密码技术相关基础概念汇总(入门必备)
以下从密码技术基础、核心组件(算法、协议)、产品服务、标准规范及扩展术语等维度,系统梳理密码领域核心术语,兼顾初学者入门与从业者深化理解需求:
一、密码技术基础术语
密码技术是保障信息安全的核心技术,涵盖信息加密、认证、完整性校验等能力,核心基础术语包括:
-
密码学(Cryptography):研究信息加密、解密、认证等技术的学科,分为古典密码学(如凯撒密码)和现代密码学(基于数学理论)。
-
明文(Plaintext):未加密的原始信息(如:文本、数据)。
-
密文(Ciphertext):明文经加密算法处理后的数据,需解密才能恢复为明文。
-
加密(Encryption):用加密算法和密钥将明文转换为密文的过程。
-
解密(Decryption):用解密算法和密钥将密文恢复为明文的过程。
-
密钥(Key):控制加密/解密过程的参数(如:一串数字或字符),是密码系统的核心,其安全性直接决定整体安全性。
-
密钥空间(Key Space):所有可能密钥的集合,密钥空间越大,暴力破解难度越高(如128位密钥的空间为2¹²⁸)。
-
密码体制(Cryptosystem):由明文、密文、密钥、加密算法、解密算法组成的完整加密系统(如:AES/SM4体制、RSA/SM2体制)。
-
对称密码(Symmetric Cryptography):加密与解密使用相同密钥的技术(如:AES、SM4),特点是效率高,适合大数据加密。
-
非对称密码(Asymmetric Cryptography):加密与解密使用不同密钥(公钥+私钥)的技术(如:RSA、SM2),公钥可公开,私钥需保密,适合密钥交换、签名等场景。
-
哈希函数(Hash Function):将任意长度输入转换为固定长度输出(哈希值)的函数(如:SHA-256、SM3),具有不可逆性(从哈希值难推原始输入)和抗碰撞性(难找到两个不同输入产生相同哈希值),用于数据完整性校验。
-
密码分析(Cryptanalysis):研究如何破解密码系统的技术(如:暴力破解、差分分析),是密码学的反向研究。
-
侧信道攻击(Side-Channel Attack):通过分析密码设备运行时的物理信息(如:功耗、时间、电磁辐射)破解密钥的攻击方式(非直接攻击算法本身)。
二、密码算法
密码算法是密码技术的核心数学模型,按功能可分为加密算法、签名算法、哈希算法等,常见算法如下:
2.1 对称加密算法
-
DES(Data Encryption Standard):经典对称算法,64位密钥(实际有效56位),因密钥长度短已不安全,被AES替代。
-
3DES(Triple DES):DES的改进,通过三次DES加密增强安全性,但效率低,逐渐被淘汰。
-
AES(Advanced Encryption Standard):当前国际主流对称算法,支持128/192/256位密钥,效率高、安全性强,用于大数据加密(如:文件、磁盘加密)。
-
SM4:国产对称加密算法(国密算法),128位密钥,用于无线局域网、数据加密等场景,与AES安全性相当。
2.2 非对称加密/密钥交换算法
-
RSA:基于大整数分解难题的非对称算法,支持加密和签名,密钥长度通常为2048位及以上,广泛用于证书、密钥交换。
-
ECC(Elliptic Curve Cryptography):基于椭圆曲线离散对数难题的非对称算法,相同安全性下密钥长度比RSA短(如:256位ECC≈2048位RSA),适合资源受限场景(如移动设备)。
-
DH(Diffie-Hellman):密钥交换算法,允许双方在公开信道协商共享密钥(不直接传输密钥),但不提供身份认证。
-
ECDH(Elliptic Curve Diffie-Hellman):基于ECC的DH算法,效率更高,常用于 TLS 密钥协商。
-
SM2:国产非对称算法(基于椭圆曲线),支持加密、签名和密钥交换,是国内政务、金融等领域的主流算法。
2.3 哈希算法
-
MD5:早期哈希算法,输出128位哈希值,因存在碰撞漏洞(可找到不同输入产生相同哈希值),已不用于安全场景(仅用于校验非敏感数据)。
-
SHA系列(Secure Hash Algorithm):
1)SHA-1:160位输出,存在碰撞漏洞,逐步被淘汰;
2)SHA-2:包括SHA-256(256位输出)、SHA-384、SHA-512等,安全性高,是当前国际主流;
3)SHA-3:基于海绵结构的哈希算法,作为SHA-2的替代方案,增强抗量子攻击潜力。
-
SM3:国产哈希算法,256位输出,用于数字签名、数据完整性校验,与SHA-256安全性相当。
2.4 数字签名算法
数字签名是基于非对称密码的认证技术(验证数据完整性和发送者身份),核心算法包括:
-
RSA签名:用私钥签名、公钥验证,基于RSA算法。
-
ECDSA(Elliptic Curve Digital Signature Algorithm):基于ECC的签名算法,效率高于RSA签名。
-
SM2签名:国产签名算法(基于SM2非对称算法),国内法定签名标准。
-
DSA(Digital Signature Algorithm):NIST提出的签名算法,基于离散对数难题,应用较少。
2.5 专用/新型算法
-
国密算法(GM Algorithms):我国自主研发的密码算法体系,包括SM1(对称,硬件实现)、SM2(非对称)、SM3(哈希)、SM4(对称)、SM7(对称,用于RFID)、SM9(标识密码,无需证书)等,是国内密码应用的强制/推荐算法。
-
抗量子密码(Post-Quantum Cryptography, PQC):能抵抗量子计算机攻击的算法(量子计算机可破解RSA、ECC等传统算法),如:NIST推荐的CRYSTALS-Kyber(密钥封装)、CRYSTALS-Dilithium(签名)等。
三、密码协议
密码协议是基于密码算法的规则集合,用于多方安全交互(如:通信、认证、交易),核心协议包括:
-
TLS/SSL(Transport Layer Security/Secure Sockets Layer):传输层安全协议,用于网络通信加密(如:HTTPS),通过握手阶段协商算法和密钥,保障数据机密性和完整性。
-
IPsec(Internet Protocol Security):网络层安全协议,用于VPN(虚拟专用网)加密,通过AH(认证头)和ESP(封装安全载荷)保障IP数据包安全。
-
SSH(Secure Shell):远程登录安全协议,替代Telnet,通过非对称加密认证用户,加密传输命令和数据。
-
Diffie-Hellman密钥协商协议:双方在公开信道协商共享密钥的协议(如:TLS握手阶段的ECDH密钥交换)。
四、密码产品
密码产品是密码技术的实体化载体,分为硬件、软件及集成产品:
4.1 硬件产品
-
加密芯片(Encryption Chip):集成加密算法的芯片。
-
USBKey(U盾):内置加密芯片的USB设备,存储用户私钥和证书,用于身份认证。
-
HSM(Hardware Security Module):硬件安全模块,高安全性的专用设备,用于密钥生成、存储和加密运算。
-
安全芯片(Secure Chip):具备密钥管理、加密运算和防篡改能力的芯片(如手机的SE安全芯片),用于保护敏感数据。
-
加密卡(Encryption Card):插在服务器/计算机中的PCIe卡,提供高性能加密运算。
4.2 软件产品
-
数字证书管理系统(Certificate Management System):CA机构用于证书申请、颁发、吊销的管理软件。
-
密钥管理系统(Key Management System, KMS):集中管理密钥全生命周期(生成、存储、轮换、销毁)的系统。
五、密码服务
密码服务是基于密码技术提供的专业化服务,分为基础服务和场景化服务:
-
密钥管理服务(KMS):第三方提供的密钥托管和生命周期管理服务(如阿里云KMS、华为云KMS),降低企业密钥管理成本。
-
证书认证服务(CA服务):CA机构提供的数字证书申请、颁发服务(如Let's Encrypt的免费SSL证书服务)。
-
时间戳服务(TSA, Time Stamping Authority):为数据或文件加盖权威时间戳,证明其生成/修改时间(用于电子合同、知识产权保护)。
-
电子认证服务:基于PKI的身份认证、电子签名服务(如第三方电子合同平台的签章服务)。
-
数据加密服务:为企业提供数据传输、存储加密的服务(如API加密服务、数据库加密即服务)。
-
云密码服务:支持云环境下的加密、解密、签名、密钥管理等操作,各大密码厂商提供的密码服务平台,如:格尔软件、吉大正元、三未信安等。
-
密码测评服务:依据标准对密码产品/系统进行安全性测评的服务(如符合GB/T 39786标准的密码模块测评)。
以上术语覆盖密码领域核心环节,初学者可从“技术基础→算法/协议→产品服务→标准规范”逐步递进理解,从业者可重点关注国密算法、行业标准及新兴技术(如:抗量子密码、隐私计算)的结合应用。
(来源:商密之巅公众号)
