密码学与PKI公钥体系说明

1、 HYPERLINK / 密码学和PKI公钥体系简介目录 TOC o 1-3 h z HYPERLINK l _Toc55922254 一.关键词： PAGEREF _Toc55922254 h 2 HYPERLINK l _Toc55922255 二.密码学 PAGEREF _Toc55922255 h 3 HYPERLINK l _Toc55922256 2.1什么是密码学 PAGEREF _Toc55922256 h 3 HYPERLINK l _Toc55922257 2.2密码学的起源 PAGEREF _Toc55922257 h 3 HYPERLINK l _Toc55922258

2、 2.3 什么是加密算法 PAGEREF _Toc55922258 h 3 HYPERLINK l _Toc55922259 2.4 对称加密算法与非对称加密算法 PAGEREF _Toc55922259 h 4 HYPERLINK l _Toc55922260 2.4.1 对称加密算法 PAGEREF _Toc55922260 h 4 HYPERLINK l _Toc55922261 2.4.2 非对称加密算法 PAGEREF _Toc55922261 h 5 HYPERLINK l _Toc55922262 2.5 RSA 算法详细介绍 PAGEREF _Toc55922262 h 6 H

3、YPERLINK l _Toc55922263 2.5.1 RSA公开密钥密码系统的数学原理 PAGEREF _Toc55922263 h 6 HYPERLINK l _Toc55922264 2.5.2 RSA公钥体系可用于对数据信息进行数字签名 PAGEREF _Toc55922264 h 6 HYPERLINK l _Toc55922265 2.5.3散列函数 PAGEREF _Toc55922265 h 7 HYPERLINK l _Toc55922266 三.公钥基础结构(PKI) PAGEREF _Toc55922266 h 8 HYPERLINK l _Toc55922267 四

4、.证书颁发机构(CA) PAGEREF _Toc55922267 h 10 HYPERLINK l _Toc55922268 四.证书 PAGEREF _Toc55922268 h 11 HYPERLINK l _Toc55922269 4.1证书信息 PAGEREF _Toc55922269 h 11 HYPERLINK l _Toc55922270 4.2生成加密密钥和证书申请 PAGEREF _Toc55922270 h 11 HYPERLINK l _Toc55922271 4.3证书的安全机制 PAGEREF _Toc55922271 h 11 HYPERLINK l _Toc559

5、22272 五.智能卡 PAGEREF _Toc55922272 h 13一.关键词：公钥基础结构 (PKI)通常用于描述规范或治理证书和公，私钥的法律，政策，标准和软件的术语。在实践中，它是检验和验证与电子事务相关的每一方的数字证书，证书认证和其他注册颁发机构的系统。公钥基础结构也被称为PKI.证书颁发机构 (CA)负责建立并保证属于用户（最终实体）或其他证书颁发机构的公钥的真实性的实体。证书方法机构的活动可能包括通过所签署的证书将公钥绑定到特征名称上，以及治理证书序号和证书吊销。证书颁发机构也被称为CA。证书公钥证书，通常简称为证书，是一种数字签名的声明，它将公钥值与拥有对应私钥的个人、设

6、备或服务的身份绑定到一起。用于对在不安全网络（如Internet）上的信息进行身份验证和安全交换的数据集。证书将公钥安全地棒定到持有相应私钥的实体中。证书由颁发证书的机构进行数字签名，同时可被治理以便用于用户，计算机或服务。 被最广泛同意的证书格式由ITU-TX509国际标准定义。智能卡信用卡大小的设备，用于安全地存储公钥和私钥，密码以及其他类型的个人信息。要使用智能卡，需要有连接到计算机的智能卡阅读器和智能卡的个人PIN号码。CrytpAPI作为Microsoft Windows的一部分提供的应用程序编程接口（API）。CrytpAPI提供了一组函数，这些函数同意应用程序在对用户的敏感私钥数

7、据提供爱护时以灵活的方式对数据进行加密或数字签名。实际的加密操作由加密服务提供程序(CSP)的独立模块执行。CrytpAPI也被称为CAPI。数字签名 HYPERLINK ms-its:K:WINNThelpHELP=glossary.hlp TOPIC=gls_digital_signature o 查看定义 数字签名是一种确保数据完整性和原始性的方法。由于数据被签名并确认了对数据签名的人或实体的身份，因此数字签名提供有力的证据。数字签名启用“完整性”和“认可”这两项重要安全功能，这是实施安全电子商务的差不多要求。 二.密码学“世界上有两种密码： 一种是防止你的小妹妹偷看你的文件；另一种是防

8、止当局阅读你的文件资料。”摘自Bruce.Schneier应用密码学2.1什么是密码学“假如把一封信所在保险柜中，把保险柜藏在纽约的某个地点，然后告诉你去看这封信，这并不是安全，而是隐藏。相反，假如把一封信锁在保险柜里，然后把保险柜及其设计规范和许多同样的保险柜给你，以便你和世界上最好的开保险柜的专家能够研究锁的装置，而你依旧无法打开保险柜去读这封信，这才是安全的概念。”摘自Bruce.Schneier应用密码学2.2密码学的起源最早的密码学应用可追溯到公元前2000 年古埃及人使用的象形文字。这种文字由复杂的图形组成，其含义只被为数不多的人掌握着。而最早将现代密码学概念运用于实际的人是恺撒大

9、帝（尤利西斯.恺撒公元前100年 44 年）。他不太相信负责他和他手下将领通讯的传令官，因此他发明了一种简单的加密算法把他的信件加密。第二次世界大战以后，由于与计算机技术的结合，密码学的理论研究与实际应用得到了飞速的进展，随之产生了专门多新的分支理论，如微粒照片，数字图片水印技术和其他专门多隐藏被传递和存储的信息的方法。其中，最常见的确实是利用计算机将明文和密码变成密文和将密码和密文变成明文。2.3 什么是加密算法所谓加密算法确实是指将信息变成密文的计算方法。有的加密算法确实是对信息进行简单的替换或乱序，这种加密算法最明显的缺陷确实是，算法本身必须保证是保密的。现代加密算法通常都需要密钥来完成

10、对信息的加密运算，算法本身能够公开，理论上，只要保证密钥的安全就能保证信息的安全。最早的恺撒密文确实是一种简单的字母替换加密算法。算法本身特不简单，但同时也是最容易破解的算法。其加密方式确实是，按照其在英文字母表里的顺序，将字母循环移位。整个算法可归结为下面的公式：F(x) = ( x + s ) mod 26其中x 是原文字母，s 是一个常数。例如，假如s 等于3，则字母A就被加密为D，而字母Z 就被加密为C。这种加密方法尽管简单，然而缺点也是显而易见的。比如，明文中字母C 出现的次数是5 次的话，则加密后对应的字母出现的次数也是5 次，也确实是讲字母出现的频率没有变化。比如E 是英文中最常

11、用的字母，那么给定一个足够大的密文，该文中出现最多的字母专门可能确实是E，假如不是，那可能是A、I 或Q。密码学专家只用十几个密码字母就能专门快的进行这种统计攻击。现代加密算法与这种简单的字母替换算法不同的地点在于，加密算法的安全性基于用于加密的密钥而不是算法本身。关于好的加密算法，即使公开其算法设计原理也可不能对其安全性产生丝毫的阻碍。只要用于加密的密钥是安全的，则被加密的信息也确实是安全的。2.4 对称加密算法与非对称加密算法基于密钥的加密算法能够分为两大类：对称加密算法和非对称加密算法(也叫公钥算法)。2.4.1 对称加密算法所谓的对称密钥算法确实是用加密数据使用的密钥能够计算出用于解密

12、数据的密钥，反之亦然。绝大多数的对称加密算法加密密钥和解密密钥差不多上相同的。对称加密算法要求通讯双方在建立安全信道之前，约定好所使用的密钥。关于好的对称加密算法，其安全性完全决定于密钥的安全，算法本身是能够公开的，因此一旦密钥泄漏就等于泄漏了被加密的信息。对称算法是传统常用的算法。它最广泛使用的是DES算法。DES(Data Encryption Standard) 算法是美国政府机关为了爱护信息处理中的计算机数据而使用的一种加密方式，是一种常规密码体制的密码算法，目前已广泛用于电子商务系统中。64位DES的算法详细情况已在美国联邦信息处理标准（FIPS PUB46）上发表。该算法输入的是6

13、4比特的明文，在64比特密钥的操纵下产生64比特的密文；反之输入64比特的密文，输出64比特的明文。64比特的密钥中含有8个比特的奇偶校验位，因此实际有效密钥长度为56比特。随着研究的进展，DES算法在差不多不改变加密强度的条件下，进展了许多变形DES。Triple-DES 是DES算法扩展其密钥长度的一种方法，可使加密密钥长度扩展到128比特（112比特有效）或192比特（168比特有效）。其差不多原理是将128比特的密钥分为64比特的两组，对明文多次进行一般的DES加解密操作，从而增强加密强度。具体实现方式不在此详细描述。对称算法最要紧的问题是：由于加解密双方都要使用相同的密钥，因此在发送

14、、接收数据之前，必须完成密钥的分发。因而，密钥的分发便成了该加密体系中的最薄弱因而风险最大的环节。各种差不多的手段均专门难保障安全地完成此项工作。从而，使密钥更新的周期加长，给他人破译密钥提供了机会。实际上这与传统的保密方法差不不大。在历史战争中，破获他国情报的纪录不外是两种方式：一种是在敌方更换“密码本”的过程中截获对方密码本；另一种是敌人密钥变动周期太长，被长期跟踪，找出规律从而被破获。在对称算法中，尽管由于密钥强度增强，跟踪找出规律破获密钥的机会大大减小了，但密钥分发的困难问题几乎无法解决。如，设有n方参与通信，若 n 方都采纳同一个对称密钥，一旦密钥被破解，整个体系就会崩溃；若采纳不同

15、的对称密钥则需 n(n-1) 个密钥，密钥数与参与通信人数的平方数成正比。这便使大系统密钥的治理几乎成为不可能。 图一. 对称加/解密示意图 图中：SK为秘密密钥，SK密钥的传递通过秘密的物理通道。 2.4.2 非对称加密算法所谓非对称加密算法是指用于加密的密钥与用于解密的密钥是不同的，而且从加密的密钥无法推导出解密的密钥。这类算法之因此被称为公钥算法是因为用于加密的密钥是能够广泛公开的，任何人都能够得到加密密钥并用来加密信息，然而只有拥有对应解密密钥的人才能将信息解密。在公钥体制中，加密密钥不同于解密密钥，将加密密钥公之于众，谁都能够使用；而解密密钥只有解密人自己明白。它们分不称为PK公开密

16、钥 (Public key) 和SK秘密密钥 (Secret key)。迄今为止的所有公钥密码体系中，RSA系统是最闻名、使用最广泛的一种。RSA公开密钥密码系统是由R. Rivest、A. Shamir和L. Adleman三位教授于1977年提出的。RSA的取名确实是来自于这三位发明者的姓的第一个字母。RSA算法对数据的加/解密的过程如图所示。收方B的秘密密钥（私钥）SKB由B自己保存，其相应的公开密钥（公钥）PKB可经公开信道送给发方A等通信伙伴。RSA算法研制的最初理念与目标是旨在解决利用公开信道传输分发DES算法的秘密密钥的难题。而实际结果不但专门好地解决了那个难题，还可利用RSA来

17、完成对电文的数字签名，以防止对电文的否认与抵赖，同时还能够利用数字签名较容易地发觉攻击者对电文的非法篡改，以爱护数据信息的完整性。 图二. 非对称加/解密示意图图中： PKB 收方的公开密钥 SKB 收方的秘密密钥2.5 RSA 算法详细介绍2.5.1 RSA公开密钥密码系统的数学原理 密钥治理中心产生一对公开密钥和秘密密钥的方法如下：在离线方式下，先产生两个足够大的强质数p、q。可得p与q的乘积为n=pxq。再由p和q算出另一个数z=(p-1)(q-1)，然后再选取一个与z互素的奇数e，称e为公开指数；从那个e值能够找出另一个值d，并能满足ed=1 mod (z)条件。由此而得到的两组数(n

18、，e) 和 (n，d)分不被称为公开密钥和秘密密钥，或简称公钥和私钥。关于明文M，用公钥 (n，e) 加密可得到密文C。C = M mod (n) (1)关于密文C，用私钥(n，d)解密可得到明文M。M = C mod (n) (2)(2) 式的数学证明用到了数论中的欧拉定理，具体过程那个地点不赘述。同法，也可定义用私钥(n，d)先进行解密后，然后用公钥(n，e)进行加密（用于签名）。p、q、z由密钥治理中心负责保密。在密钥对一经产生便自动将其销毁或者为了以后密钥恢复的需要将其存入离线的安全黑库里面；如密钥对是用户自己离线产生的，则p、q、z的保密或及时销毁由用户自己负责。在本系统中，这些工作

19、均由程序自动完成。在密钥对产生好后，公钥则通过签证机关CA以证书的形式向用户分发；经加密后的密态私钥用PIN卡携带分发至用户本人。RSA算法之因此具有安全性，是基于数论中的一个特性事实：立即两个大的质数合成一个大数专门容易，而相反的过程则特不困难。在当今技术条件下，当n足够大时，为了找到d，欲从n中通过质因子分解试图找到与d对应的p、q是极其困难甚至是不可能的。由此可见，RSA的安全性是依靠于作为公钥的大数n的位数长度的。为保证足够的安全性，一般认为现在的个人应用需要用384或512比特位的n，公司需要用1024比特位的n，极其重要的场合应该用2048比特位的n。2.5.2 RSA公钥体系可用

20、于对数据信息进行数字签名 RSA公钥体系还可用于对数据信息进行数字签名。所谓数字签名确实是信息发送者用其私钥对从所传报文中提取出的特征数据或称数字指纹进行RSA算法解密运算操作，得到发信者对该数字指纹的签名函数H（m）。签名函数H（m）从技术上标识了发信者对该电文的数字指纹的责任。因发信者的私钥只有他本人才有，因此他一旦完成了签名便保证了发信人无法抵赖曾发过该信息（即不可抵赖性）。经验证无误的签名电文同时也确保信息报文在经签名后未被篡改（即完整性）。当信息接收者收到报文后，就能够用发送者的公钥对数字签名的真实性进行验证。美国参议院已通过了立法，现在在美国,数字签名与手书签名的文件具有同等的法律

21、效力。2.5.3散列函数在数字签名中有重要作用的电文的数字指纹是通过一类专门的散列函数（HASH函数）生成的 在数字签名中有重要作用的电文的数字指纹是通过一类专门的散列函数(HASH函数)生成的，对这类HASH函数的专门要求是：1同意的输入报文数据没有长度限制；2对输入任何长度的报文数据能够生成该电文固定长度的摘要(数字指纹)输出；3从报文能方便地算出摘要；4极难从指定的摘要生成一个报文，而由该报文又反推算出该指定的摘要；5两个不同的报文极难生成相同的摘要。曾有数家统计计算结果表明，如数字指纹h(m)的长度为128位(bit)时，则任意两个分不为M1M2的电文具有完全相同的h(m)的概率为10

22、24，即近于零的重复概率。它较人类指纹的重复概率1019还要小5个数量级。而当我们取h(m)为384(bit)乃至1024(bit)时，则更是不大可能重复了。另外，如电文M1与电文M2全等,则有h(m1)与h(m2)全等，如只将M2或M1中的某任意一位(bit)改变了，其结果将导致h(m1)与h(m2)中有一半左右对应的位(bit)的值都不相同了。这种发散特性使电子数字签名专门容易发觉（验证签名）电文的关键位的值被人篡改了。三.公钥基础结构(PKI)公钥基础结构 (PKI)是由数字证书、证书颁发机构 (CA) 以及核实和验证通过公钥加密方法进行电子交易的每一方的合法性的其他注册颁发机构所构成的

23、系统。目前作为电子商务必要组成部分的公钥基础结构 (PKI) 已被广泛应用PKI是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。例如，某企业能够建立公钥基础设施（PKI）体系来操纵对其计算机网络的访问。在今后，企业还能够通过公钥基础设施（PKI）系统来完成对进入企业大门和建筑物的提货系统的访问操纵。PKI让个人或企业安全地从事其商业行为。企业职员能够在互联网上安全地发送电子邮件而不必担心其发送的信息被非法的第三方（竞争对手等）截获。企业能够建立其内部Web站点，只对其信任的客户发送信息。PKI采纳各参与方都信任一个同一CA（认证中心），由该CA来核对和

24、验证各参与方身份的身份这种信任机制。例如，许多个人和企业都信任合法的驾驶证或护照。这是因为他们都信任颁发这些证件的同一机构-政府，因而他们也就信任这些证件。然而，一个学生的学生证只能被核发此证的学校来进行验证。数字证书也一样。通过公钥基础设施（PKI），交易双方（可能是在线银行与其客户或者是雇主与其雇员）共同信任签发其数字证书的认证中心（CA）。典型的是采纳数字证书的应用软件和CA信任的机制。例如，有相同客户端扫瞄器中根证书列表中包含了它所信任CA的根证书，当扫瞄器需要验证一个数字证书的合法性（假如讲要进行在线安全交易）的时候，此扫瞄器首先从其根证书列表中查找签发该数字证书的认证中心根证书，假

25、如该认证中心根证书存在于扫瞄器的根证书列表中并验证通过后，扫瞄器承认此站点的具有合法身份并显示此站点的网页。假如该认证中心根证书不在信任CA根证书列表中，扫瞄器会显示警告信息并询问是否要信任那个新的认证中心。通常地，扫瞄器会弹出提供永久的信任、临时的信任或不相信该认证中心的选项对话框给客户选择，因为作为客户来讲，他们有权选择信任哪些认证中心，而信任的处理工作通过应用软件来完成（在那个例子中是通过扫瞄器完成的）。公开密钥基础设施PKI（Public Key Infrastructure）是国际上目前较为成熟的解决开放式互联网络信息安全需求的一套体系，而且还在进展之中。PKI体系支持： 身份认证

26、信息传输、存储的完整性 信息传输、存储的机密性 操作的不可否认性 基础设施的目的确实是：只要遵循必要的原则，不同的实体就能够方便地使用基础设施提供的服务。PKI公开密钥基础设施确实是为整个组织（组织适能够被定义的）提供安全的差不多框架，能够被组织中任何需要安全的应用和对象使用。安全设施的接入点是统一的，便于使用（就像是TCP/IP栈和墙上的电源插座一样）。PKI那个具有普适性的安全基础设施适用与多种环境的框架。那个框架幸免了零碎的、点对点的，特不是没有互操作性的解决犯案，引入了可治理的机制以及跨越多个应用和计算平台的一致安全性。 PKI公开密钥基础设施设施能够实现应用支撑的功能。关于应用支撑举

27、一个例子来讲，电力系统确实是一个应用支撑，它能够让应用，如烤炉、电灯正常工作。进一步将，电力基础设施具有通用性和有用性的特点，它能支持新的应用（如吹风机），而这些应用在电力基础设施设计的时候还没有出现。PKI公开密钥基础设施具有同样的特性。（与PKI安全基础设施对应的应用是指需要安全服务而使用安全基础设施的模块，例如Web扫瞄器、电子邮件客户端程序、IPSec支撑的设备等等）发送接收发送者用接收方的公钥加密接收方用自己的私钥解密图三. PKI中加密技术图解：发送者用接收方的公钥加密接收方用自己的私钥解密图四: PKI中签名技术图解：四.证书颁发机构(CA)证书颁发机构 (CA) 是受托付向个人

28、、计算机或单位颁发证书的机构，它确认属于其他机构的证书的身份及其他属性。CA 同意证书申请，依照 CA 的策略验证申请者的信息，然后使用其私钥将其数字签名应用于证书。然后 CA 将证书颁发给证书的受领人，用作公钥基础结构 (PKI) 内的安全凭证。CA 还负责吊销证书并公布证书吊销列表 (CRL)。CA 能够是远程的第三方机构，如 VeriSign，也能够是您通过安装 Windows 2000 证书服务而创建的由您的单位使用的 CA。每个 CA 都要求证书申请者有明确的身份证明，如 Windows 2000 域帐户、职员的工作证、驾驶员执照、已确认的申请或物理地址。与此类似的身份检查通常可担保

29、现场 CA，以便单位能够验证其职员或成员的合法身份。每个 CA 都还有确认自己身份的证书，或者由另一个被信任的 CA 颁发，或者假如是根 CA，则由自己颁发。记住，任何人都能够创建 CA。但实际需要考虑的问题是，作为用户或治理员，您是否信任该 CA，以及该 CA 所拥有的策略和过程是否适合于确认由该 CA 颁发其证书的机构的身份。四.证书证书要紧是证明证书持有人的身份颁发机构所颁发的数字声明。证书将公钥与拥有相应私钥的个人、计算机或服务绑在一起。4.1证书信息主题公钥值 主题标识符信息（如名称和电子邮件地址） 有效期（证书的有效时刻） 颁发者标识符信息 颁发者的数字签名，它用来证实主题公钥和主

30、题标识符信息之间绑定关系的有效性 4.2生成加密密钥和证书申请当您生成新证书申请时，请求中的信息将首先从申请程序传送到 Microsoft 加密应用程序接口，称为 HYPERLINK ms-its:K:WINNThelpHELP=glossary.hlp TOPIC=gls_cryptoapi o 查看定义 CryptoAPI。CryptoAPI 将正确的数据传递到安装在计算机或计算机能够访问的设备上的称为加密服务提供程序 (CSP) 的程序。假如 CSP 是基于软件的，它将在计算机上生成密钥对： HYPERLINK ms-its:K:WINNThelpHELP=glossary.hlp TO

31、PIC=gls_public_key o 查看定义 公钥和 HYPERLINK ms-its:K:WINNThelpHELP=glossary.hlp TOPIC=gls_private_key o 查看定义 私钥。假如 CSP 是基于硬件的，例如智能卡 CSP，它将指导硬件生成密钥对。生成密钥后，软件 CSP 加密并在计算机的注册表中爱护私钥智能卡 CSP 将私钥存储在智能卡上，智能卡操纵对私钥的访问。公钥连同证书申请者信息被发送到 HYPERLINK ms-its:K:WINNThelpHELP=glossary.hlp TOPIC=gls_certification_authority

32、o 查看定义 证书颁发机构 (CA)。在 CA 依照其策略验证证书请求后，它将使用自己的私钥在证书中创建 HYPERLINK ms-its:K:WINNThelpHELP=glossary.hlp TOPIC=gls_digital_signature o 查看定义 数字签名，然后将其颁发给申请者。因此证书申请者将获得来自 CA 的证书，并能够决定将证书安装在相应的计算机或是硬件设备的证书存储区中。 4.3证书的安全机制证书对许多安全服务都专门有用。证书能够用于下列用途：身份验证。验证某人或某物的身份。 隐私。确保只有特定用户才可使用信息。 加密。掩盖信息，使未授权的用户不能将其解密。 数字签

33、名。认可信息并保证信息的完整性。 身份验证身份验证关于安全通讯十分重要。用户必须在与另一方通讯时有能力证实双方的身份。网络上的身份验证专门复杂，因为通讯各方在通讯时实际上没有接触。这会为不法分子截获消息或冒充另一个人或实体提供了可乘之机。数字 HYPERLINK ms-its:K:WINNThelpHELP=glossary.hlp TOPIC=gls_certificate o 查看定义 证书是提供身份验证的常用保密措施。证书使用加密技术解决物理上缺乏联系的通讯问题。使用这些技术限制不法分子截获、篡改或伪造消息的可能性。这些加密技术使证书难以修改。因此，实体要冒充他人专门困难。 证书中的数据

34、包括来自证书主题的公钥和私钥对的公用加密密钥。关于带有发送方 HYPERLINK ms-its:K:WINNThelpHELP=glossary.hlp TOPIC=gls_private_key o 查看定义 私钥签名的消息，消息接收方能够使用发送方 HYPERLINK ms-its:K:WINNThelpHELP=glossary.hlp TOPIC=gls_public_key o 查看定义 公钥确认其真实性。公钥能够在发送方证书的副本上找到。使用证书公钥验证签名能够证实签名是使用证书主题私钥创建的。假如发送方小心并保持私钥机密性，接收方就能够确信消息发送方的身份。 隐私网络（例如，In

35、ternet）上的通讯容易受到未知的，可能依旧有恶意的用户的监视。公用网络关于未加密的敏感信息来讲是危险的，因为任何人都能够访问网络同时对在两点间传输的数据进行分析。即便专用 HYPERLINK ms-its:K:WINNThelpHELP=glossary.hlp TOPIC=gls_local_area_network_lan o 查看定义 局域网 (LAN) 也容易被有意图的入侵者从物理上进入网络。因此，假如在任何类型的网络上的计算设备间传输敏感信息，用户几乎确信会使用一些加密方法来保证数据的隐秘性。加密能够将 HYPERLINK ms-its:K:WINNThelpHELP=gloss

36、ary.hlp TOPIC=gls_encryption o 查看定义 加密看作是把某些贵重的东西锁到一个有钥匙的保险箱中。相反，解密能够理解为打开保险箱，取出贵重的物品。在计算机上，以电子邮件形式存在的敏感数据、磁盘上的文件和网络上传输的文件都能够使用密钥加密。加密的数据和加密数据的密钥差不多上专门难破解的。通常， HYPERLINK ms-its:K:WINNThelpHELP=glossary.hlp TOPIC=gls_public_key_encryption o 查看定义 公钥加密不用于加密大量数据。然而，公钥加密确实提供了有效的方法：向某些用户发送密钥，当大量数据执行了 HYPERLINK ms-its:K:WINNThe