dh算法签名

1. 密码学相关知识梳理

密码学是研究编制密码和破译密码的技术科学。

密码学的历史最早可以追溯到几千年以前，古今中外都有密码学运用的记载，从历史看，战争很大程度给密码学提供了应用环境，推动了密码学的发展，密码学按照发展历程，大体可以分为三个阶段，手工加密、机械加密和计算机加密阶段，下面是近代密码学的一些重要进展。
1949年，信息论始祖克劳德·艾尔伍德·香农（Claude Elwood Shannon）发表了《保密系统的通信理论》一文，把密码学建立在严格的数学基础之上，奠定理论基础，从此成为真正的科学。
1976年，密码学专家惠特菲尔德·迪菲（Bailey Whitfield Diffie）和马丁·赫尔曼（Martin Edward Hellman）两人发表了《密码学的新方向》一文，解决了密钥管理的难题，把密钥分为加密的公钥和解密的私钥，提出了密钥交换算法Diffie-Hellman。
1977年，美国国家标准技术研究所制定数据加密标准（Data Encryption Standard ）,将其颁布为国家标准。
1977年，麻省理工学院的罗纳德·李维斯特（Ron Rivest）、阿迪·萨莫尔（Adi Shamir）和伦纳德·阿德曼（Leonard Adleman）一起提出RSA加密算法，RSA就是他们三人姓氏开头字母拼在一起组成的烂谨羡。
1997年4月，美国ANSI发起征集AES（advanced encryption standard）的活动，并为此成立了AES工作小组，经过几年的时间筛选，最终采用了由比利时晌胡的Joan Daemen和Vincent Rijmen设计的Rijndael算法，并在2002年5月26日成为有效的加密标准。

按密码体制划分：对称密码体制密码学和非对称密码体制密码学对应的有对称密码算法和非对称密码算法。

消息摘要算法又称散列算法，其核心在于散饥拍列函数的单向性，即通过散列函数可获得对应的散列值，但不可通过该散列值反推其原始信息，这是消息摘要算法的安全性的根本所在，我们通常使用该算法判断数据的完整性。

消息摘要算法我们常见比如MD(Message Digest）、SHA(Secure Hash Algorithm)、HMAC(Hash Message Authentication Code)等，常用于验证数据的完整性，是数字签名算法的核心算法。

我们以微信支付的接口调用分析一下摘要算法怎么应用的，首先可以打开微信支付如下相关文档：
微信支付统一下单接口文档
微信支付签名过程

对称加密简单的说就是加密和解密使用同一个密钥，解密算法是加密算法的逆运算。

对称加密算法主要有DES、DES算法的变种DESede、DES替代者AES算法、IDEA、PBE等

非对称加密算法称为双钥或公钥加密算法，跟对称加密算法不同的是，对称加密算法只一个密钥，非对称加密算法 一个公钥和一个私钥，一个用于加密，另外一个用于解密。
简单的说：一对密钥公钥A和私钥B，A加密只能B解密，B加密只能A解密。

非对称加密算法源于DH算法（Diffie-Hellman,密钥交换算法）由W.Diffie和 M.Hellman共同提出,该算法为非对称加密算法奠定了基础，下面我们先来了解下密钥交换算法DH和ECDH算法。
为什么需要密钥交换算法？前面我们提到对称加密算法加解密都是用同一个密钥，我们可以想一下，我们怎样能安全的把一个密钥给到对方呢？比如我们经常用到HTTPS，大家都说HTTPS加密了是安全的，那它加密的密钥怎么来的呢？很显然我们在访问一个https地址的时候，事先并没有密钥，访问过程中客户端跟服务端通过握手协议协商出来的密钥，如果服务端直接把密钥在网络上传输那肯定不安全的，所以这过程到底发生了什么？后面专门分析https的时候会详细写，这里先了解下该算法。
DH密钥交换算法的安全性基于有限域上的离散对数难题
ECDH密钥交换算法是基于椭圆曲线加密

从上面图中可以看出，DH&ECDH密钥交换算法交互双方都会向对方公开一部分信息，即所谓的公钥，这部分即使被别人拿到了也不会威胁到最终的密钥，这里很关键的一点是甲乙两方公布的公钥是不相同的，但是最终生成的密钥两边是一致的，这里是利用的算法原理，有兴趣的可以去查阅详细的算法公式，因为最终的密钥不需要传输给对方，所以很大程度保证安全性。
非对称加密算法：
比较典型的非对称加密算法有RSA、ECC、ElGamal,RSA算法基于大数因子分解难题，而ElGamal和ECC算法则是基于离散对数难题。

从上面消息传递模型我们可以看出，非对称加密算法遵循“私钥加密，公钥解密”和“公钥加密，私钥解密”的原则，但是有一点需要注意，公钥是公开的，所以用在什么场景是需要根据该算法的特征来考虑的，比如既然公钥是公开的，你用私钥加密敏感数据传递给第三方合适么？显然不合适，因为公钥公开的，别人都可以拿到公钥，也就意味着你加密的数据都可以解密，所以适合的场景比如私钥加密，公钥只是用来验证加密的内容，每个人都可以来验证，该场景是不在乎加密内容被其它攻击者看到的，甚至说内容本来就是公开的，对于接收者用公钥确保内容没有被篡改即可，所以我们通常说非对称算法“私钥签名，公钥验证签名”，另外一点，“公钥加密，私钥解密”，因为私钥只有我们自己手上有，所以理论上也只有我们自己可以解密，这样是安全的，https证书验证以及握手协议过程中会体现这一点。

数字签名算法可以看做是一种带有密钥的消息摘要算法，并且这种密钥包含了公钥和私钥。也就是说数字签名算法是非对称加密算法和消息摘要算法的结合体，遵循“私钥签名，公钥验证”的签名认证方式。
数字签名算法是公钥基础设施（Public Key Infrastructure,PKI）以及许多网络安全机制（SSL/TLS,VPN等）的基础。
数字签名算法要求能够验证数据完整性、认证数据来源，并起到抗否认的作用。

数字签名算法主要包括RSA、DSA、ECDSA共3种算法，其中RSA算法源于整数因子分解问题，DSA和ECDSA算法源于离散对数问题。

我们以蚂蚁金服开放平台上接口签名方案为例，详细说明可以打开如下文档：
蚂蚁开放平台签名专区

2. 非对称加密算法 (RSA、DSA、ECC、DH)

非对称加密需要两个密钥：公钥(publickey) 和私钥 (privatekey)。公钥和私钥是一对，如果用公钥对数据加密，那么只能用对应的私钥解密。如果用私钥对数据加密，只能用对应的公钥进行解密。因为加密和解密用的是不同的密钥，所以称为非对称加密。

非对称加密算法的保密性好，它消除了最终用户交换密钥的需要。但是加解密速度要远远慢于对称加密，在某些极端情况下，甚至能比对称加密慢上1000倍。

算法强度复杂、安全性依赖于算法与密钥但是由于其算法复杂，而使得加密解密速度没有对称加密解密的速度快。对称密码体制中只有一种密钥，并且是非公开的，如果要解密就得让对方知道密钥。所以保证其安全性就是保证密钥的安全，而非对称密钥体制有两种密钥，其中一个是公开的，这样就可以不需要像对称密码那样传输对方的密钥了。这样安全性就大了很多。

RSA、Elgamal、背包算法、Rabin、D-H、ECC (椭圆曲线加密算法)。使用最广泛的是 RSA 算法，Elgamal 是另一种常用的非对称加密算法。

收信者是唯一能够解开加密信息的人，因此收信者手里的必须是私钥。发信者手里的是公钥，其它人知道公钥没有关系，因为其它人发来的信息对收信者没有意义。

客户端需要将认证标识传送给服务器，此认证标识 (可能是一个随机数) 其它客户端可以知道，因此需要用私钥加密，客户端保存的是私钥。服务器端保存的是公钥，其它服务器知道公钥没有关系，因为客户端不需要登录其它服务器。

数字签名是为了表明信息没有受到伪造，确实是信息拥有者发出来的，附在信息原文的后面。就像手写的签名一样，具有不可抵赖性和简洁性。

简洁性：对信息原文做哈希运算，得到消息摘要，信息越短加密的耗时越少。

不可抵赖性：信息拥有者要保证签名的唯一性，必须是唯一能够加密消息摘要的人，因此必须用私钥加密 (就像字迹他人无法学会一样)，得到签名。如果用公钥，那每个人都可以伪造签名了。

问题起源：对1和3，发信者怎么知道从网上获取的公钥就是真的？没有遭受中间人攻击？

这样就需要第三方机构来保证公钥的合法性，这个第三方机构就是 CA (Certificate Authority)，证书中心。

CA 用自己的私钥对信息原文所有者发布的公钥和相关信息进行加密，得出的内容就是数字证书。

信息原文的所有者以后发布信息时，除了带上自己的签名，还带上数字证书，就可以保证信息不被篡改了。信息的接收者先用 CA给的公钥解出信息所有者的公钥，这样可以保证信息所有者的公钥是真正的公钥，然后就能通过该公钥证明数字签名是否真实了。

RSA 是目前最有影响力的公钥加密算法，该算法基于一个十分简单的数论事实：将两个大素数相乘十分容易，但想要对其乘积进行因式分解却极其困难，因此可以将乘积公开作为加密密钥，即公钥，而两个大素数组合成私钥。公钥是可发布的供任何人使用，私钥则为自己所有，供解密之用。

A 要把信息发给 B 为例，确定角色：A 为加密者，B 为解密者。首先由 B 随机确定一个 KEY，称之为私钥，将这个 KEY 始终保存在机器 B 中而不发出来；然后，由这个 KEY 计算出另一个 KEY，称之为公钥。这个公钥的特性是几乎不可能通过它自身计算出生成它的私钥。接下来通过网络把这个公钥传给 A，A 收到公钥后，利用公钥对信息加密，并把密文通过网络发送到 B，最后 B 利用已知的私钥，就能对密文进行解码了。以上就是 RSA 算法的工作流程。

由于进行的都是大数计算，使得 RSA 最快的情况也比 DES 慢上好几倍，无论是软件还是硬件实现。速度一直是 RSA 的缺陷。一般来说只用于少量数据加密。RSA 的速度是对应同样安全级别的对称密码算法的1/1000左右。

比起 DES 和其它对称算法来说，RSA 要慢得多。实际上一般使用一种对称算法来加密信息，然后用 RSA 来加密比较短的公钥，然后将用 RSA 加密的公钥和用对称算法加密的消息发送给接收方。

这样一来对随机数的要求就更高了，尤其对产生对称密码的要求非常高，否则的话可以越过 RSA 来直接攻击对称密码。

和其它加密过程一样，对 RSA 来说分配公钥的过程是非常重要的。分配公钥的过程必须能够抵挡中间人攻击。假设 A 交给 B 一个公钥，并使 B 相信这是A 的公钥，并且 C 可以截下 A 和 B 之间的信息传递，那么 C 可以将自己的公钥传给 B，B 以为这是 A 的公钥。C 可以将所有 B 传递给 A 的消息截下来，将这个消息用自己的密钥解密，读这个消息，然后将这个消息再用 A 的公钥加密后传给 A。理论上 A 和 B 都不会发现 C 在偷听它们的消息，今天人们一般用数字认证来防止这样的攻击。

(1) 针对 RSA 最流行的攻击一般是基于大数因数分解。1999年，RSA-155 (512 bits) 被成功分解，花了五个月时间（约8000 MIPS 年）和224 CPU hours 在一台有3.2G 中央内存的 Cray C916计算机上完成。

RSA-158 表示如下：

2009年12月12日，编号为 RSA-768 (768 bits, 232 digits) 数也被成功分解。这一事件威胁了现通行的1024-bit 密钥的安全性，普遍认为用户应尽快升级到2048-bit 或以上。

RSA-768表示如下：

(2) 秀尔算法
量子计算里的秀尔算法能使穷举的效率大大的提高。由于 RSA 算法是基于大数分解 (无法抵抗穷举攻击)，因此在未来量子计算能对 RSA 算法构成较大的威胁。一个拥有 N 量子位的量子计算机，每次可进行2^N 次运算，理论上讲，密钥为1024位长的 RSA 算法，用一台512量子比特位的量子计算机在1秒内即可破解。

DSA (Digital Signature Algorithm) 是 Schnorr 和 ElGamal 签名算法的变种，被美国 NIST 作为 DSS (DigitalSignature Standard)。 DSA 是基于整数有限域离散对数难题的。

简单的说，这是一种更高级的验证方式，用作数字签名。不单单只有公钥、私钥，还有数字签名。私钥加密生成数字签名，公钥验证数据及签名，如果数据和签名不匹配则认为验证失败。数字签名的作用就是校验数据在传输过程中不被修改，数字签名，是单向加密的升级。

椭圆加密算法（ECC）是一种公钥加密算法，最初由 Koblitz 和 Miller 两人于1985年提出，其数学基础是利用椭圆曲线上的有理点构成 Abel 加法群上椭圆离散对数的计算困难性。公钥密码体制根据其所依据的难题一般分为三类：大整数分解问题类、离散对数问题类、椭圆曲线类。有时也把椭圆曲线类归为离散对数类。

ECC 的主要优势是在某些情况下它比其他的方法使用更小的密钥 (比如 RSA)，提供相当的或更高等级的安全。ECC 的另一个优势是可以定义群之间的双线性映射，基于 Weil 对或是 Tate 对；双线性映射已经在密码学中发现了大量的应用，例如基于身份的加密。不过一个缺点是加密和解密操作的实现比其他机制花费的时间长。

ECC 被广泛认为是在给定密钥长度的情况下，最强大的非对称算法，因此在对带宽要求十分紧的连接中会十分有用。

比特币钱包公钥的生成使用了椭圆曲线算法，通过椭圆曲线乘法可以从私钥计算得到公钥， 这是不可逆转的过程。

https://github.com/esxgx/easy-ecc

Java 中 Chipher、Signature、KeyPairGenerator、KeyAgreement、SecretKey 均不支持 ECC 算法。

https://www.jianshu.com/p/58c1750c6f22

DH，全称为"Diffie-Hellman"，它是一种确保共享 KEY 安全穿越不安全网络的方法，也就是常说的密钥一致协议。由公开密钥密码体制的奠基人 Diffie 和 Hellman 所提出的一种思想。简单的说就是允许两名用户在公开媒体上交换信息以生成"一致"的、可以共享的密钥。也就是由甲方产出一对密钥 (公钥、私钥)，乙方依照甲方公钥产生乙方密钥对 (公钥、私钥)。

以此为基线，作为数据传输保密基础，同时双方使用同一种对称加密算法构建本地密钥 (SecretKey) 对数据加密。这样，在互通了本地密钥 (SecretKey) 算法后，甲乙双方公开自己的公钥，使用对方的公钥和刚才产生的私钥加密数据，同时可以使用对方的公钥和自己的私钥对数据解密。不单单是甲乙双方两方，可以扩展为多方共享数据通讯，这样就完成了网络交互数据的安全通讯。

具体例子可以移步到这篇文章： 非对称密码之DH密钥交换算法

参考：
https://blog.csdn.net/u014294681/article/details/86705999

https://www.cnblogs.com/wangzxblog/p/13667634.html

https://www.cnblogs.com/taoxw/p/15837729.html

https://www.cnblogs.com/fangfan/p/4086662.html

https://www.cnblogs.com/utank/p/7877761.html

https://blog.csdn.net/m0_59133441/article/details/122686815

https://www.cnblogs.com/muliu/p/10875633.html

https://www.cnblogs.com/wf-zhang/p/14923279.html

https://www.jianshu.com/p/7a927db713e4

https://blog.csdn.net/ljx1400052550/article/details/79587133

https://blog.csdn.net/yuanjian0814/article/details/109815473

3. 什么是dh算法

DH组的本质是使用非对称密钥来加密对称密钥。
DH算法过程：
1、相互产生密钥对
2、交换公钥
3、用对方的公钥和自己的私钥运行DH算法——得到另外一个密钥X（这里的奇妙之处是这个值两端都是一样的）
4、A产生对称加密密钥，用密钥X加密这个对称的加密密钥——发送到B
5、B用密钥X解密——得到对称的加密密钥
6、B用这个对称的加密密钥来解密A的数据

4. 简要介绍DH密钥交换算法

姓名：朱睿琦

学号：15180288015

参考：https://ke..com/item/Diffie-Hellman/9827194?fr=aladdin

http://blog.csdn.net/fw0124/article/details/8462373

【嵌牛导读】：随着互联网络的高速发展，计算机运算能力的提升，对信息的保密也有了更近一步的要求——不仅信息要保密，密钥也要保密。DH(Diffie-Hellman)算法就提供了使密钥安全通过不安全网络的方法。

【嵌牛鼻子】：DH算法，密钥，网络信息安全

【嵌牛提问】：DH算法是用来保护什么在网络中的通信安全？DH密钥交换的基本原理是什么？

【嵌牛正文】：(1)、算法描述

离散对数的概念：

原根 ：如果 a 是素数 p 的一个原根，那么数值：

a mod p ， a^ 2 mod p ，…， a^( p-1) mod p

是各不相同的整数，且以某种排列方式组成了从 1 到 p-1 的所有整数。

离散对数 ：如果对于一个整数 b 和素数 p 的一个原根 a ，可以找到一个唯一的指数 i ，使得：

b =（ a的i次方） mod p 其中 0 ≦ i ≦ p-1

那么指数 i 称为 b 的以 a 为基数的模p的离散对数。

Diffie-Hellman算法的有效性依赖于计算离散对数的难度，其含义是：当已知大素数 p 和它的一个原根 a 后，对给定的 b ，要计算 i ，被认为是很困难的，而给定 i 计算 b 却相对容易。

Diffie-Hellman算法：

假如用户A和用户B希望交换一个密钥。

取素数 p 和整数 a ， a 是 p 的一个原根，公开 a 和p。

A选择随机数XA< p ，并计算YA= a^ XA mod p。

B选择随机数XB< p ，并计算YB= a^ XB mod p。

每一方都将X保密而将Y公开让另一方得到。

A计算密钥的方式是：K=(YB) ^XA mod p

B计算密钥的方式是：K=(YA) ^XB mod p

证明：

(YB)^ XA mod p = ( a^ XB mod p )^ XA mod p

= ( a^ XB)^ XA mod p = ( a^ XA) ^XB mod p (<-- 密钥即为 a^(XA*XB) mod p )

=( a^ XA mod p )^ XB mod p = (YA) ^XB mod p

由于XA和XB是保密的，而第三方只有 p 、 a 、YB、YA可以利用，只有通过取离散对数来确定密钥，但对于大的素数 p ，计算离散对数是十分困难的。

例子：

假如用户Alice和用户Bob希望交换一个密钥。

取一个素数 p =97和97的一个原根 a =5。

Alice和Bob分别选择秘密密钥XA=36和XB=58，并计算各自的公开密钥：

YA= a^ XA mod p =5^36 mod 97=50

YB= a^ XB mod p =5^58 mod 97=44

Alice和Bob交换了公开密钥之后，计算共享密钥如下：

Alice：K=(YB) ^XA mod p =44^36 mod 97=75

Bob：K=(YA) ^XB mod p =50^58 mod 97=75

(2)、安全性

当然，为了使这个例子变得安全，必须使用非常大的XA, XB 以及 p ， 否则可以实验所有的可能取值。(总共有最多97个这样的值, 就算XA和XB很大也无济于事)。

如果 p 是一个至少 300 位的质数，并且XA和XB至少有100位长， 那么即使使用全人类所有的计算资源和当今最好的算法也不可能从a, p 和a^(XA*XB) mod p 中计算出 XA*XB。

这个问题就是着名的离散对数问题。注意g则不需要很大, 并且在一般的实践中通常是2或者5。

在最初的描述中，迪菲－赫尔曼密钥交换本身并没有提供通讯双方的身份验证服务，因此它很容易受到中间人攻击。

一个中间人在信道的中央进行两次迪菲－赫尔曼密钥交换，一次和Alice另一次和Bob，就能够成功的向Alice假装自己是Bob，反之亦然。

而攻击者可以解密（读取和存储）任何一个人的信息并重新加密信息，然后传递给另一个人。因此通常都需要一个能够验证通讯双方身份的机制来防止这类攻击。

有很多种安全身份验证解决方案使用到了迪菲－赫尔曼密钥交换。例如当Alice和Bob共有一个公钥基础设施时，他们可以将他们的返回密钥进行签名。

5. 常见的加密算法、原理、优缺点、用途

在安全领域，利用密钥加密算法来对通信的过程进行加密是一种常见的安全手段。利用该手段能够保障数据安全通信的三个目标：

而常见的密钥加密算法类型大体可以分为三类：对称加密、非对称加密、单向加密。下面我们来了解下相关的算法原理及其常见的算法。

在加密传输中最初是采用对称密钥方式，也就是加密和解密都用相同的密钥。

1.对称加密算法采用单密钥加密，在通信过程中，数据发送方将原始数据分割成固定大小的块，经过密钥和加密算法逐个加密后，发送给接收方

2.接收方收到加密后的报文后，结合解密算法使用相同密钥解密组合后得出原始数据。

图示：

非对称加密算法采用公钥和私钥两种不同的密码来进行加解密。公钥和私钥是成对存在，公钥是从私钥中提取产生公开给所有人的，如果使用公钥对数据进行加密，那么只有对应的私钥（不能公开）才能解密，反之亦然。N 个用户通信，需要2N个密钥。

非对称密钥加密适合对密钥或身份信息等敏感信息加密，从而在安全性上满足用户的需求。

1.甲使用乙的公钥并结合相应的非对称算法将明文加密后发送给乙，并将密文发送给乙。
2.乙收到密文后，结合自己的私钥和非对称算法解密得到明文，得到最初的明文。

图示：

单向加密算法只能用于对数据的加密，无法被解密，其特点为定长输出、雪崩效应（少量消息位的变化会引起信息摘要的许多位变化）。

单向加密算法常用于提取数据指纹，验证数据的完整性、数字摘要、数字签名等等。

1.发送者将明文通过单向加密算法加密生成定长的密文串，然后传递给接收方。

2.接收方将用于比对验证的明文使用相同的单向加密算法进行加密，得出加密后的密文串。

3.将之与发送者发送过来的密文串进行对比，若发送前和发送后的密文串相一致，则说明传输过程中数据没有损坏；若不一致，说明传输过程中数据丢失了。

图示：

MD5、sha1、sha224等等

密钥交换IKE（Internet Key Exchange）通常是指双方通过交换密钥来实现数据加密和解密

常见的密钥交换方式有下面两种：

将公钥加密后通过网络传输到对方进行解密，这种方式缺点在于具有很大的可能性被拦截破解，因此不常用

DH算法是一种密钥交换算法，其既不用于加密，也不产生数字签名。

DH算法通过双方共有的参数、私有参数和算法信息来进行加密，然后双方将计算后的结果进行交换，交换完成后再和属于自己私有的参数进行特殊算法，经过双方计算后的结果是相同的，此结果即为密钥。

如：

安全性

在整个过程中，第三方人员只能获取p、g两个值，AB双方交换的是计算后的结果，因此这种方式是很安全的。

答案：使用公钥证书

公钥基础设施是一个包括硬件、软件、人员、策略和规程的集合

用于实现基于公钥密码机制的密钥和证书的生成、管理、存储、分发和撤销的功能

签证机构CA、注册机构RA、证书吊销列表CRL和证书存取库CB。

公钥证书是以数字签名的方式声明，它将公钥的值绑定到持有对应私钥的个人、设备或服务身份。公钥证书的生成遵循X.509协议的规定，其内容包括：证书名称、证书版本、序列号、算法标识、颁发者、有效期、有效起始日期、有效终止日期、公钥 、证书签名等等的内容。

1.客户A准备好要传送的数字信息（明文）。（准备明文）

2.客户A对数字信息进行哈希（hash）运算，得到一个信息摘要。（准备摘要）

3.客户A用CA的私钥（SK）对信息摘要进行加密得到客户A的数字签名，并将其附在数字信息上。（用私钥对数字信息进行数字签名）

4.客户A随机产生一个加密密钥（DES密钥），并用此密钥对要发送的信息进行加密，形成密文。 （生成密文）

5.客户A用双方共有的公钥（PK）对刚才随机产生的加密密钥进行加密，将加密后的DES密钥连同密文一起传送给乙。（非对称加密，用公钥对DES密钥进行加密）

6.银行B收到客户A传送过来的密文和加过密的DES密钥，先用自己的私钥（SK）对加密的DES密钥进行解密，得到DES密钥。（用私钥对DES密钥解密）

7.银行B然后用DES密钥对收到的密文进行解密，得到明文的数字信息，然后将DES密钥抛弃（即DES密钥作废）。（解密文）

8.银行B用双方共有的公钥（PK）对客户A的数字签名进行解密，得到信息摘要。银行B用相同的hash算法对收到的明文再进行一次hash运算，得到一个新的信息摘要。（用公钥解密数字签名）

9.银行B将收到的信息摘要和新产生的信息摘要进行比较，如果一致，说明收到的信息没有被修改过。（对比信息摘要和信息）

答案是没法保证CA的公钥没有被篡改。通常操作系统和浏览器会预制一些CA证书在本地。所以发送方应该去那些通过认证的CA处申请数字证书。这样是有保障的。

但是如果系统中被插入了恶意的CA证书，依然可以通过假冒的数字证书发送假冒的发送方公钥来验证假冒的正文信息。所以安全的前提是系统中不能被人插入非法的CA证书。

END

6. 什么是DH非对称加密算法

DH（仅能用于密钥分配，不能加解密数据）
非对称加密算法

特点：

发送方和接收方均有一个密钥对（公钥+私钥），其中公钥传播，私钥自己保存，不需要传播
私钥不需要传播的特性解决了对称加密算法中密钥传播的困难（这个困难一般通过线下传递可以解决）
加密安全性极高，只用于一些电子商务网站，加解密速度远低于对称加密
一般情况下，为了解决非对称加密算法加解密速度低的问题，采用非对称加密（使用公钥+私钥对对称加密的密钥进行加解密）+对称加密（加解密数据）相结合的方式。
常见算法：

DH（非对称加密的基石）
RSA（非对称加密的经典，除了可用于非对称加密，也可用于数字签名，RSA--155(512位密钥)已被破解）
ElGamal

7. 如何改进DH算法,使其抵御中间人攻击

改进DH算法使其抵御中间人攻击的方法是：在途中根据需要修改它们的密文，使得A和B都不知道他们在和C共享通信。

DH算法的缺点是没有提供双方身份的任何信息.。它是计算密集性的，因此容易遭受阻塞性攻击，即对手请求大量的密钥。受攻击者花费了相对多的计算资源来求解无用的幂系数而不是在做真正的工作.，没办法防止重演攻击。

容易遭受中间人的攻击，第三方C在和A通信时扮演B；和B通信时扮演A.A和B都与C协商了一个密钥，然后C就可以监听和传递通信量。

(7)dh算法签名扩展阅读：

基于原根的定义及性质，可以定义Diffie-Hellman密钥交换算法.该算法描述如下：

1、有两个全局公开的参数，一个素数q和一个整数a,a是q的一个原根。

2、假设用户A和B希望交换一个密钥，用户A选择一个作为私有密钥的随机数XA(XA<q)，并计算公开密钥YA=a^XA mod q。A对XA的值保密存放而使YA能被B公开获得。类似地用户B选择一个私有的随机数XB<q，并计算公开密钥YB=a^XB mod q。B对XB的值保密存放而使YB能被A公开获得。

3、用户A产生共享秘密密钥的计算方式是K = (YB)^XA mod q.同样，用户B产生共享秘密密钥的计算是K = (YA)^XB mod q.这两个计算产生相同的结果：

K = (YB)^XA mod q = (a^XB mod q)^XA mod q = (a^XB)^XA mod q = a^(XBXA) mod q = (a^XA)^XB mod q = (a^XA mod q)^XB mod q = (YA)^XB mod q 因此相当于双方已经交换了一个相同的秘密密钥。

8. TLS过程（DH 非对称加密）

TLS 的目的便是解决数据的
一、Record 记录协议 （对称加解密）

二、HandShake 握手，挥手
验证通讯双方身份
交换加解密的安全套件
协商加密解密参数

当一个TLS会话建立好之后，会使用对称加密的密钥去通信，那么如何实现事先将对称加密的密钥传递给TLS会话的另一方呢。利用的就是非对称加密。分对称加密比对称加密慢数千倍，所以只是使用对称加密传递之后加密使用的对称加密的密钥。之后的加密安全性靠的是对称加密来解决。

非对称加密是有一把公钥和一把私钥，公钥可以公开，而私钥不能。
用公钥加密成密文，再将密文用私钥解密就能实现加解密过程。
而用私钥加密，公钥解密就是签名认证过程。
常见的非对称加密方式分为两大类

RSA 没有向前安全性，也就是需要每次的对称加密密钥的传递都是基于 公钥加密，服务端私钥解密。如果服务端的私钥丢失了，那几年前的通信数据都有可能被解密。所以这是极度不安全的，私钥的地位太重了，如果每次的加解密都是临时生成的密码来解决安全性，才不会对私钥的安全性有如此强的依赖。在2013年的棱镜门事件中，某个CA机构迫于美国政府压力向其提交了CA的私钥，这就是十分危险的。如果向前不安全，那么之前利用该CA私钥都会全部遭殃。所以这里说的是更安全的 DH类非对称加密。

下图就是DH密钥交换的TLS握手过程

DH 密钥交换协议，Diffile-Hellman key Exchange，简称 DH 或 DHE 。它可以让双方在完全没有对方任何预先信息的条件下通过一个不安全的信道创建一个密钥。

1、客户端浏览器随机生成一个值Ra，计算Pa(x,y) = Ra*Q(x,y), Q(x,y)为全世界公认的某个椭圆曲线算法的基点。将Pa(x,y)发送至服务器。

2、服务器随机生成一个值Rb，计算 Pb(x,y) = Rb * Q(x,y)。将Pb(x,y)发送到客户端浏览器。

3、客户端计算Sa(x,y) = Ra * Pb(x,y)，服务器计算Sb(x,y)=Rb*Pa(x,y)

4、算法保证了Sa=Sb=S, 提取其中的S的x向量作为密钥。

为了解决上述DH的问题，引入了ECC椭圆曲线，进而进化为 ECDHE 算法，称为 Elliptic Curve Diffie-Hellman Key Exchange。ECC和RSA 在288字节的长度下，破解RSA需要煮沸一勺水的能量，而破解相同位数的ECC 就需要煮沸整个地球水的能量。RSA 为了提高安全性，只能靠增大密钥位数。尴尬的是现在的超算越来越厉害。量子计算下秀尔算法可8h内轻松破解2048位的RSA。RSA只能再增大密钥位数，但是再增大位数，移动端设备就惨了，你增大的密钥是运营商要收取流量费用的，而且加解密太费电。
ECC 的数学原理是椭圆曲线和离散对数。椭圆曲线很复杂。为了提升性能，还需要选择一个椭圆曲线，但是它不是真正的椭圆形，下面有图可以看到，只是运算上用到了椭圆算法。
但是ECC也有很多问题，1、ECC 可能有后门，如NSA（美国国家安全局发布的一套算法），这个算法就是被怀疑被植入后门了。2、而且ECC很多的算法都被注册专利了，一不小心就要吃官司，其专利大部分都被黑莓注册。

ECC 椭圆曲线的定义

ECC 的算法原理过于复杂，这里表示我也看不懂。点到为止吧。（以后看懂了再来补充）

这里的抓包结果就是用的EC DH E 算法来进行密钥交换的。这里选择的曲线是 secp256r1, 在这个曲线中，基点和参数已经给出了，PubKey 也给出了。
在 TLS1.3 中，一般使用的 X25519 曲线 （蒙哥马利曲线）