Fundamentals of cryptography

Cryptography

密碼學是將資訊轉換為意外讀者無法理解的形式的過程。
Cryptography is the process of transforming information into a form that unintended readers can't understand.

對稱 vs 非對稱加密

brute force attacks

「密碼對暴力破解攻擊（brute force attacks）」的脆弱性。這種攻擊方式就像嘗試每一個可能的組合鎖密碼，從而找到正確的密碼。這強調了在學習加密過程中，了解安全性的重要性。

主流加密演算法規格比較表

| Blowfish | 對稱加密 | 32-448位元 (可變) | 中等 | - 檔案加密- 舊版安全協議 | 靈活但已被AES取代 |

公鑰基礎設施 (PKI)Public key infrastructure

• Public key infrastructure,PKI一種加密框架 encryption framework ，用於保護線上資訊的交換。
• 是一個廣泛的系統，使訪問資訊快速、簡單且安全。
  graph TB
  A[用戶端] -->|1. 生成密鑰對| B(公鑰/私鑰) B -->|2. 提交CSR| C[CA機構] C -->|3. 驗證身份| D[數位憑證簽發] D -->|4. 部署憑證| E[安全通信通道]

數位憑證/證書digital certificates

• 公鑰基礎設施（PKI）中第二步驟的重要性。
• PKI透過在計算機和網絡之間建立數位證書digital certificates的系統來解決密鑰共享的脆弱性。
• 數位證書是一種檔案，它用來驗證公鑰持有者的身份。
• 網上信息的交流大多是透過數位證書進行的，用戶、公司和網絡持有這些證書，並在在線交流信息時交換，以表示彼此之間的信任。

憑證生成流程

ex:一個在線商業在啟動其網站時，需獲取數位證書。當他們註冊域名時，託管公司會將一些基本資訊（如公司名稱和總部所在國家）發送給certificate authority受信的證書機構（CA），並提供網站的公鑰。證書機構會驗證公司的身份，確認後用其私鑰加密數據，最終製作包含加密公司數據的數位證書，並附上CA的數位簽名以證明其真實性

• 公司公鑰（Public Key） 與 組織資訊（如域名、公司名稱、地址等）= 證書簽名請求（CSR, Certificate Signing Request）
• 數位證書digital certificates =CSR/Certificate Signing Request(公司公鑰+組織資訊)+CA簽名
• CA簽名= Encrypt CA私鑰 (Hash(公司公鑰+組織資訊))
• 將原始 CSR 資料、數位簽名、CA 資訊等封裝為 X.509 標準格式 的數位證書。

Symmetric and asymmetric encryption

OpenSSL

生成密鑰這些演算法必須在組織選擇一個來保護其數據時實施。這樣做的一個方法是使用 OpenSSL，這是一個開源命令行工具，可以用來生成公鑰和私鑰。OpenSSL 通常被電腦用來驗證作為公鑰基礎設施的一部分而交換的數字證書。

生成RSA密鑰對

openssl genpkey -algorithm RSA -out private.pem -pkeyopt rsa_keygen_bits:4096 openssl rsa -pubout -in private.pem -out public.pem

驗證憑證簽章

openssl x509 -in certificate.crt -noout -text # 查看憑證詳細資訊 openssl verify -CAfile ca-bundle.crt site.crt # 驗證信任鏈

合規與最佳實踐

法規框架

• FIPS 140-3：規範加密模組的安全等級（如Level 3需防物理篡改）
• GDPR第32條：要求「適當技術措施」保護個人數據，AES-256與RSA-2048為常見合規選擇