根据用的加密算法的特点,密码体制可分成单钥密码体制(又叫对称密码体制或私钥密码体制)和双钥密码体制(又叫公钥密码体制或非对称密码体制)两种。在单钥密码体制中,一对加密与解密(或签名和验证)算法用的密钥一样,或本质上一样,即由一个密钥能非常容易地得到另一个密钥;在双钥密码体制中,加密与解密(或签名和验证)算法用的密钥不一样,且对非授权者而言,其从一个密钥得出另一个密钥非常难。
对称密码体制的好处是保密强度非常高,可经得住国家级破译力量的分析和攻击。一些经常用的对称加密方法比所有当前能用的双钥加密方法明显快。对称加密体制的不足是它的密钥一定得由安全可靠的途径传输,密钥管理是影响系统安全性的关键因素,其很难符合系统的开放性需求。
非对称加密的主要优点是增加了私钥的安全性,密钥管理问题相较简单,可适用开放性的环境。它的主要不足是保密强度的人为管控力度没有对称密码体制强,且加密速度也没有单钥加密算法快,特别是在加密数据量比较大时。
实际工程中常用的解决措施是把非对称与对称密码体制结合在一起,充分利用非对称系统在密钥分配方面的优点和对称系统在速度方面的优点。这种系统的工作原理如下。
假如用户A与用户B要实现保密通信。第一步用户A通过用户接口模块从非对称数据库中找到用户B的公钥,之后用户A选取一个随机数当做这次会话的加密密钥,也就是会话密钥,会话密钥仅在这次会话过程中有效。用户A用会话密钥当做秘密密钥,用对称密钥算法做加密算法,对会话信息加密得到会话密文。接下来,用户A拿用户B的公钥加密会话密钥,利用公钥密码算法为加密算法,得到会话密钥的密文。最后,用户A把会话密钥的密文及会话密文发给用户B。用户B在得到A发来的会话密钥与会话内容的密文后,先输自己的私钥,用解密算法恢复得到会话密钥,再拿会话密钥得出会话内容,到这里,会话密钥的分配与一次会话过程就完成了。
由此可见,通过把非对称加密算法与对称加密算法结合起来方法,能安全地完成经公开信道的密钥分配,及快速有效的保密通道。
