00:00
光满足这两点其实还不够安全,还必须满足第三点,这第三点就是公钥加密。公钥。解不开。一定要满足这第三个条件啊,我们这种非对称加密才算安全,公钥加密公钥,然后它解不开,这个怎么理解呢?我们在这个数据传输的过程当中,因为中间有呃各种的这些呃拦截者啊,假如说所有人都是坏人啊,他拦截了我们的数据,我们第一次请求还记得吧,我们是从43端口去把公钥下载到我们的客户端的。那么他在下载的过程当中,诶,它这个过程啊,下载这个公钥的过程是不是也要经历所有的互联网,就像我们刚才跟大家说的这个传递秘闻一样,对吧?其实这个公钥就是参与计算的这个,嗯,其中的一个计算因子,它也可以是这个,呃,我们加压缩这个密码可以理解成压缩密码啊。他要经历这个我们所有中间这些路由网关,那一旦路由网关把公钥给他拦截住了,或者我给你复制一份,我不在这儿,我还能让你保持正常通讯啊,他复制了一份公钥。
01:13
这里边儿问题就出来了,这就不安全了,他在本地留了一份公钥,那么公钥呢,顺便我又传递给了我们的客户端,那他真正想要发起额外的请求,我要填账号密码了,填账号密码他拿公钥加密,注意看那公钥加密,公钥加密一旦公钥能解开。过程当中是不是传递了公钥,私钥有没有传啊,私钥没传啊,从来都没传,所以一定要保证什么呢?私钥不在互联网中传递,一定要保证私钥的安全。对称加密算法一定要安全啊。这是私钥一定要安全,私钥是绝对不能传的,因为你公钥加密的东西呢,私钥是能解开的,然后一定保证着这个第三点就是它有,即使有公钥这边公钥加密的数据,公钥它也解不开才可以,如果公钥能解开,那我再我解开我看看,哎,然后看完还不行,哎,然后光玩我还要两把沙子,对吧,还要给你改一改,比如说你要转账,你本来想要给小明去转500块钱,结果我直接给你改成向小李去转500块钱,转到他自己账户里了。
02:25
对吧,这叫篡改对吧,这中间拦截者就能篡改我的数据,不光是偷窥漏的内容,那如果公钥解不开,那么他压根连偷窥他都偷窥不了。这就是呃,非对称加密,保证了三点,公钥加密,私钥解密。私钥加密公钥能解,公钥加密公钥它一定是解不开的,如果,如果这个加密算法允许公钥加密,公钥能解。那这套加密算法它也是不安全的,那这套非对称加密算法就是我们现在呃,HTTPS协议的底层算法,那么光靠这层呃非对称加密的底层算法,我们的互联网还不是绝对安全的,我们想要去伪造客户端的话,现在没成功对吧,因为公钥加密公钥解不了,那如果我想要去伪造服务器端呢,大家想一想。
03:18
用户在请求我们某一个服务器的时候啊,某一个银行啊,比如说我下载证书对吧,我知道了你想要请求的地址,因为你刚开始你这次请求虽然说经历了43端口,但是它是明文请求,你不是想下载这个公钥吗?对吗?那我直接给你一个公钥不就完了吗?诶,注意听啊,这要这这又要干坏事了,就魔高一尺道高一丈,你的这次请求我压根儿不让你请求到服务器端,然后我再替你去请求服务器端,这个逻辑上大家能理解吗?稍微有一点复杂了啊。但是想干坏事啊,你要不干点复杂的事儿,你你也干不成坏事,但要知道啊,这个现在这些互联网的技术,一些新的这些市场,谁学的最快啊,那是那些搞传销的那些坏坏孩子,对吧,咱这些好孩子,反而一些新的这些名词,什么元宇宙啊,区块链等到我们的这个耳朵里的,可能都已经过去好长时间了。
04:17
对吧,那坏人他的这个方法方式很多的。客户端请求服务器,我不让你请求服务器,我直接给了你一个假冒的站点啊,这种钓鱼网站大家见过吧,你不想上某个银行吗?做个网页跟他一模一样。或者说我不做网页,你的请求呢,没问题,我知道你要请求了,那我去替你去拿这个证书啊,不是证书啊,去拿这个公钥,这个公钥拿回来放在我的这个中间的这个。拦截者服务器里。啊,这是服务器端的公钥啊,服务器端要想下发的公钥。服务器第二公钥啊,我在这儿,然后我给你下发一个假的。
05:03
价。第供药。大家理解了吗?我把甲的公钥给你,接下来你跟我看起来也是建立了安全连接,我跟他也建立了安全连接。那接下来真正的请求呢?哎,你看你拿公钥去加密,我拿。我这个伪造的这个私钥。去解密,然后呢,解密完的数据呢,我再包装一下,拿服务器上给我的公钥,我去加密,然后服务器他再拿他自己的公钥去解密。能理解吗?再捋一下啊,服务集团想要给你下发公钥,它一定是一对一对的公私钥,对吧?假的公钥假的私钥,你请求服务集端,我不让你直接真正的请求,哎,你在请求的中间呢,我给你拦截住了,我去帮你请求,本来也是我帮你请求NG格的反应代理大家都。大家不都刚刚学的嘛,对吧,本来也是我帮你去请求嘛,对吧?呃,只是我这变得不透明了对吧,不是透明代理,透明代理呢,我就得在中间呢干一些坏事情,你请求的目标地址其实是我对吧?中间的数据呢,我帮你改一改,我既能解开,我也能改,解释怎么解,你拿我的假的公钥对吧?你去请求假,感觉上请求的是目标服务器,但是在中间呢,我给你拿假的私钥给它解开,也就是我给你下发的假的公钥啊,我给你解开,我能看我是不是还能改,我改完之后拿服务局的公钥,我再给它加密,我再给他传到目标真正的服务器上,服务器返回来的数据还是这个道理,我拿假的私钥加密再给你,在中间你的一切行为我还是照样能改,所以非对称加密算法在这它也是不安全的。
我来说两句