变化,许多数据资源能够依靠网络来远程存取,而且越来越多的通讯依赖于公共网络公共网络(如 Internet ),而这些环境并不保证实体间的安全通信,数据在传输过程可能被其它人读取或篡改。
加密将防止数据被查看或修改,并在原本不安全的信道上提供安全的通信信道,它达到以下目的:
保密性:防止用户的标识或数据被读取。
数据完整性:防止数据被更改。
身份验证:确保数据发自特定的一方。
一、数据加密/编码算法列表
常见用于保证安全的加密或编码算法如下:
1、常用密钥算法
密钥算法用来对敏感数据、摘要、签名等信息进行加密,常用的密钥算法包括:
DES (Data Encryption Standard):数据加密标准,速度较快,适用于加密大量数据的场合;
DES 是一种分组密码,是两种基本的加密组块替 代和换位的细致而复杂的结合,它通过反复依次应用这两项技术来提高其强度,经过共16轮的替代和换位的变换后,使得密码分析者无法获得该算法一般特性以外 更多的信息。对于DES 加密,除了尝试所有可能的密钥外,还没有已知的技术可以求得所用的密钥。
3DES (Triple DES):是基于DES ,对一块数据用三个不同的密钥进行三次加密,强度更高;
RC2和 RC4:用变长密钥对大量数据进行加密,比 DES 快;
IDEA (International Data Encryption Algorithm)国际数据加密算法,使用 128 位密钥提供非常强的安全性;
IDEAInternation Data Encryption Algorithm )算法又叫国际数据加密算法.相对于DES 的56位密钥它使用128位密钥.每次加密一个64位的数据块。IDEA 算法的安全性相对DES 算法有很大的提高。其密钥是128位,在穷举攻击的情况下。需要经过2128次加密才能恢复出密钥,假设一个芯片能每秒产生和运行lO 亿个密钥,它将检测1013年。且被认为循环四次就可以抵御差分密码分析。因此IDEA 是非常安全的.而且它比DES 在软件实现上快得多。 IDEA 是一个迭代分组密码,分组长度为64比特,密钥长度为128比特。IDEA 的软件实现速度与DES 差不多。但硬件实现速度要比DES 快得多,快将近10倍。它将64比特的数据分成4个子块,每个16比特,令这四个子块作为迭代第一轮的输出,全部共8圈迭代。每圈迭代都是4个子块彼此间以及16比特的子密钥进行异或,MOD2加运算,MOD2+1乘运算。任何一轮迭代第三和第四子块互换。该算法
所需要的" 混淆" 可通过连续使用三个" 不相容" 的群运算于两个16比特子块来获得,并且该算法所选择使用的MA-(乘加)结构可提供必要的" 扩散" 。
RSA :由 RSA 公司发明,是一个支持变长密钥的公共密钥算法,需要加密的文件快的长度也是可变的;
DSA (Digital Signature Algorithm):数字签名算法,是一种标准的 DSS (数字签名标准); AES (Advanced Encryption Standard):高级加密标准,是下一代的加密算法标准,速度快,安全级别高,目前 AES 标准的一个实现是 Rijndael 算法;
BLOWFISH ,它使用变长的密钥,长度可达448位,运行速度很快;
其它算法,如ElGamal 、Deffie-Hellman 、新型椭圆曲线算法ECC 等。
2、单向散列算法
单向散列函数一般用于产生消息摘要,密钥加密等,常见的有:
MD5(Message Digest Algorithm 5):是RSA 数据安全公司开发的一种单向散列算法,MD5被广泛使用,可以用来把不同长度的数据块进行暗码运算成一个128位的数值;
SHA (Secure Hash Algorithm)这是一种较新的散列算法,可以对任意长度的数据运算生成一个160位的数值;
MAC (Message Authentication Code):消息认证代码,是一种使用密钥的单向函数,可以用它们在系统上或用户之间认证文件或消息。HMAC (用于消息认证的密钥散列法)就是这种函数的一个例子。
CRC (Cyclic Redundancy Check ):循环冗余校验码,CRC 校验由于实现简单,检错能力强,被广泛使用在各种数据校验应用中。占用系统资源少,用软硬件均能实现,是进行数据传输差错检测地一种很好的手段(CRC 并不是严格意义上的散列算法,但它的作用与散列算法大致相同,所以归于此类)。
3、其它数据算法
其它数据算法包括一些常用编码算法及其与明文(ASCII 、Unicode 等)转换等,如 Base 64、Quoted Printable、EBCDIC 等。
二、算法的 .NET 实现
常见的加密和编码算法都已经在 .NET Framework中得到了实现,为编码人员提供了极大的便利性,实现这些算法的名称空间是:System.Security.Cryptography 。
System.Security.Cryptography 命名空间提供加密服务,包括安全的数据编码和解码,以及许多其他操作,例如散列法、随机数字生成和消息身份验证。
System.Security.Cryptography 是按如下方式组织的:
1、私钥加密
私钥加密又称为对称加密,因为同一密钥既用于加密又用于解密。私钥加密算法非常快(与公钥算法相比),特别适用于对较大的数据流执行加密转换。
.NET Framework 提供以下实现私钥加密算法的类:
DES :DESCryptoServiceProvider
RC2:RC2CryptoServiceProvider
Rijndael (AES ):RijndaelManaged
3DES :TripleDESCryptoServiceProvider
2、公钥加密和数字签名
公钥加密使用一个必须对未经授权的用户保密的私钥和一个可以对任何人公开的公钥。用公钥加密的数据只能用私钥解密,而用私钥签名的数据只能用公钥验证。公钥可以被任何人使用;该密钥用于加密要发送到私钥持有者的数据。两个密钥对于通信会话都是唯一的。公钥加密算法也称为不对称算法,原因是需要用一个密钥加密数据而需要用另一个密钥来解密数据。
.NET Framework 提供以下实现公钥加密算法的类:
DSA :DSACryptoServiceProvider
RSA :RSACryptoServiceProvider
3、哈希(Hash )值
哈希算法将任意长度的二进制值映射为固定长度的较小二进制值,这个小的二进制值称为哈希值。哈希值是一段数据唯一且极其紧凑的数值表示形式。如果散列一段明文而且哪怕只更改该段落的一个字母,随后的哈希都将产生不同的值。要找到散列为同一个值的两个不同的输入,在计算上是不可能的,所以数据的哈希值可以检验数据的完整性。
.NET Framework 提供以下实现数字签名算法的类:
HMAC :HMACSHA1 (HMAC 为一种使用密钥的 Hash 算法)
MAC :MACTripleDES
MD5:MD5CryptoServiceProvider
SHA1:SHA1Managed 、SHA256Managed 、SHA384Managed 、SHA512Managed
4、随机数生成
加密密钥需要尽可能地随机,以便使生成的密钥很难再现,所以随机数生成是许多加密操作不可分割的组成部分。
在 .NET Framework 中,RNGCryptoServiceProvider 是随机数生成器算法的实现,对于数据算法,.NET Framework 则在其它命名空间中实现,如 Convert 类实现 Base 64 编码,System.Text 来实现编码方式的转换等。
从以上来看,.NET Framework 对于数据加密/编码还是支持比较好,大大地方便了开发人员,但美中不足的是,.NET Framework 中的数据加密算法仍然不够完全,如 IDEA 、BLOWFISH 、其它算法,如ElGamal 、Deffie-Hellman 、ECC 等,对于一些其它的数据校验算法支持也不够,如 CRC 、SFV 等,开发人员只能去从早期代码做移植或者寻找第三方厂商的实现。