• Geek_f7f72f
    2019-12-10
    sha3,blake2不介绍下吗,相比所谓的国密,应用范围更广吧

    作者回复: 现有技术没有出现明显的问题,所以大家还是习惯性使用传统的算法,这些新算法的替代性和普及性不会那么高。
    另外,不要低估国密,最近和一些数据安全的人聊,他们表示如果只做国内业务的话,最好都用国密。因为说不定哪天等保或者国内的数据安全法,就强制要求国密了。

    
     7
  • rocedu
    2019-12-10
    密钥的发音问题,依据在哪?

    作者回复: 你好,感谢你的留言。如果一定要追究依据的话,可以查阅字典,只有钥匙读yao。这其实是北京人的方言发音,钥其实是只有yue这个读法的。
    不过嘛,字典也会适应潮流,将错就错,比如‘空穴来风’的意思。所以,科普yue仅仅是我的偏执,不需要认同。

     1
     6
  • Geek_f7f72f
    2019-12-10
    TLS很早就弃用了IDEA,标记为不安全,是因为理论上的缺陷,还是其他原因?

    作者回复: 你好,感谢你的留言。这个问题之前还真没注意到,特地查了一下。看到的原因也就是“due to the availability of faster algorithms”。也就是说,已经有更快更好的AES了,就没有再使用IDEA的意义了。

    
     4
  • return
    2019-12-09
    老师 请教一下:

    唯一性(不存在两个不同的消息,能生成同样的摘要)。

    我理解 散列算法做不到这一点吧, 消息是任意的 是个无限集,但是散列值 是固定长度,必然是有限的。 无限映射有限 肯定会有不同消息生成相同摘要吧。

    作者回复: 理论是这样没错,但实际使用时,你肯定不会有那么多数据需要去做散列。所以,追求的是在有限数据量下,碰撞概率几乎为0。

     1
     4
  • 普通熊猫 ଘ(੭ˊ꒳...
    2020-01-03
    AES,你值得拥有,A代表AES-CTR,E代表ECC,S代表SHA256 加盐。

    匿了

    作者回复: 这个总结可以,我都没想到。

    
     3
  • Vokey
    2019-12-19
    《现代汉语词典(第7版)》:

    【密钥】mìyuè (口语中多读mìyào)

    作者回复: 哈哈,官方实锤~

    
     2
  • Ender0224
    2019-12-12
    请问如何保证对称秘钥在非可信环境中的安全传输,是不是只能只能使用非对称算法先加密才可以,有其他方案么

    作者回复: 你好,感谢你的留言。在https中使用了DH密钥交换算法实现的。可以想象成一边出一半的密钥,然后就能够拼成一个完整密钥。因篇幅限制,课程中没有具体讲。

    
     2
  • splm
    2020-01-08
    先对账号密码md5,然后加盐;那二次进入的时候,账号密码没变,但盐值变了,又是怎么匹配的呢?

    作者回复: 盐值是和账号作唯一关联,且不变的。

    
     1
  • 鸵鸟
    2019-12-19
    非对称加密推荐ECC的原因是什么呢?当前在手机PC的系统安全这些业务上,苹果高通都是使用的RSA,而国内一线手机厂商开始在布局国密SM2同时支持RSA,请问ECC的优势在哪里呢?

    作者回复: 加密强度高。SM2和ECC的原理是一致的,都是椭圆曲线算法。ECC的缺陷在于,生成一组密钥的时间耗时比较长,因此性能上会有一定影响。

    
     1
  • Geek_f7f72f
    2019-12-16
    评论里有提到Bcrypt, 它目前的安全性如何,有没有更好的替代?

    作者回复: 我理解的Bcrypt其实就是散列+盐的封装实现,作为一种最佳实践的封装,安全性上应该不会出现太大问题。

    
     1
  • eason2017
    2019-12-10
    老师好,请问两段用相同密钥做计算,然后,后端做计算后的值比较是否相同。这种算作是对称还是非对称加密呀

    作者回复: 只是加密后密文的比对?那似乎没有加密的必要,散列算法就可以了。

     1
     1
  • 业余爱好者
    2020-01-22
    安全没有密码学的加持,都是浮云。对称加密,非对称密码,哈希散列。
    
    
  • 雷霹雳的爸爸
    2020-01-08
    有一些疑问看留言区里面的讨论大多已经得解,还剩一个想问的是,一看到AES,就不得不想到对称加密的密钥保密传递的问题,这个属于哪类主题?后面是否有课程来讲?

    作者回复: 密钥保密传递是需要自己通过可信通道传递的。除此之外,很多时候也会用dh算法,作可信的对称密钥协商,https就是这么干的。

    
    
  • devil
    2020-01-03
    为什么”盐“可以公开?得到了公开的”盐“,原本的彩虹表加盐转换一下不就得到了新的彩虹表,加过盐的密码散列值不是一样可以通过查表得到?

    作者回复: 你好,感谢你的留言。黑客确实可以利用盐建立新的彩虹表,但是这意味着黑客需要为每一个用户建立一张彩虹表,而建表的过程,其实就和暴力破解的效果一样了。

    
    
  • 小老鼠
    2019-12-31
    HTTPS是对称还是非对称?盐值放在哪儿比较安全?

    作者回复: 协商密钥是非对称的,密钥协商完之后就是对称加密了。
    盐值一般和用户名等唯一标识放一块。盐值不用考虑保密性,只要完全随机且唯一对应即可。

    
    
  • 律飛
    2019-12-26
    在上节课里,老师提到过HTTPS的安全性可以有效地防止黑客从网络上劫持。这话不错,但是作为使用者而言,还是要注意使用环境的安全,如果黑客在本地浏览器抓包,可以轻松获取。另外一方面也说明安全除了靠技术外,安全意识、安全体系建设也是不可或缺的。
    老师这节课讲得很好,但是如果能站在管理层和开发人员角度,再讲讲各种算法开发难度、可用工具、性价比等,岂不快哉!

    作者回复: 后续课程会逐步覆盖的~

    
    
  • 小美
    2019-12-16
    老师好,我们前端需要加密传输数据到后端,怎么防止密钥泄露呢。攻击者通过反编译能拿到前端加密用的密钥,

    作者回复: 非对称加密,公玥不需要保密,存储到前端即可。

     2
    
  • 活明白
    2019-12-15
    2010年1月1日《密码法》正式实施,商用密码应用有相应的规定,特别是关键信息基础设施商用密码的使用。未使用或者未按照要求开着商用密码应用安全性评估的,可能被处罚,情节严重的处十万元以上一百万以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款(可参考第三十七条)。
     1
    
  • Geek_98dc22
    2019-12-14
    国密算法的价值在哪里呢? 从描述来看还是参考ecc aes等算法,但性能还不确定。既然已经有公开的高可用算法,为什么不用或者参与该算法的研究中,进一步提升这类知名加密算法呢

    作者回复: 这就是国家层面的考量了。一方面,是对加密算法的安全性考量,比如DES中可能的后门。另一方面,也是对专利版权的保护,毕竟自己的专利,自己才有可控性。这就和芯片一样,现在用外国的没啥问题,哪天它不让你用了呢?

     1
    
  • 旺旺
    2019-12-14
    非对称效率高,对称加密效率太低,所以一般都是非对称加密传递对承加密密钥,用对称加密传输数据,然后有效期后更换对称加密的秘钥。

    作者回复: 第一句说反了。对称效率高,非对称效率低。

    
    
我们在线,来聊聊吧