0x00 引言
上午学习了密码学在实践中的应用,从ATM及浏览器安全讲起,全面的了解了对称和非对称密码在实际生产生活中的应用.下午参观了SUTD(新加坡科学设计大学),了解其与众不同的培养方案,各行各业取得的卓越的结果,以及master和phd的招生计划.继而参观了授课教室以及工训车间,污水处理实验室以及iTrust网络安全实验室.
0x01 今日主题
Practical Cryptographic Techniques
0x02 应用密码学
The framework of cybersecurity
可以看出来密码学在网络安全之中处于最基础的地位,而密码学算法和密码学模型都是为了上层建筑服务的.只有打好密码基础,才能在安全研究领域有所作为;而只有在解决实际问题上发挥作用,密码算法与模型才实现存在的意义.
Symmetric Ciphers
对称密码的出现主要用于解决传输信息过程中对信息的加密问题.对称密码体系中,发送者和接受者共用一套密钥系统,这就出现了两个主要问题:
- 多个主体进行通讯时,密钥分发成为了主要的问题
- 通讯过程中,由于接受和发送方拥有相同的密钥,如何防止接受方伪造数据即如何实现信任问题
Asymmetric Ciphers
基于上面提出的两个问题,非对称密码应运而生.非对称密码体系同样用于解决信息的加密,在加密解密过程中,需要用到公钥和私钥.
公钥在通讯网络中处于公开状态,而私钥则由参与通讯的个体自行保管.
当然非对称密码出现之后仍然存在一些问题:
- 无法验证公钥的正确性,即存在攻击者伪造公钥窃取或者篡改传输信息的隐患.
- 一般来说,非对称密码是基于数学困难问题如大数分解问题、椭圆曲线问题及离散对数问题.在这些一般看来非常难以破解的数学问题中,存在一些特殊的情况,这就是密码体系设计过程中存在的漏洞,比如RSA中的共模攻击,运用特定的攻击方法便可以轻松地攻破整个密码体系.
- 非对称密码在加密性能上有一些劣势.
CA and TTP
- TTP:Trusty Third Party,可信任的第三方机构.有一部分是政府或者银行,但大多数情况下简单的信任第三方就可以担任TTP的角色.可信任的第三方机构在发放的公钥上进行签名,这样可以防止假公钥的出现.
- CA:Certificate Authority,CA认证,即电子认证服务,是指为电子签名相关各方提供真实性、可靠性验证的活动.证书颁发机构,即颁发数字证书的机构,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任.
Digital Signature and Digital Envelope
- 数字签名具有两个特点:
- 不能是常量.电子签名与实体签名不同.实体签名具有可辨认性.而电子签名可以通过简单的复制粘贴来进行非法验证.
- 必须是对整个文件的函数处理结果.一般来说对文件的特异性识别使用hash系列算法.
- 电子信封将对称密码和PKC结合,即通过PKC传输对称密钥.其包含对公钥和私钥的加密结果E,使用私钥加密后的密文C,以及对文件的哈希值和发送方私钥进行的签名S.
1 | E = Encrypt(PubB, KS) KS = Decrypt(PrvB, E) |
PKC and PKI
- PKC是公钥加密体系即非对称加密,由于PKC加解密过程中存在效率较低的问题,所以出现了PKI体系.
- PKI体系是对称密码与非对称密码的结合,即使用非对称加解密方式来传送对称密钥.
ETA
Electronic Transaction Act即密码学在电子商务中的应用.
0x03 一些思考
实际问题
一切以实际问题出发,不为了研究而研究,不空谈理论.密码学的发展过程代表着安全的发展过程,即在问题的解决之中发展.
特殊值攻击
安全领域的研究必须要精密而完善,需要考虑到各种各样的情况,防止特殊值攻击.
SUTD
培养目标
怀抱着激情、梦想和有实力的学生,通过行动改变世界.
课外活动
学习可以在任何时间、任何地点发生.本着这一教育目标,SUTD积极支持学生开展课余活动,每周三和周五的下午不安排课程,每年一月安排一个月的活动.
招生
一年只招收500名本科生,考核过程综合考察领导能力,改变世界的能力,观点,成绩得分等多个方面.
培养方式
低年级需要学习数理化打好理科基础.高年级则在项目实践中不断学习.保证1:11的师生比,给予每个学生足够的关注.教室旁边放置房间,保证通宵学生的居住,体现学校的适度教育压力与人文关怀.
0x04 生活奇遇
电子废物
3D打印
SUTD中的中华建筑
SUTD风景照
技术车间
iTrust实验室
