一、银行3级加密体系说明:
转:加密体系介绍(LMK、ZMK、ZAK、ZPK)_炎升的博客-CSDN博客_lmk密钥
二、加解密算法
1、分类说明
其中按国际和国内使用主要分为:通用算法和国密。
通用算法可以参考:OpenSSL 中文手册 | OpenSSL 中文网
国密算法可以参考:国密算法简单介绍
按加密用途:有对称加密算法、非对称加密算法、摘要算法
文章可以参考:常见的加密算法、原理、优缺点、用途
2、标准说明
加密算法中涉及到很多标准,里面定义了如填充方式、编码方式、加密方式等的规范。
参考文章:密码学浅谈(2):密码学标准 - X.509 与 PKCS 系列 - 知乎
ASN.1
ASN.1(Abstract Syntax Notation One) 是 ISO 和 ITU-T 的联合标准,是描述数据的表示、编码、传输、解码的灵活的记法。它提供了一套正式、无歧义和精确的规则以描述独立于特定计算机硬件的对象结构。
X.509
X.509 是密码学里公钥证书的格式标准。X.509 证书已应用在包括 TLS/SSL 在内的众多网络协议里,同时它也用在很多非在线应用场景里,比如电子签名服务。X.509 证书里含有公钥、身份信息(比如网络主机名,组织的名称或个体名称等)和签名信息(可以是证书签发机构 CA 的签名,也可以是自签名)。
PKCS 系列
公钥加密标准(Public Key Cryptography Standards, PKCS),此一标准的设计与发布皆由 RSA 资讯安全公司(英语:RSA Security)所制定。
DER
X.690 是一种 ITU-T 标准,指定了几种 ASN.1 编码格式:
- 基本编码规则(BER,Basic Encoding Rules)
- 规范编码规则(CER,Canonical Encoding Rules)
- 可分辨编码规则(DER,Distinguished Encoding Rules)
BER 是 ASN.1 标准制定的用于将数据编码为二进制格式的原始规则。这些规则在 ASN.1 用语中统称为传输语法,指定用于编码数据的确切八位字节(8 位字节)。
DER 是 BER 的子集,提供了一种对 ASN.1 值进行编码的方式。DER 适用于需要唯一编码的情况,例如在密码学中,并确保需要数字签名的数据结构产生唯一的序列化表示。DER 可以被认为是 BER 的规范形式。
PEM
互联网上使用的几个安全相关标准定义了 ASN.1 数据格式,这些格式通常使用基本编码规则(BER)或可分辨编码规则(DER)进行编码,这是二进制的编码。二进制数据格式的一个缺点是不能在文本传输(如电子邮件或文本文档)中交换。基于文本的编码的一个优点是,它们很容易使用通用文本编辑器进行修改;例如,用户可以连接多个证书以形成具有复制和粘贴操作的证书链。
3、分组加密
一般加密的过程都需要考虑:密钥长度、明文长度和密文长度问题。明文长度需要小于密钥长度,而密文长度则等于密钥长度。因此当加密内容长度大于密钥长度时,大部分加密算法都会进行分段加密。
常见的分段模式有:ECB(Electronic CodeBook mode,电子密码本模式)、CBC(Cipher Block Chaining mode,密文分组链接模式)、CFB(Cipher FeedBack mode,密文反馈模式)、OFB(Output FeedBack mode,输出反馈模式)、CTR(CounTeR mode,计数器模式)
参考文章:分组加密算法的几种工作模式 - 十一度 - 博客园
4、填充模式
大部分分组加密算法,对于长度比较长的数据,都会将数据分段成一个个的块Block再进行加密。每个块的长度都是等长的。遇到无法切割成等长的块的数据,就需要对数据进行Padding。
常见的padding算法有:
- ISO10126Padding
- OAEPPadding / OAEPWithAndPadding
- PKCS1Padding / **PKCS5Padding **
- SSL3Padding
参考文章:
分组加密中的填充介绍(PKCS1Padding / PKCS5Padding/ISO10126Padding)_pan_mlpan的博客-CSDN博客_pkcs5padding填充方式
三、Java使用过程的各种问题
1、Cannot find any provider supporting AES/ECB/PKCS7Padding
出现这个问题的原因是:java自带的是PKCS5Padding填充,不支持PKCS7Padding填充。
解决办法是:通过BouncyCastle组件来让java里面支持PKCS7Padding填充。在加解密之前加上:Security.addProvider(new BouncyCastleProvider()),并给Cipher.getInstance方法传入参数”BC”来指定Java使用这个库里的加/解密算法。
2、algid parse error, not a sequence
出现这个问题的原因是:公钥格式不对。之前遇到从加密机导出的公钥格式,跟用PublicKey.getEncode()获取到的内容不一致。加密机导出的内容少了,秘钥算法中的OID部分。文章来源:https://www.toymoban.com/news/detail-631553.html
参考文章:SNMP ASN.1 OID编码规则_沙海石的博客-CSDN博客_asn.1 oid文章来源地址https://www.toymoban.com/news/detail-631553.html
到了这里,关于安全系列(二)-银行加密体系与加解密算法速览的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!