2012-03-12 132 views
1

我對密碼學比較陌生。從我讀過的內容來看,它說AES是對稱的。因此,沒有公共和私人的概念。那麼AES如何實施以保護通過網絡傳輸的信息?AES可以用於網站安全嗎?

+0

SSL已經使用AES。 – 2012-03-12 18:59:23

+1

SSL *可以*使用AES。它也可以使用其他算法。 – 2012-03-12 19:03:34

+0

什麼你缺少的是公共密鑰加密需要*鍵交換*算法(如的Diffie-Hellman或RSA),以先確定可用於服務器之間安全地傳輸數據的專用(會話)的關鍵事實和客戶。 – SecurityMatt 2012-03-13 00:14:18

回答

2

爲了試圖解釋,當一個網站使用SSL/TLS的傳輸層上傳送的加密數據是首先建立服務器的身份(取決於所使用的證書的/或客戶端)。總之,使用非對稱加密(例如RSA)雙方(客戶端和服務器)建立連接並使用公鑰和私鑰,他們想出一個對稱密鑰,它們都可以使用該會話的剩餘部分傳輸數據。實際的對稱密鑰從不傳輸。

一旦他們這樣做,他們轉而使用對稱加密(AES,RC4等)使用,他們在前面的步驟中確定的密鑰對會話的其餘部分。對稱加密是非常快了很多,然後不對稱,因此原因交換,但由於它們不能只通過一個對稱密鑰來回需要第一步要弄清楚什麼鍵使用。

這是一個很簡單對極其複雜的任務進行了簡單的解釋,但既然你說過你是初學者,我會保持簡單。

對稱加密(AES等)通常也使用的應用中嚴格(未用於傳輸數據),用於在數據庫或文件系統中存儲加密的數據。那麼AES(或其他)就可以用於網站安全。

AES Reference

NIST FIPS 197 doc