HTTPS 到底加密了什么? (tech.upyun.com)

【简介】

先跟大家讲个故事,我初恋是在初中时谈的,我的后桌。那个时候没有手机这类的沟通工具,上课交流有三宝,脚踢屁股、笔戳后背以及传纸条,当然我只能是那个屁股和后背。

说实话传纸条真的很危险,尤其是这种早恋的纸条,被抓到就是一首《凉凉》。

点击查看全文 >>

@又拍云 2019-01-18 10:17分享 / 0个评论
赞过的人: 技术头条 又拍云
要不要再学学下面的文章?
toplip:一款十分强大的文件加密解密 CLI 工具 (linux.cn)
在市场上能找到许多用来保护文件的文档加密工具。我们已经介绍过其中一些例如 Cryptomater、Cryptkeeper、CryptGo、Cryptr、Tomb,以及 GnuPG 等加密工具。今天我们将讨论另一款叫做 “toplip” 的命令行文件加密解密工具。它是一款使用一种叫做 AES256 的强大加密方法的自由开源的加密工具。它同时也使用了 XTS-AES 设计以保护你的隐私数据。它还使用了 Scrypt,一种基于密码的密钥生成函数来保护你的密码免于暴力破解。
by @技术头条 2019-04-09 00:16 分享 查看详情
【社群话题分享】你的网站 HTTPS 了吗? (zhuanlan.zhihu.com)
为什么要使用HTTPS?HTTPS开启后是一种怎么样的体验呢?来听听小伙伴们都是怎么说的吧!
by @又拍云 2019-03-12 15:00 分享 查看详情
加密混淆,应用就安全了嘛? (mp.weixin.qq.com)
加密混淆,应用就安全了嘛?简介,全面的移动端安全知识全在这里了。
by @SELECT-FROMALL 2019-01-04 08:41 分享 查看详情
了解 HTTPS,读这篇文章就够了 (tech.upyun.com)
HTTPS 是在 HTTP 的基础上增加了 SSL 或 TLS 安全协议,这些协议有众多的套件,这些套件则是由加密算法和哈希算法组成,而这些算法最后则涉及到了数学……
by @Jerry轩5211 2018-12-28 14:07 分享 查看详情
HTTPS 到底加密了什么? (zhuanlan.zhihu.com)
那么今天我们主要聊一聊 HTTPS 到底加密了些什么内容。

先跟大家讲个故事,我初恋是在初中时谈的,我的后桌。那个时候没有手机这类的沟通工具,上课交流有三宝,脚踢屁股、笔戳后背以及传纸条,当然我只能是那个屁股和后背……
by @又拍云 2018-12-26 10:14 分享 查看详情
不是 HTTPS 拖慢网站速度,而是优化做的不够优秀 (zhuanlan.zhihu.com)
通常有得必有所失,HTTPS 虽然增加了网站安全性,但也会增加用户访问网站的时间以及服务器性能的消耗。下面我们来看看 HTTPS 面临的一些问题。
- HTTPS 多次握手,会一定程度上降低用户访问速度
- 网站改用 HTTPS 以后,由 HTTP 跳转到 HTTPS 的方式增加了用户访问耗时(多数网站采用 301、302 跳转)
- HTTPS 涉及到的安全算法会消耗 CPU 资源,需要增加大量机器(HTTPS 访问过程需要加解密)
- SSL 证书费用较很高,以及其在服务器上的部署、更新维护非常繁琐
by @又拍云 2018-08-29 10:45 分享 查看详情
Scrypt 不止是加密算法,也是莱特币的挖矿算法 (www.jianshu.com)
在密码学中,scrypt(念作“ess crypt”)是Colin Percival于2009年所发明的金钥推衍函数,当初设计用在他所创立的Tarsnap服务上。设计时考虑到大规模的客制硬件攻击而刻意设计需要大量内存运算。2016年,scrypt算法发布在RFC 7914。scrypt的简化版被用在数个密码货币的工作量证明(Proof-of-Work)上。

本文介绍了它的两种实现方式:Java的实现和Android中通过JNI来调用C的方式实现。
by @Tony沈哲 2018-08-15 00:28 分享 查看详情
用了 HTTPS 还不安全,问题就出在低版本 TLS 上 (zhuanlan.zhihu.com)
低版本的 TLS 存在许多严重漏洞,这些漏洞使得网站存在被攻击的风险,其中 POODLE 和 BEAST 这两个漏洞就较大多数人所知……
by @又拍云 2018-08-01 11:26 分享 查看详情
RSA加密、解密和签名、验签过程理解 (www.jianshu.com)
这里将A理解为客户端,B理解为服务端,可以比较好理解.

加解密过程简述
A和B进行通信加密,B要先生成一对RSA密钥,B自己持有私钥,给A公钥 --->A使用B的公钥加密要发送的内容,然后B接收到密文后通过自己的私钥解密内容

签名验签过程简述
A给B发送消息,A先计算出消息的消息摘要,然后使用自己的私钥加密消息摘要,被加密的消息摘要就是签名.(A用自己的私钥给消息摘要加密成为签名)

B收到消息后,也会使用和A相同的方法提取消息摘要,然后用A的公钥解密签名,并与自己计算出来的消息摘要进行比较-->如果相同则说明消息是A发送给B的,同时,A也无法否认自己发送消息给B的事实.(B使用A的公钥解密签名文件的过程,叫做\"验签\").

数字签名的作用:保证数据完整性,机密性和发送方角色的不可抵赖性
加密与签字结合时,两套公私钥是不同的

对签名和验签过程详细理解:
签名过程:

1. A计算消息m的消息摘要,记为 h(m)
2. A使用私钥(n,d)对h(m)加密,生成签名s, s满足:s=(h(m))^d mod n;
由于A是用自己的私钥对消息摘要加密,所以只用使用s的公钥才能解密该消息摘要,这样A就不可否认自己发送了该消息给B
3. A发送消息和签名(m,s)给B
验签过程:

1. B计算消息m的消息摘要(计算方式和A相同),记为h(m)
2. B使用A的公钥(n,e)解密s,得到 H(m), H(m) = s^e mod n
3. B比较H(m)与h(m),相同才能证明验签成功

对加密/解密和签名/验签完整过程详细理解:
A->B:
1. A提取消息m的消息摘要h(m),并使用自己的私钥对摘要h(m)进行加密,生成签名s
2. A将签名s和消息m一起,使用B的公钥进行加密,生成密文c,发送给B

B:
1. B接收到密文c,使用自己的私钥解密c得到明文m和数字签名s
2. B使用A的公钥解密数字签名s解密得到H(m)
3. B使用相同的方法提取消息m的消息摘要h(m)
4. B比较两个消息摘要。相同则验证成功;不同则验证失败
by @shengting 2018-07-31 17:06 分享 查看详情
负载均衡http自动转https的实现方法 (log.zhoz.com)

通常,http自动转https的实现方法有两种全局方式1、修改Apache2、修改.htaccess原理一样,2--5行:ServerName zhoz.com# SSLRewriteEngine OnRewriteCond %{SERVER_PORT} !^443$RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [L,R]但遇到了负载均衡服务器时,由于服务器间是通过http方式访问的,所以以上方式判断不了。用Js直接读取来处理,代码如下:<script type="text/javascript">var url = window.location.href;if (url.indexOf("https") &
by @技术头条 2018-07-05 13:43 分享 查看详情