第一章 與安全有關(guān)的概念
1.1 介紹
提供有關(guān)通信安全和密碼學(xué)的基本介紹。
1.2 因特網(wǎng)威脅模型
1.2.1 第一件事就是定義威脅模型（thread model）。它描述了攻擊者可望擁有的資源以及可望采用的攻擊。幾乎每一種安全系統(tǒng)都受制于某種威脅。因此在定義安全威脅時，關(guān)心的不止是定義所擔(dān)心的各種攻擊，還要定義我們不準(zhǔn)備關(guān)心的攻擊。使得保障的安全的代價切合實(shí)際，物有所值。采用的安全措施應(yīng)當(dāng)以實(shí)現(xiàn)它們的花費(fèi)不超過預(yù)期的風(fēng)險為準(zhǔn)。
1.2.2 判斷不出可接受風(fēng)險，也就設(shè)計不出可接受的系統(tǒng)。
1.2.3 風(fēng)險計算的部份工作就是評估攻擊者實(shí)施指定攻擊所花費(fèi)的努力，而每阻止一種攻擊類型通常都會增加開銷。沒有任何一種安全系統(tǒng)可以阻擋任何攻擊。安全模型的功能就是讓設(shè)計者判斷哪些攻擊值得阻止。
1.2.4 準(zhǔn)確估計所必須的安全需要對攻擊者能力的準(zhǔn)確估算。如果一種原先以為不切實(shí)際的攻擊現(xiàn)在被發(fā)現(xiàn)實(shí)施起來很簡單，那么就會存在一個暴露安全缺陷的窗口，需調(diào)整自身的安全模型和實(shí)現(xiàn)以彌補(bǔ)相應(yīng)的缺陷。
1.3 角色
通信雙方分別稱作Alice and Bob ,它是沿用RSA論文[Rivest1979]中的名字，攻擊者還是被稱為攻擊者（the attacker）。
1.4 安全目標(biāo)
通信安全由許多不同的但卻又相互關(guān)聯(lián)的特性構(gòu)成。最為有用的劃分是將其分成以下三個主要類別：
1、保密性（confidentiality）
2、信息完整性（message integrity）
3、端點(diǎn)認(rèn)證（endpoint authentication）
1.5 必要的裝備
密碼學(xué)（Cryptology）是一種設(shè)計各種用以提供安全的算法的理論。
密碼術(shù)（Cryptography）研究使用這些算法來保證系統(tǒng)和協(xié)議的安全。
加密（Encryption）算法。其思想是簡單的，它接收一些數(shù)據(jù)（稱為明文），并在密鑰（key）的控制下將其轉(zhuǎn)換成密文（ciphertext）。它被視為純粹提供保密性。好的加密算法完全應(yīng)當(dāng)由可能的密鑰數(shù)量決定其安全與否。算法的安全應(yīng)當(dāng)只依賴于密鑰的保密，算法的保密不應(yīng)當(dāng)是安全性的必要條件。
由于發(fā)送者和接收者使用同一密鑰（這個密鑰必須保密），所以也稱之為秘密密鑰加密（secret key cryptography），與公用密鑰加密（public key cryptography）形成對照。
最為流行的加密算法包括數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）[NIST1993a]，Triple-DES（三重DES）
[ANSI1985]，RC2[Rivest1998]和RC4。
消息摘要
消息摘要（Message Digest）是一種函數(shù)，它接收一個任意長度消息為輸入，并產(chǎn)生一個表示消息特征的定長字符串。它的最重要屬性就是不可逆性（irreversibility）。給字摘要什，要想計算出它所對應(yīng)的消息應(yīng)當(dāng)是極其困難的。第二個重要屬性就是要想產(chǎn)生具有相同的兩條消息M and M'應(yīng)當(dāng)是困難的。該屬性被稱為抗沖突性（collision resistance）。實(shí)際上，任何抵御沖突發(fā)生的消息摘要的強(qiáng)度只有摘要值的一半，因些一個128位的摘要值避免發(fā)生沖突的強(qiáng)度只有64位，也就是說需要大約2的64次方次操作才會產(chǎn)生一次沖突。因此，在選擇摘要值長度時的限定常常是抵御沖突的強(qiáng)度，而不是抵御可逆性的強(qiáng)度。
消息摘要的首要用途是用于計算數(shù)字簽名(digital signature)和信息驗(yàn)證碼（MAC）。
使用最廣泛的消息摘要算法為消息摘要5（MD5）[Rivest1992]和安全散列算法1（SHA-1）
[NIST1994a]。
MAC（message authentication codes信息驗(yàn)證碼）
假設(shè)Alice與Bob共享一個密鑰，Alice 想給 Bob發(fā)送一條消息，而Bob將會知道它是Alice發(fā)送的，如果她加密的話，只需將他們共享的密鑰用做加密密鑰即可。但是，這種方法并不能提供任何消息未被篡改的真正保證。只能保證消息來自Alice。我們需要一種新的工具。
這就是MAC。它類似于摘要算法，但它在計算的時候還要采用一個密鑰，因此MAC同進(jìn)依賴于所使用的密鑰以及要計算其MAC的信息。
盡管存在許多基于各種摘要算法來構(gòu)造MAC的嘗試，但是因特網(wǎng)安全團(tuán)體似乎就一種稱為
HMAC[Krawczyk1997]的構(gòu)造方法達(dá)成一致。這種方法描述了如何基于滿足某種合理假定摘要來創(chuàng)建具有可證明的安全特性的MAC，SSLv3中使用的中一種HMAC的變種，真正的HMAC在TLS中使用。
密鑰管理問題
Alice拿到我們的消息，使用共享密鑰對信息進(jìn)行加密，添加一個也是基于該密鑰構(gòu)造的MAC并將其發(fā)送給Bob。Bob收到消息，知道發(fā)送這條消息的只有Alice，因?yàn)橹挥蠥lice才具有創(chuàng)建消息上的MAC時所需的密鑰。而且能確認(rèn)信息沒有被篡改。
這種共享密鑰的方式存在問題，存在很多的密鑰，使用不方便。而且更重要的是需進(jìn)行密鑰交換，由于以電子方式交換密鑰是很不安全，所以你實(shí)際上必須與每一個與之通信的人會面。
這為通過因特網(wǎng)購買商品設(shè)置了障礙。
KDC（密鑰分發(fā)中心）
針對密鑰管理問題最流行的解決方案就是公共密鑰加密（public key cryptography,PKC）。將在下一節(jié)講述，不過也存在一種只使用目前為止所討論的工具來解決密鑰管理問題的措施。
基本思想是利用受信任的第三方，我們委托它對與我們通信的各方進(jìn)行認(rèn)證。這種第三方通常是由網(wǎng)絡(luò)上一種安全主機(jī)來實(shí)現(xiàn)的，這臺機(jī)器被稱為密鑰分發(fā)中心KDC。每個需要保密通信安全的個人都與KDC共享一個密鑰。當(dāng)Alice 與 Bob通信時。她就給KDC發(fā)送消息，
該消息以其與KDC共享的密鑰加以保護(hù)，請求與Bob通信。KDC產(chǎn)生一個新的用于Alice 與Bob之間進(jìn)行通信的加密密鑰，再將其放在一條稱為許可證（ticket）的消息中返回。
一條許可證消息由兩條消息組成。一條給Alice，其中帶有新密鑰。另一條給Bob，其中也包括新密鑰，通信時用Bob的密鑰加密。Alice將許可證中Bob的那部份轉(zhuǎn)交給Bob，現(xiàn)在兩者共享密鑰。這種基礎(chǔ)版由Needham 和 Schroeder[Needham 1978]發(fā)明。但是部署最為廣
泛的變種稱為Kerberos。在MIT及其它地方大量應(yīng)用于認(rèn)證與加密。
公共密鑰加密
在一篇名為“密碼術(shù)新動向”[Diffie1976]的論文中,Whitfield Diffie and Martin Hellman提出了現(xiàn)在稱之為公用密鑰加密的方案，基本思想是設(shè)計一種在加密和解密時使用不同密鑰的函數(shù)。你公共自已的加密密鑰（公鑰），但解密密角（私鑰）要保密。由于公用與私用密鑰不
同，公用密鑰加密也叫非對稱加密，而共享密鑰加密有時稱為對稱加密）。
PKC在針對問題的認(rèn)證部份也有一套解決方案。你的私鑰可用來創(chuàng)建數(shù)字簽名。它與MAC的關(guān)系如同公共密鑰加密與秘密密鑰加密之間的關(guān)系一樣。你使用私鑰對消息進(jìn)行簽名，而接收方用你的公鑰來驗(yàn)證你的簽名。數(shù)據(jù)字簽名有一項(xiàng)MAC所不具備的重要屬性，不可抵賴性（nonrepudiation）。發(fā)送和接收雙方都可以產(chǎn)生MAC，但只有數(shù)字簽名者才能夠產(chǎn)生簽名。這樣，接收者就可以證明發(fā)送方對消息進(jìn)行了簽名而送方無法抵賴。
證書
公鑰密鑰加密也存在密鑰管理的問題，公鑰要如何交換？如果以電子方式交換，就會存在安全問題，攻擊者能在公鑰傳遞過程中篡改。中間人攻擊（man-in-the-middle attack）就是其中一種攻擊方式。如果物理方式印刷出來，則很不方便。解決方案是通過稱之為證書授予權(quán)的第三方（certificate authority,CA）。CA發(fā)布以其私用密鑰簽名的目錄。在實(shí)際應(yīng)用中，CA不是對目錄進(jìn)行簽名，而是對包含密鑰屬主及其公用密鑰的單一信息進(jìn)行簽名。這些信息稱為證書（Certificate）。證書的主要標(biāo)準(zhǔn)為X.509[ITU1988a]。rfc是rfc2459。CA的公用密鑰以物理方式發(fā)布。不過CA并不多而且不經(jīng)常變換密鑰，因此這在實(shí)際應(yīng)用中是不成問題的。
證書的基本結(jié)構(gòu)：
1、證書包含頒發(fā)者名稱（issuer name），也就是證書簽名者的名。
2、主體名稱（subject name），證書所擔(dān)保的密鑰的持有者。
3、主體公鑰（subject public key），即密鑰本身。
4、一組控制信息。諸如有效期限，序列號以及對整個數(shù)據(jù)對像的簽名。
涉及證書的公鑰解決方案仍然要包含受第三方，即CA。但修正的PDC的主要問題，由于同一個證書可以用來向任何人證明其公鑰，所以CA沒有必要為了讓雙方通信而始終處于聯(lián)機(jī)狀態(tài)。同時因?yàn)镃A無法存取任何人的私鑰，所以也不能讀取任何信息。
DN標(biāo)識名
證書中的主體名稱及頒發(fā)者名稱為x.500標(biāo)識名（Distinguished Name,DN）[ITU1988b]。標(biāo)識名的目的是為每個網(wǎng)絡(luò)實(shí)體提供一個惟一的名字。為了達(dá)到這個目的，DN具有一種分層的結(jié)構(gòu)，一個DN由一系列RDN（relative distinguished name,相對標(biāo)識名）構(gòu)成，RDN又由
一系列屬性-值斷言（attribute-value assertion，AVA）構(gòu)成 。例如：C=CHINA O=COMPANY OU=TIGERHEAD CN=IT。
擴(kuò)展
證書包含一組標(biāo)準(zhǔn)值，但可擴(kuò)展，其中最重要的擴(kuò)展為:
1、 subjectAltName,包含這個用戶的其它名稱。可能是其它DN,dNSName(dns hostname) and
2、 emailAddress。
2、keyUsgae，包含了該密鑰可接受用途的屏蔽位，這些用途包括簽名，加密等。
3、 extendedKeyUsage,允許包含一組任意對象標(biāo)識(oid)的列表。這個列表具體描述該密鑰的
4、 用途。
證書的撤消
利用證書撤消列表（Certificate Reveocation List，CRL）。
ASN.1,BER AND DER
ASN.1是抽象語法記法1，其基本思想是為描述數(shù)據(jù)結(jié)構(gòu)而創(chuàng)建的一種允許通過機(jī)器來產(chǎn)生數(shù)據(jù)編碼解碼器的系統(tǒng)。它可以將數(shù)據(jù)格式描述為結(jié)構(gòu)化類型的語言。這非常類似于C中的struct和java中的類。與我們有關(guān)的ASN.1編碼規(guī)則為BER（Basic Encoding Rules）基
本編碼規(guī)則和DER(Distinguished Encoding Rules)辯識編碼規(guī)則。DER是BER的子集。
OID（object identifiers,對象標(biāo)識符）。它是分配給任何種類對象的全局惟一的字節(jié)字符串，如算法，密鑰用途等。OID空間是邦聯(lián)性的----ISO將OID空間的各區(qū)段分配給各種不同的實(shí)體，這些實(shí)體還可以進(jìn)一步針對其它實(shí)體對空間進(jìn)行劃分。
1.6 組合起來使用
所有通信安全技術(shù)都是根據(jù)加密，摘要計算，公用密鑰加密和數(shù)字簽名中的一種來構(gòu)造。這些技術(shù)常被稱為安全原語（security primitive），組合使用這些原語可以構(gòu)造出更為復(fù)雜的結(jié)構(gòu)。
組合公用密鑰加密和對共享密鑰加密的方法提供了對消息的快速加密，同時又具有基于證書的密鑰管理的好處。
組合使用信息摘要和數(shù)字簽名提供了消息完整性和發(fā)送方認(rèn)證而不必共享密鑰。
1.7 簡單的安全消息系統(tǒng)
發(fā)送過程：
1、Alice計算出消息摘要。
2、對消息摘要進(jìn)行簽名并將產(chǎn)生的數(shù)字簽名與其證書一起附在消息上。
3、產(chǎn)生一個隨機(jī)會話密鑰，使用它來加密經(jīng)過簽名的消息，即證書和簽名。
5、 最后，用Bob的公用密鑰對會話密鑰進(jìn)行加密并將處理過和會話密鑰附到消息上，現(xiàn)在
6、 就可把消息發(fā)給Bob。
接收過程：
1、Bob使用其私用密鑰對會話密鑰解密。
2、他使用會話密鑰對消息，即證書和數(shù)字簽名進(jìn)行解密。
3、計算出消息的摘要值。
4、對Alice的證書進(jìn)行驗(yàn)證并取出Alice的公用密鑰。
5、使用Alice的公用密鑰來驗(yàn)證Alice的數(shù)字簽名。
1.8 簡單的安全通道
剛才的系統(tǒng)在發(fā)送單條消息的情況下工作得很好，如E_mail。但是如果我們要的是一條可以在其上傳輸任意信息的通信通道的話，這個系統(tǒng)就不行了。我們希望能建立一組可以在整
個連接中使用的密鑰。這相就不必為每個數(shù)據(jù)包動用開銷昂貴的公用密鑰操作。這對于交互式應(yīng)用猶為重要。這種應(yīng)用中的每次擊鍵都有可能產(chǎn)生數(shù)據(jù)包。
構(gòu)建一個簡單協(xié)議，實(shí)現(xiàn)安全通道。
基本步驟：
握手(Handshake)。Alice 和 Bob使用他們的證書和私用密鑰來對對方進(jìn)行認(rèn)證并交換共享密鑰。
導(dǎo)出密鑰(Key derivation)。Alice 和 Bob使用達(dá)成一致的共享密鑰導(dǎo)出一組加密密鑰，以用于對傳輸進(jìn)行保護(hù)。
數(shù)據(jù)傳輸(Data transfer)。將要傳輸?shù)臄?shù)據(jù)分割成一系統(tǒng)的記錄(recode)，并對每條記錄單獨(dú)加以保護(hù)。這樣使用數(shù)據(jù)一準(zhǔn)備好就可以傳輸，一旦接收就可以進(jìn)行處理。
關(guān)閉連接(Connection closure)。使用特殊的、經(jīng)過保護(hù)的關(guān)閉信息，來安全地關(guān)閉連接。阻
止攻擊者偽造關(guān)閉操作而截斷正在傳輸?shù)臄?shù)據(jù)。
簡單握手
1、Alice產(chǎn)生一個隨機(jī)數(shù)作為MS（master secret），用Bob的公用密鑰加密MS，產(chǎn)生EMS（encryted master secret,加密主密鑰）。如果Bob不在意Alice的身份的話。就可以把EMS發(fā)送給Bob了，繼而就可以開始進(jìn)行通信了，這種方式稱做單向認(rèn)證。如果Bob經(jīng)營的是
因特網(wǎng)商店，且只要求Alice的信用卡信息的話，這種認(rèn)證就可以了。如果需要確認(rèn)Alice的身份，Alice就要用其私鑰對EMS進(jìn)行簽名。Bob會將一個nonce的隨機(jī)數(shù)連同他的證書一起發(fā)送給Alice。這樣做是為了阻止攻擊者重新傳送Alice發(fā)給Bob的所有信息。這種攻
擊叫重放攻擊（replay attack）。我們在制作密鑰時要用來這個nonce，以確保本次握手所產(chǎn)生的密鑰與其它握手所產(chǎn)生的密鑰不同。
簡單的數(shù)據(jù)傳輸協(xié)議
在握手結(jié)束后，Alice 和 Bob就會共享一個主密鑰，但為了讓他們能安全傳輸數(shù)據(jù)，我們還需做一些工作。第一件就是制作一些密鑰。一般來說，使用同一種密鑰來完成不止一種類型的加密操作是不安全的。如果使用不同密鑰，那么即使加密被攻破，MAC也仍然是安全
的。在這種情況下，我們需要四個密鑰，一對用于完成在每個方向上的加密，一對用于完成每個方向上的MAC。使用KDF(key derivation function,密鑰導(dǎo)出函數(shù))，從主密鑰及nonce中創(chuàng)建相應(yīng)的密鑰。
Ecs 用于將數(shù)據(jù)從客戶端發(fā)送到服務(wù)器端的加密密鑰。
Mcs 用于從客戶端發(fā)送到服務(wù)器端數(shù)據(jù)的MAC密鑰。
Esc 用于將數(shù)據(jù)從服務(wù)器端發(fā)送到客戶端的加密密鑰。
Msc 用于從服務(wù)器端發(fā)送到客戶端數(shù)據(jù)的MAC密鑰。
數(shù)據(jù)記錄
下一項(xiàng)任務(wù)是描述如何對數(shù)據(jù)打包。我們將數(shù)據(jù)分割成一系列的記錄，每條記錄攜帶有自已的MAC，在讀取一條記錄并檢查其MAC時就可以知道數(shù)據(jù)是否完好。當(dāng)我們從線路上將數(shù)據(jù)讀取過來時，需要能夠知道哪些數(shù)據(jù)字節(jié)是加密的，哪些是MAC。所以需要確定記錄的格式。定長記錄效率低，我們采用變長記錄。記錄的格式如下:長度|數(shù)據(jù)|MAC。
客戶端想要加密長度為L的數(shù)據(jù)塊D的話，要經(jīng)以下過程：
1、使用Mcs計算出數(shù)據(jù)的MAC。稱這為MAC M。
2、使用Ecs加密D，我們稱之為C。
3、傳輸。L||C||M。 長度||數(shù)據(jù)||MAC。
服務(wù)器端讀取數(shù)據(jù)則要經(jīng)歷相反的過程：
1、從線路上讀取L，我們現(xiàn)在知道D為L字節(jié)長。
2、從線路上讀取C和M。
3、使用Ecs對C進(jìn)行解密從而得到D。
4、使用Mcs計算得出D的M'。
5、如果M'=M，那么一切正常。對記錄進(jìn)行處理，否則報告錯誤。
MAC的計算公式如下：
發(fā)送： M = MAC(Mx,D) x為cs or sc
接收： M' = MAC(Mx,D)
序號
但這種簡單的協(xié)議存在一種安全漏洞，由于記錄并沒有按照傳輸?shù)捻樞蜻M(jìn)行標(biāo)注，因此攻擊者可以從線路上拿掉一條記錄，轉(zhuǎn)而再發(fā)送給接收者（重放攻擊）。為克服這種問題，我們需要使用序號(sequence number)。每一方所傳送的第一條記錄都被編號為1，第二條為2。
當(dāng)你收到一條記錄后，可通過檢查其序號，看是否你所期望的數(shù)據(jù)，如果不是，則報錯。序號必須要成為MAC輸入的一部份，以防止攻擊者對序號進(jìn)行更改。最簡單的方法是把序號添加到D的前面，然后再進(jìn)行加密和計算MAC。不過，如果我們是在可靠的協(xié)議（TCP）上進(jìn)行通信，那么序號是隱含的，甚至就不必再傳了。消息總是按序接收的。因此我們只需在各方維護(hù)一個計數(shù)器，并使用它來作為MAC計算的一部份。
M = MAC(Mx,Sequence||D)
數(shù)據(jù)記錄的格式變成了：長度|序號|數(shù)據(jù)|MAC
注意：序號并不能阻止攻擊者重新Alice的所有消息，但是，由于Bob每次同Alice握手都生成一個新的nonce。如果攻擊者嘗試這種攻擊的話，Bob會產(chǎn)生一組不同的密鑰（由于nonce不同），于是當(dāng)攻擊者對數(shù)據(jù)進(jìn)行解密時，所得到的不是明文，而是垃圾信息。
控制信息
還存在一個安全問題，攻擊者很容易偽造數(shù)據(jù)包，而tcp連接的關(guān)閉只不過是一個數(shù)據(jù)包而已。因此攻擊者可以偽造連接關(guān)閉。實(shí)施截斷攻擊（tuncation attack）。在這種攻擊中，攻擊者使一方或雙方確信數(shù)據(jù)這這么多，卻比實(shí)際少。為了克服這個問題，我們需要讓Alice告訴Bob她已完成數(shù)據(jù)發(fā)送的方法。一種簡單的實(shí)現(xiàn)是根據(jù)每條記錄運(yùn)載的數(shù)據(jù)，即普通信息還是控制信息，規(guī)定其類型。并把它作為MAC的輸入。這樣記錄格式就變?yōu)椋洪L度|序號
|類型|數(shù)據(jù)|MAC
M = MAC(Mx,Sequence||Type||D)
總結(jié)
以上內(nèi)容復(fù)述了ssl的絕大部份核心功能。實(shí)現(xiàn)了握手，密鑰交換，相互認(rèn)證以及保密數(shù)據(jù)傳輸。但并不完整，它所沒有的最重要的一項(xiàng)內(nèi)容就是磋商（negotiation）功能，我們需要為每種核心任務(wù)提供多種算法選擇。以便在一種算法被攻破的情況下切換至另一種算法。
1.9 出口形式
美國的出口政策由NSA（國家安全局）負(fù)責(zé)。NSA具有保證政府通信安全和竊聽他人通信
的職責(zé)。
1.10 實(shí)際的加密算法
1.11 對稱加密：序列密碼(stream cipher)
惟一受到廣泛關(guān)注和應(yīng)用的序列密碼是RC4。
1.12 對稱加密：分組密碼(Block Cipher)
DES(數(shù)據(jù)加密標(biāo)準(zhǔn))。具有56位密鑰的64位分組密碼。數(shù)據(jù)以8字節(jié)大小的分組進(jìn)行加密，且密鑰空間為56位。DES是脆弱的，只適用于低價值或短生存期的信息。
3DES（三重數(shù)據(jù)加密標(biāo)準(zhǔn)）。
RC2
AES(高級加密標(biāo)準(zhǔn))
總結(jié)：RC4速度最快，而3DES和RC2相當(dāng)慢。
1.13 摘要算法
就協(xié)議設(shè)計而言，所有摘要算法都非常相似，唯一的區(qū)別是輸出尺寸的不同。兩種最流行的算法為由Ron Rivest設(shè)計的MD5。以及由NIST設(shè)計的SHA-1。兩者比較
MD5 輸出128位 65Mb/s
SHA-1 輸出160位 31Mb/s
1.14 密鑰的確立
RSA用來做為一種密鑰傳輸算法。DH（Difie-Hellman)是一種密鑰磋商算法。
RSA算法在1977年由Ron Rivest,Adi Shamir and Len Adleman(RSA的由來)發(fā)明，從高層上講，RSA非常簡單，每個用戶都有一個公用密鑰和一個私用密鑰。公鑰可自由發(fā)布，而私鑰則必須保密。
RSA公鑰由兩個數(shù)據(jù)組成。即模數(shù)（n）和公共指數(shù)（e）。模數(shù)為兩個非常大的素數(shù)（p and q）的乘積，而p and q也需要保密。RSA的安全性就是基于對n進(jìn)行因數(shù)分解以得到p and q的難度。
RSA私鑰為另一個數(shù)字，通常稱為d，且只有在知道p,q,e的情況下才能計算得到。當(dāng)我們談?wù)揜SA密鑰長度時，實(shí)際上是在談?wù)撃?shù)的長度。RSA的公共指數(shù)e必須與e和p-1 ,q-1互素。為方便起見，通常挑選幾個小素數(shù)中的一個作為e（常常是3,17或65537）。使用一個小的e，可以使得公用密鑰的操作更快一些。選定e后，就可以像下面這樣計算得到d:d = e^-1 mod((p-1)(q-1))
DH是首個公開發(fā)表的公用密鑰算法。它是一種密鑰磋商算法，而不是密鑰交換算法。
1.15 數(shù)字簽名
要進(jìn)行簽名，就要計算出消息的摘要值，并使用其私鑰進(jìn)行“加密”，接收方對摘要值進(jìn)行“解密”，并將其與根據(jù)消息獨(dú)立計算出的摘要值進(jìn)行比較來驗(yàn)證，如果匹配，則簽名就是有效的。
RSA 和 DSS可用一數(shù)字簽名
1.16 MAC
MAC的唯一一種算法是HMAC。它使用散列算法來構(gòu)造具有可證明安全特性的MAC。
1.17 密鑰長度
密鑰長度并不意味著一切。它只是一種通常的衡量方法。
對稱密鑰
攻擊一種設(shè)計良好的對稱密碼的惟一方法就是嘗試每個密鑰，直到找到能行的那個。
非對稱密鑰
攻擊RSA最好的方法是對模進(jìn)行因數(shù)分解。一般來講，768或1024位長度的RSA密鑰是最少可接受的密鑰長度。1024位的非對稱密鑰大約與80位對稱密鑰的強(qiáng)度一致。
1.18 總結(jié)
對于非交互系統(tǒng)（消息傳遞）應(yīng)用來說，我們產(chǎn)生自主式的消息，使用公共密鑰加密來保護(hù)用來加密消息的密鑰，并與數(shù)據(jù)簽名配合，使用消息摘要來提供消息完整性。
對于北交互系統(tǒng)應(yīng)用來說，我們通過握手來確立密鑰，然后再使用對稱算法。在握手期間使用公共密鑰加密對雙方進(jìn)行認(rèn)證，并實(shí)現(xiàn)密鑰交換，然后通過對稱密鑰加密技術(shù)使用那些密鑰來保護(hù)單條數(shù)據(jù)記錄。