数字证书中包含了由某个受信任组织担保的用户或者公司的相关信息。比如我们的身份证和护照,是由政府这个权威机构在特殊的纸上签发且盖章登记的,很难伪造,可信度很高。数字证书的所有信息都是由一个官方的“证书颁发机构”以数字方式签发的,一般包含以下内容:
任何人都可以创建一个数字证书,但并不是所有人都能获取受人尊敬的签发权,证书颁发机构CA常见的有谷歌等,一般情况下,获取一个权威机构签发的证书的费用是相当昂贵的,所以可以使用某类工具(openssl),自己注册CA组织,创建数字证书。现在大部分的证书都以X.509 V3作为一准标准格式,将证书信息规范到一些可解析的字段信息中,大致如下所示。
HTTPS协议建立一个安全的事务后,现在的浏览器会子的那个的获取所连接服务器的数字证书。如果服务器端没有证书,安全连接就会失败(但是客户端可以设置是否要校验证书的合法性)。浏览器在收到证书后需要对签名颁发机构进行检查。
如果这个机构是很有名的权威公共签名机构,浏览器可能早已知道其公钥,接下来浏览器就需要验证签名的正确性,使用公钥和解密方法,拆包获取摘要信息,如果摘要信息与证书中的摘要信息一致,则证书的完整性得到了确定。
如果浏览器对机构一无所知,浏览器无法确定是否需要信任这个组织的签名颁发的证书,通常浏览器会向用户显示一个对话框,让用户自行选择是否信任。
二、Python的密码学模块pycrypto的简单学习。
1、pycryto 库简介:
官网的手册的链接:
pycryto模块不是Python的内置模块,pycrypto模块是一个实现了各种算法和协议的加密模块的结合,提供了各种加密方式对应的多种加密算法的实现,包括 单向加密、对称加密以及公钥加密和随机数操作。hashlib和hmac虽然是Python的内置模块,但是它们只提供了单向加密相关算法的实现,如果要使用对称加密算法(如, DES,AES等)或者公钥加密算法我们通常都是使用pycryto这个第三方模块来实现。存在以下几个子包:
pycryto能实现大致3种类型的数据加密(单向加密、对称加密 和非对称加密),产生随机数,生成密钥对,数字签名。
A、单向加密,Crypto.Hash其中中包含MD5、SHA1、SHA256等,这些算法又称为“哈希算法”或“散列算法”或“数据摘要算法”。Python内置的hashlib和hmac也可以实现。
B、对称加密,Crypto.Cipher,如常见的DES等。
C、非对称加密,Crypto.Cipher ,如常见的AES加密等。
D、随机数操作,Crypto.Random,也可以使用Python内置的random模块和secrets模块产生。
E、生成密钥对,Crypto.PublicKey,支持生成RSA算法的密钥对生成。
F、数字签名与验签,可能需要使用到Crypto.PublicKey,Crypto.Hash,Crypto.Signature。
2、安装
pycryto不是Python的内置模块,所以在使用它之前需要通过Python模块管理工具(如pip)来安装,通过使用命令安装:pip install pycryto。pycrypto模块是用C语言实现的,Python模块管理工具在安装它时需要使用C/C++编译工具对它的代码进行编译。这一点需要注意下,可能安装的时候会报错。
3、实例
A. 使用SHA256算法获取一段数据的摘要信息
from Crypto.Hash import SHA256
hash = SHA256.new()
hash.update('Hello, World!')
digest = hash.hexdigest()
print(digest)
B、AES/ECB/PKCS5Padding加密。