一、TLS和SSL

数字证书允许在其他不受信任的网络上安全交换公钥。传输加密技术，如传输层安全(Transport Layer Security或TLS)，使用这些证书来促进公共网络的安全通信。让我们通过描述两个系统希望建立一个受TLS保护的加密会话时所遵循的过程来探索TLS：

首先，客户端向服务器发送一个请求，要求服务器启动一个安全会话。这个请求包括一个客户端所支持的密码套件的列表(cipher suites)。

我们需要知道是，TLS只是一个使用其他加密算法的协议。TLS本身不是一种加密算法。因此，我们不能用TLS加密东西。但可以用TLS来应用其他加密算法。客户端发送至服务器的密码套件列表是一份加密算法、哈希函数和其他客户理解的加密细节的详细列表。因此，通过选择一个弱的或不安全的密码套件，有可能以不安全的方式使用TLS。一旦服务器收到来自客户端的请求，它将分析客户端提出的密码套件列表，并将其与服务器支持的算法列表进行比较。然后，服务器向客户发送一个带有两个信息的消息。首先，服务器告诉客户，它想在通信中使用哪种密码套件。第二，服务器向客户端发送服务器的数字证书，其中包含服务器的公钥。

当客户端收到服务器的数字证书时，客户端会检查是哪个证书机构颁发的证书，并使用CA的公钥来验证证书上的数字签名。它还验证证书上的服务器名称是否与服务器的DNS名称相符，以及证书是否已经过期或被撤销。如果所有这些东西都检查出来了，客户就知道它有正确的服务器的公钥。

一旦客户对服务器的身份感到满意，客户端就会创建一个称为会话密钥(Session Key)的随机加密密钥。这是一个对称的加密密钥，将用于客户端和服务器之间的这个通信会话。然后，客户端使用服务器的公钥来加密会话密钥，并将加密后的密钥发送给服务器。

当服务器收到加密的密钥时，它使用自己的私钥来解密会话密钥。然后，两个系统可以使用该会话密钥进行通信，只要他们愿意。一旦他们关闭连接，会话密钥就会被销毁，TLS握手就会在两个系统希望进行通信时重新开始。需要补充的是，会话密钥也被称为短暂的密钥(ephemeral key）

安全套接字层的加密技术(Secure Sockets Layer)，即SSL。SSL是TLS的前身，它们的工作方式非常相似。然而，SSL存在着已知的安全缺陷，所以它不应再被使用。不幸的是，许多人把SSL作为一个通用术语，而他们真正谈论的是TLS。这可能非常令人困惑，所以每当我们听到有人使用SSL这个术语时，都要小心地深入了解。

二、信息权利管理(Information rights managements)

信息权利管理或IRM计划是为了执行一个组织的信息安全政策。他们通过实现三个目标来做到这一点：

执行数据权利，以防止信息落入未经授权的手中;为雇员、合作伙伴和其他授权用户提供访问权，并实施访问控制模式;在不同的平台和系统上一致地执行访问政策。

数字版权管理(Digital Rights Management)或DRM软件是企业建立IRM计划的重要工具之一。DRM为内容所有者提供了防止未经授权使用其内容的技术能力。DRM使用加密技术，使那些不具备必要许可的人无法查看内容。多年来，内容所有者已将这种技术应用于音乐、电影、书籍、视频游戏和其他电子内容。DRM技术最知名的例子是使用加密技术保护音乐文件。企业也使用DRM技术来保护自己的知识产权。他们可以购买DRM解决方案，允许他们控制对商业秘密和其他敏感商业信息的访问。DRM在保护一个组织的知识产权方面发挥着重要作用，使其不被竞争者和其他对手所掌握。

三、专用案例

密码学用例1：

一些设备在极低的功率水平下运行，并且对节约能源非常重视。例如，用有限的电源将卫星送入太空。为了从该电源中获得尽可能多的寿命，需要花费数千小时的工程。类似的情况发生在地球上，远程传感器必须使用太阳能、小型电池或其他有限的电源来传输信息。智能卡是另一个低功率环境的例子。智能卡必须能够与智能卡读卡器进行安全通信，但只能使用存储在卡上的能量或通过磁场传递给它的能量。在这些情况下，密码学家通常会设计专门的硬件，专门用来实现轻量级的加密算法，并尽可能减少电力支出。

密码学用例2：

当我们需要非常低的延迟的时候，这意味着加密和解密不应该花费很长的时间。加密网络链接是需要低延迟密码学的一个常见例子。数据在网络上快速移动，加密需要尽可能快地完成，以避免成为一个瓶颈。专门的加密硬件也能解决许多低延迟的要求。例如，专用的V-P-N硬件设备可能包含加密硬件，以高效的形式实现加密和解密操作，使速度最大化。

密码学用例3：

对隐私的关注也为加密引入了一些专门的用例。例如，我们想保护个人记录的隐私，但也想对数据进行计算。同态加密技术(Homomorphic encryption technology)可以做到这一点，它可以以一种保留对数据进行计算的能力的方式下，对数据进行加密。

四、区块链(Blockchain)

区块链是一个分布式的(distributed)、不可改变的(immutable)、有时是公开的账本。这意味着区块链可以以一种方式存储记录，将这些记录分布在位于世界各地的许多不同系统中，并以防止任何人篡改这些记录的方式进行存储。也就是，区块链创造了一个无人可以篡改或破坏的数据存储。

区块链的第一个主要应用是加密货币，其最初也是作为比特币的基础技术被发明的，它允许在不使用中心化机构的情况下追踪比特币交易。通过这种方式，区块链允许存在一种没有中央监管机构的货币，比特币交易的权力分布在比特币区块链的所有参与者之间。虽然加密货币是迄今为止最受关注的区块链应用，但分布式不可变账本(distributed immutable ledger)还有许多其他用途，以至于区块链技术的新应用似乎每天都在出现。例如，财产所有权记录可以从区块链应用中获得巨大的好处。这种方法在一个透明的公共存储库中取代了这些记录，防止了故意或意外的损害。区块链也可用于追踪供应链，如食品的供应链。这种方法可以为消费者提供信心，因为可以看到他们的产品来自有信誉的来源，也允许监管机构轻松追踪被召回产品的来源。区块链应用还可以跟踪重要记录，如护照、出生证明和死亡证明。

参考资料来源：

/learning/paths/become-a-comptia-security-plus-certified-security-professional-sy0-601

如果觉得《Security+ 学习笔记19 密码学应用》对你有帮助，请点赞、收藏，并留下你的观点哦！