Day-167-密码学基础

# Day 181: 密码学基础

> 密码学系列第 1 天 | 预计阅读时间：50 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [密码学概述](#密码学概述)
2. [密码学发展历史](#密码学发展历史)
3. [密码学基本概念](#密码学基本概念)
4. [对称加密算法](#对称加密算法)
5. [非对称加密算法](#非对称加密算法)
6. [哈希函数](#哈希函数)
7. [数字签名](#数字签名)
8. [密钥管理](#密钥管理)
9. [密码学应用场景](#密码学应用场景)
10. [国密算法](#国密算法)
11. [密码学安全实践](#密码学安全实践)
12. [总结与思考](#总结与思考)
13. [参考资料](#参考资料)

---

## 密码学概述

### 什么是密码学

密码学（Cryptography）是研究如何保护信息安全的科学，它通过数学方法实现信息的机密性、完整性、认证性和不可否认性。

**密码学四大目标**：

```
┌─────────────────────────────────────────────────────────────┐
│                  密码学四大安全目标                         │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  1. 机密性 (Confidentiality)                                │
│     定义：确保信息仅被授权方访问                            │
│     实现：加密技术                                          │
│     场景：                                                  │
│     ✓ 数据传输加密                                          │
│     ✓ 数据存储加密                                          │
│     ✓ 通信内容保密                                          │
│                                                             │
│  2. 完整性 (Integrity)                                      │
│     定义：确保信息未被未授权篡改                            │
│     实现：哈希函数、消息认证码                              │
│     场景：                                                  │
│     ✓ 文件完整性校验                                        │
│     ✓ 数据传输校验                                          │
│     ✓ 软件包验证                                            │
│                                                             │
│  3. 认证性 (Authentication)                                 │
│     定义：确认通信双方身份的真实性                          │
│     实现：数字签名、证书、口令                              │
│     场景：                                                  │
│     ✓ 用户身份认证                                          │
│     ✓ 服务器身份认证                                        │
│     ✓ 设备身份认证                                          │
│                                                             │
│  4. 不可否认性 (Non-repudiation)                            │
│     定义：确保发送方不能否认已发送的信息                    │
│     实现：数字签名、时间戳                                  │
│     场景：                                                  │
│     ✓ 电子合同签署                                          │
│     ✓ 电子交易确认                                          │
│     ✓ 法律证据保全                                          │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

### 密码学分类

**现代密码学分类**：

```
┌─────────────────────────────────────────────────────────────┐
│                    密码学分类                               │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  对称密码学 (Symmetric Cryptography)                        │
│  ├── 特点：加密解密使用相同密钥                            │
│  ├── 优势：加解密速度快                                      │
│  ├── 劣势：密钥分发困难                                      │
│  ├── 算法：AES、DES、3DES、ChaCha20                        │
│  └── 应用：数据加密、文件加密                              │
│                                                             │
│  非对称密码学 (Asymmetric Cryptography)                     │
│  ├── 特点：加密解密使用不同密钥（公钥/私钥）               │
│  ├── 优势：解决密钥分发问题                                  │
│  ├── 劣势：加解密速度慢                                      │
│  ├── 算法：RSA、ECC、ElGamal                               │
│  └── 应用：密钥交换、数字签名                              │
│                                                             │
│  哈希函数 (Hash Function)                                   │
│  ├── 特点：单向不可逆、固定长度输出                        │
│  ├── 优势：完整性校验、快速计算                            │
│  ├── 劣势：不可恢复原始数据                                  │
│  ├── 算法：SHA-256、SHA-3、MD5、SM3                        │
│  └── 应用：密码存储、数据完整性                            │
│                                                             │
│  密钥交换 (Key Exchange)                                    │
│  ├── 特点：安全地协商共享密钥                              │
│  ├── 协议：Diffie-Hellman、ECDH                            │
│  └── 应用：TLS 握手、安全通信                              │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

---

## 密码学发展历史

### 古典密码学

**密码学发展时间线**：

```
┌─────────────────────────────────────────────────────────────┐
│                  密码学发展历史                             │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  公元前 1900 年 - 古典密码                                    │
│  ├── 埃及象形文字加密                                        │
│  ├── 凯撒密码（公元前 50 年）                                │
│  ├── 替换密码、置换密码                                      │
│  └── 特点：基于字符操作，安全性低                          │
│                                                             │
│  1466 年 - 机械密码                                          │
│  ├── Alberti 密码盘                                          │
│  ├── Vigenère 密码（1553 年）                                │
│  ├── Enigma 机（1918 年）                                    │
│  └── 特点：机械化加密，复杂度提升                          │
│                                                             │
│  1949 年 - 现代密码学                                        │
│  ├── Shannon 发表《保密系统的通信理论》                     │
│  ├── 密码学成为科学                                        │
│  ├── DES 算法（1977 年）                                     │
│  └── 特点：基于数学理论，可证明安全                        │
│                                                             │
│  1976 年 - 公钥密码学                                        │
│  ├── Diffie-Hellman 密钥交换                                │
│  ├── RSA 算法（1977 年）                                     │
│  ├── ECC 椭圆曲线（1985 年）                                 │
│  └── 特点：解决密钥分发问题                                  │
│                                                             │
│  21 世纪 - 后量子密码学                                       │
│  ├── 量子计算威胁                                            │
│  ├── 格密码、编码密码                                        │
│  ├── NIST 后量子密码标准化                                   │
│  └── 特点：抗量子计算攻击                                    │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

### 经典密码算法

**凯撒密码**：

```
原理：字母表平移
加密：C = (P + k) mod 26
解密：P = (C - k) mod 26

示例（k=3）：
明文：HELLO
密文：KHOOR

安全性：极低，易被暴力破解
```

**Vigenère 密码**：

```
原理：多表替换密码
加密：使用密钥词循环移位
密钥：KEY
明文：HELLOWORLD
密文：RIJVSUYVJN

安全性：中等，可被频率分析破解
```

---

## 密码学基本概念

### 核心术语

```
┌─────────────────────────────────────────────────────────────┐
│                    密码学核心术语                           │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  明文 (Plaintext)                                           │
│  定义：未加密的原始信息                                      │
│  示例："Hello, World!"                                       │
│                                                             │
│  密文 (Ciphertext)                                          │
│  定义：加密后的信息                                          │
│  示例："U2FsdGVkX1+..."                                     │
│                                                             │
│  密钥 (Key)                                                 │
│  定义：用于加密和解密的参数                                  │
│  分类：                                                      │
│  ├── 对称密钥：加密解密相同                                  │
│  └── 非对称密钥：公钥 + 私钥                                 │
│                                                             │
│  加密 (Encryption)                                          │
│  定义：将明文转换为密文的过程                                │
│  公式：C = E(K, P)                                          │
│                                                             │
│  解密 (Decryption)                                          │
│  定义：将密文恢复为明文的过程                                │
│  公式：P = D(K, C)                                          │
│                                                             │
│  算法 (Algorithm)                                           │
│  定义：加密和解密的数学方法                                  │
│  示例：AES、RSA、SHA-256                                    │
│                                                             │
│  盐 (Salt)                                                  │
│  定义：随机添加到密码中的数据                                  │
│  用途：防止彩虹表攻击                                        │
│                                                             │
│  nonce (Number used once)                                   │
│  定义：只使用一次的随机数                                    │
│  用途：防止重放攻击                                          │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

### 密码系统模型

```
┌─────────────────────────────────────────────────────────────┐
│                    密码系统基本模型                         │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│     发送方                    信道                    接收方 │
│       │                        │                        │   │
│       ▼                        ▼                        ▼   │
│   ┌─────────┐            ┌─────────┐            ┌─────────┐ │
│   │  明文 P  │ ──加密──▶ │  密文 C  │ ──传输──▶ │  解密   │ │
│   └─────────┘   E(K,P)   └─────────┘            └─────────┘ │
│       │                        │                        │   │
│       ▼                        │                        ▼   │
│   ┌─────────┐                  │                  ┌─────────┐ │
│   │  密钥 K  │─────────────────┼─────────────────▶│  密钥 K  │ │
│   └─────────┘                  │                  └─────────┘ │
│                                │                                │
│                          ┌─────────┐                          │
│                          │  攻击者  │                          │
│                          └─────────┘                          │
│                                                             │
│  加密过程：C = E(K, P)                                       │
│  解密过程：P = D(K, C)                                       │
│  安全性要求：D(K, E(K, P)) = P                              │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

---

## 对称加密算法

### 算法原理

**对称加密特点**：

```
┌─────────────────────────────────────────────────────────────┐
│                    对称加密特点                             │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  优点                                                       │
│  ├── 加解密速度快（比非对称快 1000 倍+）                     │
│  ├── 算法效率高                                              │
│  ├── 适合大数据量加密                                        │
│  └── 硬件实现简单                                            │
│                                                             │
│  缺点                                                       │
│  ├── 密钥分发困难                                            │
│  ├── 密钥管理复杂（n 个用户需要 n(n-1)/2 个密钥）            │
│  ├── 无法实现数字签名                                        │
│  └── 无法实现不可否认性                                      │
│                                                             │
│  适用场景                                                   │
│  ├── 大量数据加密                                            │
│  ├── 文件加密                                                │
│  ├── 数据库加密                                              │
│  └── 通信内容加密（配合非对称加密）                          │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

### 主流算法

**AES (Advanced Encryption Standard)**：

```
基本信息：
- 标准：NIST FIPS 197 (2001 年)
- 类型：分组密码
- 分组长度：128 位
- 密钥长度：128/192/256 位
- 轮数：10/12/14 轮（对应密钥长度）

安全性：
✓ 目前最安全的对称加密算法
✓ 被全球广泛采用
✓ 无已知有效攻击方法
✓ 量子安全（Grover 算法下强度减半）

应用场景：
- TLS/SSL 通信加密
- 文件加密（ VeraCrypt）
- 磁盘加密（BitLocker）
- WiFi 加密（WPA2/WPA3）

代码示例（Python）：
from Crypto.Cipher import AES
from Crypto.Random import get_random_bytes

# 生成密钥
key = get_random_bytes(32)  # 256 位

# 创建 cipher 对象
cipher = AES.new(key, AES.MODE_GCM)

# 加密
plaintext = b"Secret message"
ciphertext, tag = cipher.encrypt_and_digest(plaintext)

# 解密
cipher_dec = AES.new(key, AES.MODE_GCM, nonce=cipher.nonce)
plaintext_dec = cipher_dec.decrypt_and_verify(ciphertext, tag)
```

**ChaCha20**：

```
基本信息：
- 设计者：Daniel J. Bernstein (2008 年)
- 类型：流密码
- 密钥长度：256 位
- 轮数：20 轮（标准）、12 轮（ChaCha20-12）

特点：
✓ 软件实现速度快（比 AES 快 3 倍）
✓ 抗侧信道攻击
✓ 无硬件加速依赖
✓ 移动设备友好

应用场景：
- TLS 1.3
- SSH
- Android 设备加密
- WhatsApp 消息加密
```

**DES/3DES**：

```
DES (Data Encryption Standard):
- 标准：1977 年 NIST
- 密钥长度：56 位（实际）
- 分组长度：64 位
- 状态：已淘汰（密钥太短）

3DES (Triple DES):
- 原理：DES 加密三次
- 密钥长度：112/168 位
- 状态：逐步淘汰（NIST 2023 年后禁用）

建议：
✗ 不要在新系统中使用 DES/3DES
✓ 使用 AES 替代
```

### 工作模式

**常见分组密码模式**：

```
┌─────────────────────────────────────────────────────────────┐
│                  分组密码工作模式                           │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  ECB (Electronic Codebook) - 电子密码本                     │
│  原理：每个分组独立加密                                      │
│  优点：简单、可并行                                          │
│  缺点：相同明文产生相同密文（不安全）                        │
│  建议：✗ 不要使用                                            │
│                                                             │
│  CBC (Cipher Block Chaining) - 密码分组链接                  │
│  原理：每个分组与前一个密文分组异或后加密                    │
│  优点：相同明文产生不同密文                                  │
│  缺点：串行处理、需要 IV、易受填充攻击                       │
│  建议：△ 可用但非首选                                        │
│                                                             │
│  CTR (Counter) - 计数器模式                                  │
│  原理：加密计数器生成密钥流，与明文异或                      │
│  优点：可并行、无需填充、随机访问                            │
│  缺点：需要唯一 nonce                                        │
│  建议：✓ 推荐使用                                            │
│                                                             │
│  GCM (Galois/Counter Mode) - 伽罗瓦计数器模式                │
│  原理：CTR 模式 + GMAC 认证                                   │
│  优点：认证加密、高性能、可并行                              │
│  缺点：实现复杂                                              │
│  建议：✓✓ 首选推荐（TLS 1.3 默认）                           │
│                                                             │
│  CCM (Counter with CBC-MAC)                                 │
│  原理：CTR 加密 + CBC-MAC 认证                               │
│  优点：认证加密                                              │
│  缺点：串行、需要预计算                                      │
│  建议：✓ 可用（WiFi WPA2 使用）                              │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

---

## 非对称加密算法

### 算法原理

**非对称加密特点**：

```
┌─────────────────────────────────────────────────────────────┐
│                  非对称加密特点                             │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  基本原理                                                   │
│  ├── 使用密钥对：公钥 (Public Key) + 私钥 (Private Key)     │
│  ├── 公钥加密，私钥解密                                      │
│  ├── 私钥签名，公钥验证                                      │
│  └── 从公钥无法推导私钥                                      │
│                                                             │
│  优点                                                       │
│  ├── 解决密钥分发问题                                        │
│  ├── 可实现数字签名                                          │
│  ├── 可实现不可否认性                                        │
│  └── 密钥管理简单（n 个用户只需 2n 个密钥）                   │
│                                                             │
│  缺点                                                       │
│  ├── 加解密速度慢（比对称慢 1000 倍）                        │
│  ├── 不适合大数据加密                                        │
│  └── 密钥长度较长                                            │
│                                                             │
│  适用场景                                                   │
│  ├── 密钥交换                                                │
│  ├── 数字签名                                                │
│  ├── 身份认证                                                │
│  └── 小数据加密（如加密对称密钥）                            │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

### 主流算法

**RSA**：

```
基本信息：
- 发明者：Rivest, Shamir, Adleman (1977 年)
- 基础：大整数分解难题
- 密钥长度：2048/3072/4096 位（推荐）
- 安全性：密钥长度需持续增加

安全性：
✓ 2048 位：目前安全（推荐最低）
✓ 3072 位：长期安全（推荐）
✓ 4096 位：最高安全
✗ 1024 位：已不安全（已淘汰）

应用场景：
- TLS/SSL 证书
- SSH 密钥
- PGP 加密
- 数字签名

代码示例（Python）：
from Crypto.PublicKey import RSA
from Crypto.Cipher import PKCS1_OAEP

# 生成密钥对
key = RSA.generate(2048)
private_key = key
public_key = key.publickey()

# 加密（使用公钥）
cipher = PKCS1_OAEP.new(public_key)
plaintext = b"Secret message"
ciphertext = cipher.encrypt(plaintext)

# 解密（使用私钥）
cipher_dec = PKCS1_OAEP.new(private_key)
plaintext_dec = cipher_dec.decrypt(ciphertext)

注意事项：
! RSA 加密数据长度受限（密钥长度 - 填充）
! 通常用于加密对称密钥，而非直接加密数据
! 必须使用填充方案（OAEP/PKCS#1 v1.5）
```

**ECC (Elliptic Curve Cryptography)**：

```
基本信息：
- 基础：椭圆曲线离散对数问题
- 提出：1985 年（Koblitz, Miller）
- 密钥长度：256/384/521 位
- 曲线：P-256、P-384、Curve25519

优势（相比 RSA）：
✓ 相同安全性，密钥更短（256 位 ECC ≈ 3072 位 RSA）
✓ 计算速度更快
✓ 带宽占用更小
✓ 功耗更低（适合移动设备）

常用曲线：
- P-256 (secp256r1)：NIST 标准，广泛使用
- P-384 (secp384r1)：更高安全性
- Curve25519：现代设计，性能更好
- Ed25519：数字签名

应用场景：
- TLS 1.3（首选 ECC）
- 比特币/加密货币
- SSH 密钥（Ed25519）
- 移动设备加密

代码示例（Python - ECC 密钥交换）：
from cryptography.hazmat.primitives.asymmetric import ec
from cryptography.hazmat.primitives import hashes

# 生成密钥对
private_key = ec.generate_private_key(ec.SECP256R1())
public_key = private_key.public_key()

# 密钥交换（ECDH）
peer_private_key = ec.generate_private_key(ec.SECP256R1())
peer_public_key = peer_private_key.public_key()

# 计算共享密钥
shared_key = private_key.exchange(ec.ECDH(), peer_public_key)
```

**对比总结**：

```
┌─────────────────────────────────────────────────────────────┐
│                  RSA vs ECC 对比                            │
├─────────────────────────────────────────────────────────────┤
│  安全性    │  RSA-3072  │  ECC-256  │  相当安全性          │
│  密钥长度  │  3072 位    │  256 位    │  ECC 更短            │
│  签名速度  │  慢        │  快       │  ECC 更快            │
│  验证速度  │  快        │  慢       │  RSA 更快            │
│  加密速度  │  慢        │  快       │  ECC 更快            │
│  带宽占用  │  大        │  小       │  ECC 更小            │
│  兼容性    │  好        │  中       │  RSA 更好            │
│  量子威胁  │  高        │  高       │  都需后量子替代      │
│                                                             │
│  选择建议：                                                  │
│  ✓ 新系统：优先选择 ECC（P-256 或 Curve25519）              │
│  ✓ 兼容旧系统：使用 RSA-3072                                │
│  ✓ 移动设备：ECC 是首选                                      │
│  ✓ 长期安全：考虑后量子密码                                 │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

---

## 哈希函数

### 算法原理

**哈希函数特点**：

```
┌─────────────────────────────────────────────────────────────┐
│                  哈希函数特点                               │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  基本特性                                                   │
│  ├── 单向性：无法从哈希值恢复原始数据                        │
│  ├── 确定性：相同输入产生相同输出                            │
│  ├── 固定长度：任意长度输入产生固定长度输出                  │
│  ├── 雪崩效应：输入微小变化导致输出巨大变化                  │
│  └── 抗碰撞：难以找到两个不同输入产生相同输出                │
│                                                             │
│  安全要求                                                   │
│  ├── 原像攻击抵抗：给定 h，难以找到 m 使得 H(m)=h            │
│  ├── 第二原像抵抗：给定 m1，难以找到 m2 使得 H(m1)=H(m2)     │
│  └── 碰撞抵抗：难以找到 m1, m2 使得 H(m1)=H(m2)              │
│                                                             │
│  应用场景                                                   │
│  ├── 密码存储（加盐哈希）                                    │
│  ├── 数据完整性校验                                          │
│  ├── 数字签名                                                │
│  ├── 消息认证码 (HMAC)                                       │
│  ├── 区块链/加密货币                                         │
│  └── 文件去重                                                │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

### 主流算法

**SHA-2 家族**：

```
基本信息：
- 标准：NIST FIPS 180-4
- 发布：2001 年（SHA-256 等）
- 成员：SHA-224、SHA-256、SHA-384、SHA-512

SHA-256（最常用）：
- 输出长度：256 位（32 字节）
- 安全性：128 位（抗碰撞）
- 性能：中等
- 应用：
  ✓ 比特币挖矿
  ✓ TLS 证书
  ✓ 密码存储
  ✓ 文件校验

SHA-512：
- 输出长度：512 位（64 字节）
- 安全性：256 位（抗碰撞）
- 性能：64 位系统上更快
- 应用：高安全性需求

代码示例（Python）：
import hashlib

# SHA-256
data = b"Hello, World!"
hash_256 = hashlib.sha256(data).hexdigest()
print(f"SHA-256: {hash_256}")
# 输出：dffd6021bb2bd5b0af676290809ec3a53191dd81c7f70a4b28688a362182986f

# SHA-512
hash_512 = hashlib.sha512(data).hexdigest()
print(f"SHA-512: {hash_512}")
```

**SHA-3**：

```
基本信息：
- 标准：NIST FIPS 202
- 发布：2015 年
- 设计：Keccak 算法（Guyonnet 等）
- 类型：海绵结构（不同于 SHA-2 的 Merkle-Damgård）

特点：
✓ 抗长度扩展攻击
✓ 与 SHA-2 不同的设计（可互为备份）
✓ 支持可变长度输出
✓ 硬件实现高效

变体：
- SHA3-256：替代 SHA-256
- SHA3-512：替代 SHA-512
- SHAKE128/256：可变长度输出

应用：
- 新系统首选
- 与 SHA-2 混合使用
- IoT 设备
```

**MD5（已淘汰）**：

```
基本信息：
- 设计者：Ron Rivest (1991 年)
- 输出长度：128 位
- 状态：已破解，不应再使用

安全问题：
✗ 碰撞攻击：可在数秒内找到碰撞
✗ 原像攻击：理论可行
✗ 实际应用：已被攻破

建议：
✗ 不要用于任何安全目的
✗ 仅可用于非安全校验（如文件去重）
✓ 使用 SHA-256 或 SHA-3 替代
```

### 密码存储

**安全密码存储实践**：

```
┌─────────────────────────────────────────────────────────────┐
│                  安全密码存储                               │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  错误做法                                                   │
│  ✗ 明文存储密码                                            │
│  ✗ 仅使用 MD5/SHA1 哈希                                     │
│  ✗ 不加盐哈希                                              │
│  ✗ 使用快速哈希函数（如 SHA-256 直接哈希）                  │
│                                                             │
│  正确做法                                                   │
│  ✓ 使用专用密码哈希函数                                    │
│  ✓ 每个密码使用唯一盐                                      │
│  ✓ 使用足够的迭代次数/工作量                               │
│  ✓ 存储盐 + 哈希值                                         │
│                                                             │
│  推荐算法                                                   │
│  ├── Argon2（首选）：2015 年密码哈希竞赛获胜者             │
│  ├── bcrypt：成熟可靠，广泛支持                            │
│  ├── scrypt：内存困难，抗 ASIC                             │
│  └── PBKDF2：标准支持好，但较弱                            │
│                                                             │
│  参数建议                                                   │
│  Argon2id:                                                 │
│  - 内存：64MB                                              │
│  - 迭代：3 次                                               │
│  - 并行度：4                                               │
│                                                             │
│  bcrypt:                                                   │
│  - 成本因子：12+（随硬件提升）                              │
│                                                             │
│  代码示例（Python - bcrypt）：                              │
│  import bcrypt                                             │
│                                                            │
│  # 哈希密码                                                │
│  password = b"my_secret_password"                          │
│  salt = bcrypt.gensalt(rounds=12)                          │
│  hashed = bcrypt.hashpw(password, salt)                    │
│                                                            │
│  # 验证密码                                                │
│  if bcrypt.checkpw(password, hashed):                      │
│      print("密码正确")                                      │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

---

## 数字签名

### 签名原理

**数字签名机制**：

```
┌─────────────────────────────────────────────────────────────┐
│                  数字签名机制                               │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  签名过程（发送方）                                         │
│  1. 计算消息哈希：h = H(m)                                 │
│  2. 使用私钥签名：s = Sign(SK, h)                          │
│  3. 发送消息 + 签名：(m, s)                                │
│                                                             │
│  验证过程（接收方）                                         │
│  1. 计算消息哈希：h' = H(m)                                │
│  2. 使用公钥验证：Verify(PK, s, h')                        │
│  3. 验证成功则签名有效                                      │
│                                                             │
│  安全属性                                                   │
│  ├── 认证性：确认发送方身份                                  │
│  ├── 完整性：确认消息未被篡改                                │
│  └── 不可否认性：发送方不能否认签名                          │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

### 签名算法

**RSA 签名**：

```
原理：
- 签名：s = m^d mod n（私钥操作）
- 验证：m = s^e mod n（公钥操作）

填充方案：
- PKCS#1 v1.5：传统方案，广泛支持
- PSS：更安全，推荐用于新系统

密钥长度：
- 2048 位：最低要求
- 3072 位：推荐
- 4096 位：高安全性
```

**ECDSA (Elliptic Curve Digital Signature Algorithm)**：

```
基本信息：
- 基础：椭圆曲线
- 标准：NIST FIPS 186-4
- 曲线：P-256、P-384 等

特点：
✓ 签名短（64 字节 for P-256）
✓ 速度快
✓ 适合资源受限环境

应用：
- 比特币交易签名
- TLS 证书（ECDSA 证书）
- SSH 密钥（ecdsa-sha2-nistp256）
- 代码签名
```

**EdDSA (Edwards-curve Digital Signature Algorithm)**：

```
基本信息：
- 设计：Daniel J. Bernstein 等
- 曲线：Ed25519（最常用）、Ed448
- 特点：确定性签名（无需随机数）

优势：
✓ 高性能
✓ 抗侧信道攻击
✓ 无需随机数生成器
✓ 签名更短（64 字节）

应用：
- SSH（Ed25519 密钥）
- GPG/PGP
- 加密货币（Monero 等）
- TLS 1.3

代码示例（Python - Ed25519）：
from cryptography.hazmat.primitives.asymmetric import ed25519

# 生成密钥对
private_key = ed25519.Ed25519PrivateKey.generate()
public_key = private_key.public_key()

# 签名
message = b"Important message"
signature = private_key.sign(message)

# 验证
try:
    public_key.verify(signature, message)
    print("签名验证成功")
except Exception:
    print("签名验证失败")
```

---

## 密钥管理

### 密钥生命周期

```
┌─────────────────────────────────────────────────────────────┐
│                  密钥生命周期                               │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  1. 密钥生成                                                │
│     ├── 使用安全随机数生成器                                │
│     ├── 足够密钥长度                                        │
│     └── 符合算法要求                                        │
│                                                             │
│  2. 密钥存储                                                │
│     ├── 硬件安全模块（HSM）                                 │
│     ├── 密钥管理系统（KMS）                                 │
│     ├── 加密存储                                            │
│     └── 访问控制                                            │
│                                                             │
│  3. 密钥分发                                                │
│     ├── 安全通道传输                                        │
│     ├── 密钥协商协议（DH/ECDH）                             │
│     ├── 公钥基础设施（PKI）                                 │
│     └── 密钥封装                                            │
│                                                             │
│  4. 密钥使用                                                │
│     ├── 访问控制                                            │
│     ├── 使用审计                                            │
│     ├── 最小权限                                            │
│     └── 使用期限                                            │
│                                                             │
│  5. 密钥更新                                                │
│     ├── 定期轮换                                            │
│     ├── 泄露后更新                                          │
│     ├── 员工离职更新                                        │
│     └── 算法升级更新                                        │
│                                                             │
│  6. 密钥撤销                                                │
│     ├── 证书撤销列表（CRL）                                 │
│     ├── 在线证书状态协议（OCSP）                            │
│     └── 立即生效                                            │
│                                                             │
│  7. 密钥销毁                                                │
│     ├── 安全删除                                            │
│     ├── 物理销毁（HSM）                                     │
│     └── 销毁记录                                            │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

### 密钥存储方案

**密钥存储最佳实践**：

```
┌─────────────────────────────────────────────────────────────┐
│                  密钥存储方案                               │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  企业级方案                                                 │
│  ├── 硬件安全模块（HSM）                                    │
│  │   - 物理安全保护                                        │
│  │   - 防篡改设计                                          │
│  │   - 高性能密码运算                                      │
│  │   - 适用：根密钥、CA 密钥                                │
│  │                                                          │
│  ├── 云 KMS（AWS KMS、Azure Key Vault 等）                  │
│  │   - 托管服务                                            │
│  │   - 自动轮换                                            │
│  │   - 审计日志                                            │
│  │   - 适用：云环境密钥管理                                │
│  │                                                          │
│  └── 软件 KMS                                               │
│      - HashiCorp Vault                                     │
│      - 自建密钥管理                                        │
│      - 适用：混合云、私有云                                │
│                                                             │
│  应用级方案                                                 │
│  ├── 环境变量（开发环境）                                   │
│  ├── 配置文件（加密存储）                                   │
│  ├── 操作系统密钥存储                                       │
│  │   - Windows: DPAPI、CNG                                 │
│  │   - macOS: Keychain                                     │
│  │   - Linux: Kernel Keyring                               │
│  │                                                          │
│  └── 应用内加密存储                                         │
│      - 主密钥 + 数据密钥                                   │
│      - 密钥分层管理                                        │
│                                                             │
│  密钥分层                                                   │
│  ├── 主密钥（Master Key）                                   │
│  │   - 长期存储                                            │
│  │   - HSM 保护                                             │
│  │   - 用于加密数据密钥                                     │
│  │                                                          │
│  └── 数据密钥（Data Key）                                   │
│      - 短期使用                                            │
│      - 内存存储                                            │
│      - 定期轮换                                            │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

---

## 密码学应用场景

### TLS/SSL

**TLS 握手流程**：

```
┌─────────────────────────────────────────────────────────────┐
│                  TLS 1.3 握手流程                           │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  客户端                          服务器                      │
│     │                              │                        │
│     │──── ClientHello ────────────▶│  密码套件、密钥共享    │
│     │                              │                        │
│     │◀────── ServerHello ──────────│  选择密码套件          │
│     │                              │                        │
│     │◀────── Certificate ──────────│  服务器证书            │
│     │                              │                        │
│     │◀────── Finished ─────────────│  握手完成              │
│     │                              │                        │
│     │──── Finished ───────────────▶│  握手完成              │
│     │                              │                        │
│     │◀══════ 加密通信 ════════════▶│  应用数据              │
│     │                              │                        │
│                                                             │
│  密码学组件：                                               │
│  ├── 密钥交换：ECDHE（椭圆曲线 Diffie-Hellman）            │
│  ├── 认证：RSA 或 ECDSA 签名                                │
│  ├── 加密：AES-GCM 或 ChaCha20-Poly1305                    │
│  └── 哈希：SHA-256 或 SHA-384                              │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

### 区块链

**比特币密码学应用**：

```
┌─────────────────────────────────────────────────────────────┐
│                  比特币中的密码学                           │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  地址生成                                                   │
│  私钥 → ECDSA 公钥 → SHA-256 → RIPEMD-160 → Base58Check    │
│  (256 位)   (256 位)     (256 位)    (160 位)    (地址)      │
│                                                             │
│  交易签名                                                   │
│  ├── 输入：引用之前交易输出                                  │
│  ├── 签名：ECDSA 签名（私钥签署）                           │
│  ├── 脚本：验证签名（公钥验证）                              │
│  └── 输出：新所有者地址                                     │
│                                                             │
│  工作量证明                                                 │
│  ├── 哈希：SHA-256(SHA-256(block_header))                  │
│  ├── 目标：哈希值 < 难度目标                                │
│  └── 挖矿：暴力搜索 nonce                                   │
│                                                             │
│  默克尔树                                                   │
│  ├── 叶子：交易哈希                                          │
│  ├── 节点：子节点哈希的哈希                                  │
│  └── 根：默克尔根（区块头包含）                              │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

---

## 国密算法

### 国密算法体系

**中国商用密码算法**：

```
┌─────────────────────────────────────────────────────────────┐
│                  国密算法体系                               │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  SM1：对称加密算法                                          │
│  ├── 类型：分组密码                                          │
│  ├── 分组长度：128 位                                        │
│  ├── 密钥长度：128 位                                        │
│  ├── 特点：硬件实现，不公开                                  │
│  └── 应用：金融 IC 卡、政务系统                             │
│                                                             │
│  SM2：非对称加密算法                                        │
│  ├── 类型：椭圆曲线密码                                      │
│  ├── 曲线：256 位椭圆曲线                                    │
│  ├── 功能：加密、解密、签名、验签、密钥交换                 │
│  ├── 对比：性能优于 RSA，安全性相当                         │
│  └── 应用：数字证书、电子政务、金融                         │
│                                                             │
│  SM3：哈希算法                                              │
│  ├── 类型：密码哈希函数                                      │
│  ├── 输出长度：256 位                                        │
│  ├── 对比：与 SHA-256 安全性相当                            │
│  └── 应用：数字签名、消息认证、密码存储                     │
│                                                             │
│  SM4：对称加密算法                                          │
│  ├── 类型：分组密码                                          │
│  ├── 分组长度：128 位                                        │
│  ├── 密钥长度：128 位                                        │
│  ├── 特点：软件/硬件实现，公开                               │
│  └── 应用：无线局域网、物联网、金融                         │
│                                                             │
│  SM9：标识密码算法                                          │
│  ├── 类型：基于身份的密码                                    │
│  ├── 特点：无需证书，使用身份标识                            │
│  └── 应用：邮件加密、移动设备                               │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

### 国密应用

**国密算法使用场景**：

```
政策要求：
✓ 政务系统必须使用国密算法
✓ 关键信息基础设施优先使用国密
✓ 金融系统逐步迁移至国密

应用实践：
- 国密 SSL：SM2 密钥交换 + SM4 加密
- 国密证书：SM2 签名证书
- 国密 VPN：SM4 加密隧道
- 国密邮件：SM2+SM3+SM4

代码示例（Python - 使用 gmssl）：
from gmssl import sm3, sm4, sm2

# SM3 哈希
hash_value = sm3.sm3_hash(b"message")

# SM4 加密（ECB 模式）
key = b"0123456789abcdef"
cipher = sm4.CryptSM4()
cipher.set_key(key, sm4.SM4_ENCRYPT)
ciphertext = cipher.crypt_ecb(b"plaintext")

# SM2 签名（需导入密钥）
# sm2 签名验签需要密钥对
```

---

## 密码学安全实践

### 最佳实践

**密码学使用指南**：

```
┌─────────────────────────────────────────────────────────────┐
│                  密码学安全实践                             │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  ✓ 应该做的                                                 │
│  ├── 使用经过验证的库（不要自己实现）                        │
│  ├── 使用足够长的密钥                                        │
│  ├── 使用安全的随机数生成器                                  │
│  ├── 定期轮换密钥                                            │
│  ├── 使用认证加密模式（如 GCM）                              │
│  ├── 妥善管理密钥                                            │
│  ├── 使用最新版本的算法和协议                                │
│  └── 进行安全审计                                            │
│                                                             │
│  ✗ 不应该做的                                               │
│  ├── 不要自己设计密码算法                                    │
│  ├── 不要使用已破解的算法（MD5、SHA1、DES）                 │
│  ├── 不要硬编码密钥                                          │
│  ├── 不要使用弱随机数                                        │
│  ├── 不要重复使用 nonce/IV                                  │
│  ├── 不要忽略证书验证                                        │
│  └── 不要使用 ECB 模式                                       │
│                                                             │
│  密钥长度建议                                               │
│  ├── 对称加密：AES-256                                     │
│  ├── 非对称加密：RSA-3072 或 ECC-256                        │
│  ├── 哈希函数：SHA-256 或 SHA-3                            │
│  └── 数字签名：ECDSA P-256 或 Ed25519                       │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

### 常见错误

**密码学使用常见错误**：

```
错误 1：使用弱随机数
✗ 错误：random.random() 生成密钥
✓ 正确：secrets.token_bytes() 或 /dev/urandom

错误 2：硬编码密钥
✗ 错误：key = "hardcoded_secret_key"
✓ 正确：从环境变量或 KMS 获取

错误 3：重复使用 nonce
✗ 错误：固定 IV 或重复 nonce
✓ 正确：每次加密使用唯一 nonce

错误 4：忽略认证
✗ 错误：仅加密不认证
✓ 正确：使用认证加密（AEAD）如 AES-GCM

错误 5：使用 ECB 模式
✗ 错误：AES.new(key, AES.MODE_ECB)
✓ 正确：AES.new(key, AES.MODE_GCM)

错误 6：密码哈希不当
✗ 错误：hashlib.sha256(password)
✓ 正确：bcrypt.hashpw(password, salt)

错误 7：不验证证书
✗ 错误：verify=False 或忽略证书错误
✓ 正确：严格验证证书链

错误 8：密钥管理不当
✗ 错误：密钥明文存储
✓ 正确：使用 HSM 或 KMS 加密存储
```

---

## 总结与思考

### 核心要点回顾

**密码学知识框架**：

```
┌─────────────────────────────────────────────────────────────┐
│                  密码学知识框架                             │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  基础理论                                                   │
│  ├── 密码学四大目标：机密性、完整性、认证性、不可否认性     │
│  ├── 对称加密：AES、ChaCha20                               │
│  ├── 非对称加密：RSA、ECC                                  │
│  └── 哈希函数：SHA-256、SHA-3、SM3                         │
│                                                             │
│  核心技术                                                   │
│  ├── 数字签名：ECDSA、EdDSA                                │
│  ├── 密钥交换：DH、ECDH                                    │
│  ├── 密钥管理：HSM、KMS                                    │
│  └── 国密算法：SM2、SM3、SM4                               │
│                                                             │
│  应用场景                                                   │
│  ├── TLS/SSL：安全通信                                      │
│  ├── 区块链：加密货币                                      │
│  ├── 密码存储：bcrypt、Argon2                              │
│  └── 数字证书：PKI 体系                                     │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

### 深入思考

**1. 密码学不是银弹**

密码学是安全的重要组成部分，但不是全部。即使使用最强的加密，如果：
- 密钥管理不当
- 实现有漏洞
- 系统有其他弱点

那么整体安全仍然是脆弱的。

**2. 不要自己发明密码算法**

密码学是高度专业化的领域。即使是专家，设计的算法也可能存在未知漏洞。应该：
- 使用经过广泛审查的标准算法
- 使用成熟的密码学库
- 遵循最佳实践

**3. 密码学在演进**

- 量子计算威胁现有公钥密码
- 需要向后量子密码迁移
- 算法需要定期更新

**4. 性能与安全的平衡**

- ECC 比 RSA 更高效
- AES-NI 硬件加速
- 选择合适的算法组合

---

## 参考资料

### 标准与规范

```
国际标准：
- NIST FIPS 197: AES
- NIST FIPS 180-4: SHA-2
- NIST FIPS 202: SHA-3
- RFC 8446: TLS 1.3

中国标准：
- GM/T 0003-2012: SM2
- GM/T 0004-2012: SM3
- GM/T 0002-2012: SM4
```

### 学习资源

```
书籍：
- 《应用密码学》- Bruce Schneier
- 《密码学导论》- Nigel Smart
- 《Serious Cryptography》- Jean-Philippe Aumasson

在线课程：
- Coursera: Cryptography I (Stanford)
- edX: Introduction to Cyber Security

工具库：
- Python: cryptography, pycryptodome
- Java: Bouncy Castle, JCA
- Go: crypto 标准库
```

---

*365 天信息安全技术系列 | Day 181 | 密码学系列开篇*

*密码学系列 (Day 181-210) 开始！共 30 篇*

> 密码学是信息安全的基石。理解密码学，是理解安全的基础。

> 本文内容仅供学习和研究使用，请勿用于非法目的。

---

*本文是 365 天信息安全技术系列的第 181 篇，密码学系列第 1 篇*

*密码学系列开始！*