探索PKI：什么是加密?

在上篇《探索PKI：什么是加密密钥？》中，我们深入探索了关于加密密钥的定义、作用和应用场景，整体上对“加密密钥是什么”有了较为清晰的概念。为了让读者加深印象，或者说“巩固”一下知识，今天，让我们“退一步”，回到“加密”这一概念开始讲起——关于加密的故事。

1 加密是什么？

当我问GPT“加密是什么？”，它给了我以下答案：

加密是一种将明文数据转化为随机且难以理解的过程，以便使其对未经授权的人难以理解和访问。其目的是确保数据的机密性、完整性和可信性。

简单来说，加密就是“我有一个秘密，但我只想告诉你，也只有你能知道是什么。”

加密这一过程主要会涉及到两种特定类型的加密工具：

加密算法

其一是加密算法（需要符合特定的密码安全标准）：加密算法是一种将明文数据转化为密文数据的数学函数，用于将原始数据进行转换和隐藏，以生成加密后的数据。这些算法确定了加密和解密的方法。不同的加密算法具有不同的安全性和强度。

加密密钥

其二也就是我们上篇所介绍的加密密钥（需要安全生成）：加密密钥是一个安全生成的密钥或密码。它用于启动加密算法中的状态和参数，从而生成不同的加密结果。

当我们在互联网上加密一条消息时，会使用一个特殊的随机化数据字符串，称为加密密钥。密钥可以是一对唯一密钥（非对称密钥），也可以是用于加密和解密数据的单个密钥（对称密钥）。

应用密钥时，它会将我们的消息转化为无意义的乱码，这确保只有持有相应秘密密钥的人（消息的接受者）可以通过解密过程阅读消息。

下图展示了发送一个安全的加密消息的基本过程：

（图源：Hashed Out）

在继续讨论加密的作用之前，话题先延伸一下，那么，你如何知道一个网站是否使用了安全连接呢？通常情况下，它在浏览器的URL栏会显示一个小的锁图标来指示连接是安全的。有些浏览器还会使用不同颜色或其他安全指示器来突出显示。

但值得注意的是，看到挂锁图标时，并不意义着完全安全，因为这些网站可能受到黑客或网络犯罪分子的控制。因此，安全连接并不能保证网站的安全性。

那么，用户确保他们连接的是合法且安全的网站？

这时候，就是数字身份验证发挥作用的时候了，即申请一个“护照”——也就是数字证书，通过可信的第三方（证书颁发机构CA）对我们的身份进行认证，证明我们的真实性与可靠性。

这将使数据使用安全的HTTPS（超文本传输安全协议）协议传输，而非不安全的HTTP。

下图展示了在Google Chrome中的一个增强型EV SSL证书的外观，该SSL证书会显示企业的验证组织信息：

SSL证书一般有三个主要的验证级别：域名型证书（DV SSL证书）、企业型证书（OV SSL证书）以及增强型证书（EV SSL证书）。

2 为什么需要加密？

话题转回来，我们为什么需要加密？或者说我们为什么需要保护数据？原因主要有以下三点：

遵守合规要求

伴随着数字化转型浪潮席卷而来，对于数据安全保护也提出了新的要求，不断出台的数据安全相关法规和法律要求企业和组织使用加密来保护数据。

树立品牌形象、获取客户信任

对于企业而言，品牌和声誉的重要性无须过高强调。如果不保护数据，很可能在不久的将来数据就会落入网络犯罪分子手中，加密数据是保护声誉和品牌形象的关键措施之一。

这也是获得客户信任的关键。此前，ISACA研究表明，近三分之一的消费者会停止与已知危害网络安全的公司开展业务。

ISACA高级副总裁Shannon Donahue表示，向消费者证明他们正在加强网络安全计划并扩大安全人员队伍以保护客户数据安全的组织将脱颖而出，并在此过程中建立数字信任。

避免罚款、处罚和诉讼

关于这一点，在前不久就有一个案例。据北京日报消息：

市公安局昌平分局警务支援大队工作发现，北京速跑软件有限公司研发的“某数据分析系统”存在数据泄露隐患。经查，该公司研发的“数据分析系统”内存有用户敏感数据。通过进一步核实，该系统内数据信息未采用加密措施，系统服务器未采取任何网络防护措施和技术防护措施，造成19.1GB个人敏感信息暴露在互联网。同时，该公司未制定数据安全管理制度、未充分落实网络安全等级保护制度。北京市公安局昌平分局根据《中华人民共和国数据安全法》第二十七条、第四十五条第一款之规定，给予该企业警告，并处罚款五万元，责令限期改正。

这并非个例，当下因为没有履行数据安全保护义务导致存在数据泄露风险隐患被处罚的事件层出不穷。

企业和组织及个人都需要知道：安全攻击、数据泄露不再是 “可能”而是 “何时”的问题。

3 加密的应用于哪里？

加密可以应用于从数据库中存储的数据到流动在网络和物联网设备中的数据。

保护数据在传输中避免中间人攻击

使用数据传输过程中的加密可以有效保护数据免受拦截攻击，例如中间人攻击。这种加密机制有效地防止未经授权的个人或黑客从传输过程中截获数据。

保护服务器上的静止数据

如果您的数据保存在服务器上，那么自然就意味着它是安全的？

这需要打一个问号。静态数据加密在保护存储在数据库、收件箱和其他重要存储库中的数据方面起着重要作用。例如，如果有人黑了我们的电子邮件服务器，那么任何未加密的消息都面临被威胁的风险。

4 加密有哪些作用？

最后一个问题，加密有哪些作用？

总结来看，不外乎是机密性、完整性、安全性、真实性这些，包括：

保护数据的机密性

加密可以确保敏感数据只能被授权的人或实体访问和理解。通过加密，数据在转移、存储和处理过程中保持加密状态，降低了数据泄露的风险。

确保数据的完整性

通过加密，可以检测数据是否在传输或存储过程中被篡改。一旦数据被篡改，加密的完整性保护机制将导致解密时产生不匹配的结果，从而提醒接收方数据可能被修改。

鉴别数据的真实性

数字签名是利用加密技术实现数据鉴别的方式。数字签名可以验证数据的发送者身份，并确认数据在传输过程中没有被篡改。

保证通信的安全性

使用加密技术可以保护通信渠道中的数据安全，防止被未经授权的个人或实体窃听和窃取敏感信息。

保护个人隐私

加密可以在存储和传输个人数据时保护用户的隐私权，特别是在互联网上分享敏感信息时。

符合法律和合规要求

许多行业或地区都规定了保护数据隐私和安全的法律要求。通过加密，组织可以满足这些法规，并降低对数据泄露的法律和合规风险。

5 写在最后

加密的意义无须再多阐述，但值得一提的是，在利用加密技术保护数据安全的过程中，我们需要考虑一大因素，那就是密钥安全和数字证书的管理。

因为使用的加密算法的效果取决于加密密钥的安全性。如果加密密钥之一被泄露，那么将面临极大的风险，因为这意味着该密钥所加密的每一个数据都有被破解的风险。

此外，我们需要仔细跟踪和管理环境中的所有证书。例如，如果一个证书过期但仍然在我们的网站上使用，则意味着：

• 用户在网站上看到“不安全”警告消息
• 传输到网站的所有数据都是不安全的

当然，我们也看到当下有许多CA机构推出了数字证书管理平台，这值得我们去关注。

一言以蔽之，在如今的数字化世界中，网络威胁攻击无处不在，加密也应无处不在。

重要声明：本文来自公钥密码开放社区，经授权转载，有部分增减，版权归原作者所有，不代表锐成观点，转载的目的在于传递更多知识和信息。