比较对称和非对称加密技术

加密技术可分为两种主要类型：对称加密和非对称加密（也称为公钥加密）。

对称加密技术

对称加密也被称为传统加密技术，因为它已存在至年。对称系统将明文使用一个密钥通过菜种算法进行处理，得到密文。要近向这一由给定密钥(假设密钥为4)的算法将明文变换为密文的处理过程(也就是特路文交换回明文)附，不能随意使用其他密钥。必须再次使用密钥4才能成功进行逆变换。换言之，在对称系统中，加密和解密信息使用相同的密钥。其概念如图所示。

同任何技术一样，这一简单性有利有弊。对称系统的优点众多，这里重点介绍其中一些明显的优点。

在将明文变换为密文时，对称系统很快，特别是在处理大量信息(有时称为批量数据)时，反之亦然。随着数据量的增加，速度效益变得更加显著，与提供加密服务的其他系统相比，系统效率优势也更大。事实上，大多数(如果不是全部)对称系统被专门设计用于满足批量数据处理的特殊需求和特性。

对称系统的另一个优点是它们在现代服务器和其他技术中应用的某些认证技术中占有一席之地，俗话说，有所得必有所失，对称算法也是如此。以下是对称系统的缺点：

对称系统缺乏密钥管理系统，或者说至少缺之一个易于实施的密钥管理系统。如前所述，该系统使用同一个密钥进行加密和解密，问题出现在加密信息后需要将其发送到接下来需要解密数据的另一方时。为此不仅需要算法，还需要密钥。此处的挑战是如何将加密的数据和密钥传递给另一方，且避免落入未经授权拥有该信息者的手中。显然不能同时发送密钥和数据，因为这样做任何正在窃听的人都
可以捕获两者，从而拥有了查看希望保密的信息所需的一切。解决这一密钥管理问题的方法是使用一个带外（out-ofband)分 发流程。简而言之，在加密数据并发送给第三方时，不应使用传送密钥的同一条路径发送该信息(无论是立即发送还是稍后发送)，而应改用另一路径发送信息。传送密钥的方式可以是打电话，把密钥写在纸上交给对方，或者骑上摩托车穿过城镇送 “钥”上门。只要不与加密数据使用相同的途径即可。但是，如你所见，这是一种笨拙的处理方式。

对称系统的另一个重要问题是，事实上在系统中没有明确的提供不可否认性能力的手段。如果要使用密钥来识别个人，则不能使用密钥和对称系统，以及迄今所知的任何其他可用类似系统，来识别某个特定加密操作的执行者。无法将某个密钥追溯到特定个人。

恺撒密码是最早且较为简单的对称加密系统之一，同时即使对于今天的对称系统，它也可以作为一个很好的说明系统工作原理的示例。理解该对称系统有助于正确应用当今的其他对称系统。

恺撒密码的工作方式与所有具有低复杂度的对称密码一样。在该系统中，明文在字母表中右移一定位置。例如，当移位量为1时，A将被B替代，B将变为C，依此类推。广为人知的ROT13加密系统是恺撒密码的-
一个移位量为13的变体。与现代系统相比，恺撒密码几乎没有通信安全性可言，人工即可轻易破解。
为了将加密的消息从一方传递到另一方，双方必须拥有同一个密钥，以便发送方能对其进行加密，按收方可以对其进行解密。对于恺撒密码而言，密钥就是密文在宇母表中的字符移位数。

将明文输入 The way of the hero leads to tbe Triforce使用移位量3进行加密的示例如下。

明文：The way of the hero leads to the Triforce

密文：WKH ZDB RI WKH KHUR OHDGV WR WKH WULIRUFH

很容易看出明文中的每个字符如何在字母表中移动。通过使用-3的偏移量来解密也同样简单。

常用对称加密算法
当前有大量可用的对称算法；下面的算法是渗透测试者最常遇到的对称加密算法。
1.数据加密标淮(Data Enoryprion Standard， DES)：在当今的许多应用程序中仍能见到DES算法，但监于该算法脆弱而易被破解，应该在应用程序中避免使用。在此处列出的对称加密算法中，DES最为脆弱，在以保密性为第一考虑的应用程序中应避免使用DES。
2.三重DES(3DES)：该算法是DES算法的扩展，其加密强度是DES算法的三倍。在无线网络、电子商务和驱动器加密等应用程序中常用该算法。
3.高级加密标准(Advanced Encryption Standard, AES)：作为DES的替代品，AES和3DES是同期产品。和了DES一样，该算法在多种现代技术中很流行。
4.国际数据加密算法 (International Data Encryption Algorithm, IDEA)：这个算法通常会在Pretty Good Privacy (PGP) 系统中遇到。
这个列表绝非在现实世界中使用的算法全集。3DES和AES是最可能遇到的。

非对称加密

非对称（或公钥)加密技术是最新的加密形式之一（它已有大约40余年的历史)。非对称系统能提供一些对称系统无法提供(或至少不能用更有效的方式提供)的优点。具体而言，这种类型的加密提供了对称系统中缺乏的功能，例如不可否认性和密钥分发方面的优点。

比较非对称系统与对称系统时，有一个从一开始就很明显的主要区别：系统中使用的密钥数量。基于非对称系统的构建方式，将为该类系统的参与者领发两个而非一个密钥，其中一个是公钥，另一个是私钥。

公钥和私钥之间有何区别？

• 公钥是任何该密钥请求者均可无明显限制(至少在请求时点上)任意访问的密钥。
• 私钥是配合公钥使用的密钥，顾名思义，该密钥是私有的。按照定义，未被专门分配私钥的任何人均不能访问该密钥，以保证系统正常工作。

当个人或组织在系统中注册时，将生成一个由公钥和私钥组成的密钥对。这对密钥从创建之时直到销毁都彼此链接，意味着使用一个密钥执行的加密只能使用另一个密钥解密。这对密钥的另一个重要属性是，任何持有一个密钥的人无论多么仔细地分析该密钥，都无法确定另一个密钥的特征。在讨论此类系统时，这是一个必须记住的事项。正是因为这一独特属性，可以发布一个任何人均可访问的公开密钥：不存在能够访问公共密钥的人获知私钥的风险，因此保护了私钥本身。

在该非对称系统中，任何一个密钥均可用于执行加密，也可以用于执行解密；然而，两个密钥都不能用于对同一条信息执行两种操作。换言之，如果私钥用于加密某个给定明文，则不能用于解密该明文加密后生成的密文。解密使用私钥创建的密文的唯一方法是使用公钥。

那么，相比于对称加密系统，使用非对称或公钥系统有什么优点呢？

• 第一个优点是密钥管理。密钥管理更为简单，因为密钥不需要分发给任何其他系统使用者。实际上，任何注册到系统中的人都将得到一个为其生成的密钥对，密钥对中的私钥由他们单独保管，而公钥则公开发布，供任何需要进行与私钥持有者相关的加密/解密操作的人获取。正因为如此，除了发布公钥之外，不需要密钥的分发过程。

• 非对称系统的第二个优点是，当这个密钥对是为个人生成时，如果他们单独拥有一个私钥并保持该私钥的机密性和安全的所有权，那么这就成为一种决定性的解决不可否认性问题的方法。换言之，如果收到一条来自个人的加密信息，则接收方只需要获取前者的公钥，并使用该公钥解密接收到的信息。如果解密过程成功，则可确定它来自某个特定的发件人。除非发件人丢失了他们的密钥的控制权且未报告，否则他们无法否认自己发送了该条信息。

非对称系统的最大缺点在于使用不对称算法处理越来越大的数据量时性能不佳。换句话说，非对称系统对于批量数据表现不佳，根据某些估计，对应的对称加密系统可在性能方面超过其1000倍。

要使公钥系统有效工作，必须有一种途径，以一种得到普遍信任的方式将密钥对无二义地、机密地关联到给定的个人或团体。公共密钥基础设施(Public Key Infrastructure,PKD）以及3.7节中将介绍的几种其他方法专用于处理该问题。