00:00
那好,同学们呢,呃,我们刚才跟大家说了,这非对称加密呢,现在也是不安全的,那怎么办?给大家举个例子啊,假设说这是我啊。然后呢,这边是银行。呃,我往银行里存钱呢,银行会给我下发一张银行卡,那么接下来呢,我拿着银行卡就可以去银行去取钱了,对吧?那么在这个过程当中,如果在我们的现实生活当中,也就是在我们的物理世界啊,我们这个原子世界,这是没有问题的,但是如果把原子这些事情搬到互联网上,变成比特世界的东西呢,它一切都可以复制的,对不对?那在过程当中它可能会复制或者篡改我这张银行卡,其实就是我们数据在互联网当中传递,有可能会被那些拦截者啊,劫持者给我们去篡改,那这咋办?那现在很有可能他给我的银行卡呢,不是银行给我的,他是中间有一个坏人,有一有一大坏蛋,他把他他把这银行卡给改了,我跟他玩,然后他拿我的银行卡呢,再去跟银行玩。听明白了吧,是这个道理,那么接下来怎么办,还是有解决办法的。
01:02
我既然没法去分辨这个银行卡,它是不是银行给我的,我在中间是不是可以增加一个环节。这个环节呢,就是一可信人的环节,假如说这张银行卡是有我媳妇儿啊,假如这是我媳妇儿啊,可能不太好看。我媳妇呢,跟我是在一个这个物理空间里的啊,她不会在网络当中去传递啊,这东西不会在网络当中去传递,我媳妇呢,看了看这张银行卡没,她觉得没问题,诶,然后我再拿着这张银行卡去传递数据,同时呢。这个媳妇呢,她在银行也存在,她正好也在银行上班啊,银行这边呢,在下发这一张银行卡的时候,给这张银行卡的时候呢,也经过了我同这个也经过了我媳妇的这个认证,他也看过了这张银行卡没有问题,注意这两个人他是一个人。啊,在物理世界里和在网络里边,在我们的这个虚拟的这个比特世界里,他一定得是同一人。
02:08
然后呢,也就意味着他不,他也不在网络传递。如果他也在网络传输啊,这有可能我这别人媳妇告诉我啊,这张银行卡没问题啊,那就是你的,你去你去拿着去取钱吧。这也是有问题的,所以这个媳妇她是一定不能在网络当中传输的,这就是一个第三方啊,怎么的第三方的,我和银行之间的第三方,这个第三方不在网络当中传递,一定要记住,那么这样才可以它起到作用就是认证一下这张银行卡是真的是对的啊,他如果说这个银行卡有问题,那么接下来这份数据,接下来我就不再去传递了,他一定要认证一下。这张银行卡是没问题的,同时在认证之前,他早就已经在银行下发银行卡之前,他也对于我们要下发这张银行卡去认证。
03:00
这才可以一定得有不在网络当中去传递的数据。那么稍微的抽象一点,我们就可以把它理解成在我们的计算机里存了一个密码。然后在服务器上呢,也存了一个密码。这俩密码呢,不传啊,只而且只有我们两个知道这才行,那这个在我们的网络世界当中怎么才能够完成呢?怎么才能够实现呢?在这里边就要引入真正的第三方机构,这个第三方机构呢,我们管它叫CA。这个机构在中间起到的作用就是对于这个银行卡进行认证,也就是对于我们下发的非对称加密的这个公钥进行认证。他在认证公钥的过程当中是怎么认证的呢?首先这个CA机构想要对这个公钥进行认证,谁下发的这个公钥,那不是我发明出来的,是由我们的服务器端发明出来,也不是他是他生成的啊。
04:03
在服务器端生成出来的这个公钥呢,接下来要向CA机构注意,CA机构呢,它也是一个这个呃,非功利性的组织,但是他要收费啊。这个机构呢,它也有自己运行的这套系统和服务器,我们把公钥提交上去,提交给这个cago机构。这是在首次还没有下发过任何的这个证书或者是公钥之前,我就要把这个呃公钥进行一次认证,这个CA机构对于我们的这个公钥的认证过程,我会先识别一下,诶你这个提交的这个呃提交者是不是一个正常的提交者,我不能让中间的伪造者也来,也来这提交让我认证吧,对吧?啊,你不比如说中间这个拦截者向偷我钱的这个人上我媳妇去认证,他肯定认证,不过为啥他一看长相就不对吗?
05:00
对吧?呃,长相,身高,长长短,不管是哪方面,方方面面的,他必须得全部都对应上,所以他得提交一系列的资料。比如说我们要提交我当前的这个,呃。公钥所绑定对应服务器的这个域名或者IP地址是啥,然后当前这个公司是什么公司,然后公司相关的这些登白式编码是啥,以及有可能会交一些费用啊,最重要的就是我一定要认证一下CA机构,一定要认证一下你真正是当前网站的所有者。比如说我现在有一域名,比如艾特硅谷。点。com用户访问我站点肯定是通过域名来访问的嘛,那么我的CA机构一定得认证一下,现在我CA机构所访问的这个域名所对应的服务器,诶,它是你的服务器,所以你得有管理权限,所以一般在认证的时候呢。
06:02
我们的CA机构会认证一下,比如说我给你呃下发一个文件,这个文件呢,里边我记了一堆乱七八糟的数,我临时生成的,比如就比如二十二十位的随机字符。我要求你呢,放在某一个文件夹下。啊,或者目录下。你把它传上去,哎,对吧,这是一个文本文档。我怎么认证的,我去访问一下这个地址,你如果传上去了呢,你告诉我啊,你没传上去,或者是你根本就没有这个权限传上去,那么这个服务器它根本就不是你的这个域名,他也不是你的,对吧?那你想想这个伪造者或者拦截者他能做到这一点吗?他能往他服务器上传东西吗?那除非他服务器被这个拦截者黑了嘛,对吧?正常情况下他传不上去,他没有这个权限,一旦认证了他有这个权限,那接下来我会对你提交上来这个公钥,诶再进行一次包装。
07:03
和加密。这层加密大家不要绕进去啊,这层加密同样是非对称加密。这个非对称加密是靠CA机构。自己的私钥。这是机构。或者叫CA吧。点私药。加上非对称加密算法。然后执行了一次加密,然后接下来给你生成了一份,这东西就叫证书了。也是我们现在所看到这些网站的证书。现在虽然说提他提示我们是安全的,对吧,证书有效,它都是由一些CA机构颁发的。啊,这是什么pad s SL啊,有很多著名的什么塞门铁克的啊,等等等等,这都是CA机构。
08:05
把对称,把这个公钥给我加密,再次加密生成一个新的证书,你拿到这个证书之后。服务器端啊,拿到这这怎么吸不过去啊啊就这么着吧,服务器端拿到这个证书之后,再有用户请求我四四端口想要这个对称,想想要这个公钥的话,我不直接给他公钥了,我给他这个证书,再次下发就下发证书。也是我们这张银行卡,它下发下去这个证书,诶他也是非正N加密的,那要把它给解开,是不是也得拿公钥去解。哎,就这这就对应到我这媳妇了,其实就是我们的操作系统里边内置了CA机构的公钥。他拿CA机构的公钥能够正常的解开这个证书,说明在中间过程当中是没有被篡改的。
09:03
那怎么证明这个过程当中没有被篡改,那就是因为CA机构在下发的这个证书里边。这个证书在传递的过程当中。哎,我们的这个中间的这个拦截者,他想把这个证书解开,他能不能解开,它是可以解开的。但是他想要再再次加密的话。他怎么加密,他得有CA机构的。私钥才能加密成CA机构。啊,这句话听起来有点绕啊。他想要加密的话,他只能拿自己的私钥去加密,CA机构的私钥是不可能丢的啊,所以说你加密出来的东西,他不是CA加密的,那也就是说你加密出来的东西呢,给了我的这个。最终的用户,最终用户是不认可的,因为CA的这个私钥是比较特殊的一种私钥,我只能用操作系统里内置的去解。
10:10
我必须要用操作性内置的去解,如果从网络下发出来的这个这个这个另外的一个CA机构的公钥,我直接把它解开了,这事就不安全了,有这个媳妇儿,哎,他不能是别人家的,他必须得是已经在我屋里的,然后你又给了我一个告诉我这事是真的。操作系统是不信的,浏览器是不信的,我们用户也不信。啊,那之前可能不理解他为啥不信,这回大家理解了吗?就是他下发下发下来的这个伪造的,我不能拿着这个伪造,你给我拿了一套假连连证人带政物全是假的,这不行,CA机构的出现的就是去当一个证人用的,它是内置在操作系统里的,他不在网络当中传递,我再说一遍。那么这样才能够保证我们CA机构的这个价值,它才能够安全。
11:02
那么获取到了这个证书之后,拿内置的这个CA的公钥把它给解开之后,得到了啥?得到了服务器的公钥。接下来我就可以开开心心的拿服务器的公钥去加密数据了。那这份加密的数据有没有可能会被篡改?啊,没可能,因为你在提交的时候,提交上去,这边是公钥加密,他能不能得到这个造假者,他能不能拿到这个服务器的公钥啊,也可以啊。但是他能篡改吗?他是篡改不了的啊,他得到了服务器端的公钥也不行啊,得到了之后攻功不行对吧,两两个就就拼刺刀了嘛,是吧,公钥加密私钥解密,公钥加密啊,公钥解不开,它只有公钥。啊,我也只有公钥两个公怎么行,他解不开,他看都看不见啊,这边造假者他持有了服务器端的公钥,他也解不开这份数据啊,公钥加密,公钥解不开,只有私钥可以解,所以在传输的过程当中,它就保证了安全性,所以在这里边最重要的就是有CA的存在啊,有可信任的人,这一定要可信任啊,如果说你操作系统里边的这个C的证书变得不可信了,就是你媳妇已经变心了,每天去隔壁。
12:27
那他再给你一张银行卡,让你去转钱,这会儿你是不是也不可信了,想要保证家里的这个,嗯,想要保证操作系统的公公CA的公钥不被恶意篡改的话。那你就最好是用这种正版陶瓷系统啊。别没事下载一些乱七八糟的软件。正版系统,然后呢,别装一些这种这个,尤其是对证书你要稍微的敏感一些啊,就有可能给你装了一个什么这种root的跟证书,然后呢,让你莫以莫以为你你这边是一个可信任的状态,其实有可能是一些恶意软件给你装进去的,其实我们现在的主流的这些杀毒软件都会防范一些这个,呃这些跟正书这种这种呃这种植入对吧,那么想要你像这这种这会这个拦截者再想要去篡改数据,想查看我中间传输的数据,他要怎么办,他要入侵操作系统了。
13:22
对吧,比如你用盗版的系统,然后比如说我给你拿U盘拷了一个什么东西,对吧,或者你上了一个什么网站,需要你下载什么加密解密,然后一顿乱点,这种事儿最好别干啊,还有就是一定要用正版的浏览器。这正版的浏览器有网上有很多这种乱七八糟各种浏览器,你最好别用啊,非常非常的不安全,因为所有的这种认证,所有一系列认证操作,包括给我们显示这个小锁套是谁给我们显示出来的,它不是操作系统显示出来的,操作系统只是内部呢,内置的一系列的,呃,这些证书啊,一些公钥等等这些东西。
14:03
是由浏览器这个软件,它把这一系列认证流程通过之后,给我们显示了一条错头,如果你这个浏览器压根就有问题。那这个,那你再怎么去保证安全都不可以,这他都保证不了了。这就是,呃,我们借助于CA机构啊,也是不传递的这个呃。这个证书不传递的这个公钥,同时它是内置在操作系统里的,同时操作系统对他可信,任何操作系统都有这套机制,包括我们手机操作系统,安卓iOS啊都有。呃,这证书在哪呢?在这啊,大家看啊。C ert。mg.MSC。在这儿,所有我们内嵌在操级总理的证书都在这儿,还有你自己下载的啊呃,第三方的跟证书,然后还有这个信任的这个证书,然后不信任的证书全都在这里边啊。
15:06
大家看这第三方跟证书这些都是一些比较知名的这个呃CA机构了,像global sign啊,这是非常非常知名的,然后像这个什么三铁克啊,这个ver啊,这些都是非常知名的,我们也可以呃付费让他们帮我们去签名,这这些这证书其实就是嗯这个证书机构,他自己的这个呃公钥直接内嵌的操作系统里了,他不允许你这个中间拦截者再去给我这个搞一个假的证书出来啊,装完操作井就有,这不是你下载的啊。那这就是这个证书的原理,那这样呢,我们的这个互联网就安全了,HTTPS呢是呃,被称为在21世纪互联网界最伟大发明。啊,这个伟大是真的很伟大,在以前这个网络是非常不可信的,尤其是我们数据传输的过程当中,一旦遇到这种拦截者,很有可能把我们的数据给篡改了。
16:04
LDBS出现之后呢,就好的多了,然后现在大家也能看到有一些这个银行对于这个数据加密要求更高的,除了直接去传输数据之外呢,还会引入一些其他的方案,比如说啊,这个加密的键盘啊,比如你操系统里边,可能我现在拦不着你对吗?那我可以给你植入一些木马,我监听你的键盘对吧,我记录你的这个账号密码。是吧,诶它可以下发一个安全的键盘控件,这个键盘控件不允许这个这个第三方去监听啊,当然也是表面形式,如果真正给你录屏了,其实你也没办法,再有就是呢,我们直接不使用互联网,我们拿手机验证,哎,我在登录之后你要转账对吗?呃,你确定要转多少钱吗?我给你发一个短信,哎,让你填一个验证码,我告诉你啊,你接下来要转5000万给这个小李,你你是不是要确认,那接下来验证码是12345,你要确认的话,你就填这12345。那中间给你篡改了他也不行,或者是内置的什么木马你也能看出来对吧,这就是HTPS21世纪最伟大的互联网界的发明。
我来说两句