加密与安全

一、安全设计原则：

使用成熟的安全系统
以小人之心度输入数据
外部系统是不安全的
最小授权
减少外部接口
缺省使用安全模式
安全不是似是而非
从STRIDE思考
在入口处检查
从管理上保护好你的系统

常用安全技术：认证、授权、审计和安全通信。

二、密码算法和协议：对称加密、公钥加密、单向加密和认证协议。

1、对称加密算法：加密和解密使用同一个密钥。

常见的对称加密算法有：

DES：Data Encryption Standard，56bits
3DES：
AES：Advanced (128, 192, 256bits)
Blowfish，Twofish
IDEA，RC6，CAST5

特性：

1）、加密、解密使用同一个密钥，效率高
2）、将原始数据分割成固定大小的块，逐个进行加密

缺陷：

1）、密钥过多
2）、密钥分发
3）、数据来源无法确认

2、非对称加密算法

公钥加密：密钥是成对出现。

公钥：公开给所有人；public key
私钥：自己留存，必须保证其私密性；secret key

特点：用公钥加密数据，只能使用与之配对的私钥解密；反之亦然
功能：
数字签名：主要在于让接收方确认发送方身份
对称密钥交换：发送方用对方的公钥加密一个对称密钥后发送给对方
数据加密：适合加密较小数据
缺点：密钥长，加密解密效率低下
算法：
RSA（加密，数字签名）,DSA（数字签名）,ELGamal

实现数字签名：
•发送者
生成公钥/密钥对：P和S
公开公钥P，保密密钥S
使用密钥S来加密消息M
发送给接收者S(M)
•接收者
使用发送者的公钥来解密M=P(S(M))
结合签名和加密
分离签名

数字证书：

证书类似第三方机构，由AB都信任的机构颁发，CA顶级机构叫rootCA

3、单向散列
将任意数据缩小成固定大小的“指纹”
•任意长度输入
•固定长度输出
•若修改数据，指纹也会改变（“不会产生冲突”）
•无法从指纹中重新生成数据（“单向”）
功能：数据完整性
常见算式
md5: 128bits、sha1: 160bits、sha224
sha256、sha384、sha512
常用工具
•md5sum | sha1sum [ –check ] file
•openssl、gpg
•rpm -V

实验：

一、使用gpg工具实现公钥加密

在Centos7主机上用公钥加密，在Centos6主机上解密
1、在Centos6主机上生成公钥/私钥对
gpg –gen-key

2、在Centos6主机上查看公钥
gpg –list-keys

3、在Centos6主机上导出公钥到pony.pubkey
gpg -a –export -o pony.pubkey

4、从Centos6主机上复制公钥文件到需加密的centos7主机上
scp pony.pubkey 192.168.158.7:/root/.gnupg

5、在需加密数据的centos7主机上生成公钥/私钥对
gpg –list-keys
gpg –gen-key

6、在centos7主机上导入公钥
gpg –import pony.pubkey
gpg –list-keys

7、用从centos6主机导入的公钥，加密centos7主机的文件file,生成file.gpg
gpg -e -r magedu /etc/fstab

8、复制加密文件到centos6主机
scp fstab.gpg 192.168.158.6:/data

9、在hostA主机解密文件
gpg -d fstab.gpg
gpg -o f1 -d fstab.gpg

10、删除公钥和私钥
gpg –delete-keys magedu
gpg –delete-secret-keys magedu

实验二、创建CA和申请证书

1、创建所需要的文件
touch /etc/pki/CA/index.txt 生成证书索引数据库文件
echo 01 > /etc/pki/CA/serial 指定第一个颁发证书的序列号

2、 CA自签证书
生成私钥
cd /etc/pki/CA/
(umask 066; openssl genrsa -out  private/cakey.pem 4096)

自签证书

openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3650

3、颁发证书

在需要使用证书的主机生成证书请求
给web服务器生成私钥
(umask 066; openssl genrsa -out  /etc/pki/tls/private/test.key 2048)
生成证书申请文件
openssl req -new -key /etc/pki/tls/private/test.key  -days 365 -out etc/pki/tls/test.csr

将证书请求文件传输给CA

CA签署证书，并将证书颁发给请求者
openssl ca -in /etc/pki/CA/test.csr –out  /etc/pki/CA/certs/test.crt -days 365

注意：默认国家，省，公司名称三项必须和CA一致

实验三、基于key认证

在centos6, centos7.4, centos7.5三台主机上实现基于key认证的免密登录。

实验之前用ssh服务连接远程主机需要登录密码

1、在centos6主机生成密钥对
ssh-keygen

2、在centos6主机生成公钥文件

ssh-copy-id 192.168.158.6

3、将.ssh复制远程主机家目录

scp  -pr /root/.ssh  192.168.158.7:/root

.scp  -pr /root/.ssh  192.168.158.75:/root

现在去连接远程主机可以免密登录了，并且三台主机之间互联都可以免密登录。

至此实现了三台主机之间的互联免密登录。