转:[密码学]CSP的概念 CSP加密服务提供者(Cryptographic Service Provider)具有一下几个特点: CSP是真正执行密码运算的独立模块 物理上一个CSP由两部分组成:一个动态连接库,一个签名文件 签名文件保证密码服务提供者经过了认证,以防出现攻击者冒充CSP 若加密算法用硬件实现,则CSP还包括硬件装置 Microsoft通过捆绑RSA Base Provider,在操作系统中提供一个CSP,使用RSA公司的公钥加密算法,更多的CSP可以根据需要增加到应用中. W…

CSP加密服务提供者(Cryptographic Service Provider)具有一下几个特点: CSP是真正执行密码运算的独立模块 物理上一个CSP由两部分组成:一个动态连接库,一个签名文件 签名文件保证密码服务提供者经过了认证,以防出现攻击者冒充CSP 若加密算法用硬件实现,则CSP还包括硬件装置 Microsoft通过捆绑RSA Base Provider,在操作系统中提供一个CSP,使用RSA公司的公钥加密算法,更多的CSP可以根据需要增加到应用中. Windows 2000以后自…

/* Skogkatt 开始翻译于2015-01-24,仅作为学习研究之用,谢绝转载. 2015-01-31更新MFT entry 属性概念. 2015-02-01翻译完成. 译注:我翻译这本书的这三章虽然蓄谋已久,但并不是一个计划好的工作.因为之前和vczh.mili.darkfall曾讨论过everything这个软件,也曾想过要写一个开源的everything,于是就出来一个坑.everything这个软件其实是从底层直接parse了NTFS MFT,然后parse类每一个FILE ent…

LinkerLin Go语言推崇的CSP编程模型和设计思想,并没有引起很多Go开发者包括Go标准库作者的重视.标准库的很多设计保留了很浓的OOP的味道.本篇Blog想比较下从设计的角度看,CSP和OOP到底有什么区别. 下面,我们来看一个例子,如果我们有一个项目,需要做一个TCP连接中继器(请原谅我的用词).我们先按照OOP来设计下: 系统的结构:需要有一个客户端和一个服务器端.分两个进程分别跑在不同机器上. 系统对象关系拆分(这里有所简化,E-R图等省略):连接中继器类--系统的主类.conf…

本文部分内容翻译自 Practical-Cryptography-for-Developers-Book,笔者补充了密码学历史以及 openssl 命令示例,并重写了 RSA/ECC 算法原理.代码示例等内容. <写给开发人员的实用密码学>系列文章目录: 写给开发人员的实用密码学(一)-- 概览 写给开发人员的实用密码学(二)-- 哈希函数 写给开发人员的实用密码学(三)-- MAC 与密钥派生函数 KDF 写给开发人员的实用密码学(四)-- 安全随机数生成器 CSPRNG 写给开发人员的实用…

如果本文中的术语让你感到疑惑,请先参阅密码学术语及概念一文. 密码学不是魔术.加密一个应用程序并不能保证它在袭击下的安全(特别是在你没有设置验证密文的情况下).但如果出于商业需求你要确保程序的安全,传统做法会建议你最好不要尝试设计你自己的密码.你应该使用已有的密码库. 好了,以上我都了解了.那么我应该用哪个PHP密码库呢? 这取决于你的实际需求.让我们来看一下一些好的选择.(我们不会提及任何糟糕的密码库的.) 安全的PHP密码库建议 下面是一个安全信任度较高的可部署在生产环境中的PHP密码库清单…

SSL/TLS简介 •SSL:安全套接字层(secure socket layer) •TLS:传输层安全协议(transport layer security) SSL和TLS都是加密协议,旨在基于不安全的基础设施提供安全通信,比如可以用ssl协议对HTTP协议进行加密变成HTTPS. SSL/TLS在OSI层中的位置: ssl协议在网络分层中处于表示层. SSL/TLS协议组成: SSL协议是一种记录协议,协议组成包括: 1字节的content type:握手协议报文.数据协议报文.告警协议…

译注:原文首发于ConsenSys开发者博客,原作者为Eva以及ConsenSys的开发团队.如果您想要获取更多及时信息,可以访问ConsenSys首页点击左下角Newsletter订阅邮件.本文的翻译获得了ConsenSys创始人Lubin先生的授权. 有些人说以太坊太难对付,于是我们(译注:指Consensys, 下同)写了这篇文章来帮助大家学习如何利用以太坊编写智能合约和应用.这里所用到的工具,钱包,应用程序以及整个生态系统仍处于开发状态,它们将来会更好用! 第一部分概述,讨论了关键概念,…

java提供了完整的密码学API,我们可以结合密码学相关的概念来系统的学习这些API. 1.密码学简介(crypto) 密码学通俗来说就是研究如何对信息进行加密和破密,如果不是专门研究信息安全,通常我们只需学习和使用加密的方法,所以破密的相关知识我们可以忽略. 2.加密(Encrypt) 单以加密来说,密码学可以分为经典密码学和现代密码学,经典密码学的重点在于加密算法,利用移位,替换等方法对信息进行加密,一旦算法被人破译那么信息就会泄露.而现代密码学则不同,现代密码学的安全性是基于密钥,算法反而…

这两天最火爆的莫过 “WPA2被破解” 这一条大新闻了.我对其原理非常感兴趣,苦于没有找到的文献,所以就整理这么一篇,方便自己和大家理解.主要是根据目前发布的文章以及一些相关资料. 壹.WPA2的机制 无线通信协议有很多,例如WEP,WPA等都已经被证明不安全,还有TKIP机制也有大量文献说明其缺陷.WPA2协议是WIFI联盟一直力推的协议,被广泛运用在现在的无线互联网络当中:CCMP(Counter Mode CBC-MAC Protocol  )我之前也被推行过很长一段时间,现在有新的GCM…

密码学在计算机科学中使用非常广泛,HTTPS就是建立在密码学基础之上的一种安全的通信协议.HTTPS早在1994年由网景公司首次提出,而如今在众多互联网厂商的推广之下HTTPS已经被广泛使用在各种大小网站中.在完全理解HTTPS之前,有必要弄清楚一些密码学相关的概念,比如:明文.密文.密码.密钥.对称加密.非对称加密.摘要.数字签名.数字证书. 密码(cipher) 密码学中的密码(cipher)和我们日常生活中所说的密码不太一样,计算机术语『密码 cipher』是一种用于加密或者解密的算法,而…

最近区块链大热,走到哪儿都有人在讨论区块链和比特币,甚至于一些对密码学完全没有概念的人都开始大肆吹捧,不免让人嗤之以鼻.相信很多技术和非技术的朋友都希望能够更深层次地去了解它是如何工作的.本文将用不到四千字来尝试阐述区块链的实现原理: 为什么需要区块链这么复杂玩意儿? For every complex problem there is an answer that is clear, simple, and wrong." - H. L. Mencken 在这里不尝试去给区块链一个准确的定义,…

本文转载自SSL/TLS协议详解(上):密码套件,哈希,加密,密钥交换算法 导语 作为一名安全爱好者,我一向很喜欢SSL(目前是TLS)的运作原理.理解这个复杂协议的基本原理花了我好几天的时间,但只要你理解了底层的概念和算法,就会感觉整个协议其实很简单.在学习SSL运作原理的过程中,我获益匪浅.回想起在大学期间学到的密码学,那段时间学习它们可是一件很无聊的事.现在,我开始明白老师为什么要让我学习加密的算法,因为密码学可以让我们的生活变得更加轻松.在这里,我想分享我所学到的一切,当然,我希望这对你…

概述 TLS 全称为 Transport Layer Security(传输层安全),其前身是 SSL,全称为 Secure Sockets Layer(安全套接字层),它的作用是为上层的应用协议提供安全的通信,比如众所周知的 HTTP + TLS = HTTPS. SSL 2.0 是该协议的第一个公开发布的版本,由于其存在的安全问题很快被升级到了 SSL 3.0,并且在 1999 年,IETF 小组将该协议标准化,因此 TLS 1.0 诞生了. 本文将介绍 TLS 1.0 到 TLS 1.3…

1.需求 了解web加密的一些基础概念. 2.基本概念 a.对称加密方式 对称加密方式 加密和解密用同一个密钥 不足之处是,交易双方都使用同样钥匙,安全性得不到保证.此外,每对用户每次使用对称加密算法时,都需要使用其他人不知道的惟一钥匙,这会使得发收信双方所拥有的钥匙数量呈几何级数增长 b.非对称加密方式 非对称加密算法需要两个密钥:公开密钥(publickey)和私有密钥(privatekey).公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密…

一.从两个工具说起 最近Google又推出了两款有关CSP利用的小工具,其一为CSP Evaluator,这是一个能够评估你当前输入的CSP能否帮助你有效避免XSS攻击的工具,其用法非常简单,在输入框中输入你当前设置或将要设置的CSP值,选择需要验证的CSP版本,然后按下"CHECK CSP"即可.不知道CSP是什么的同学,可以看下阿里聚安全博客以前推送的一篇文章<Content Security Policy 入门教程> 下面的列表中会给出评估工具对你输入CSP的安全性评…

如何进行web应用安全防御,是每个web安全从业者都会被问到的问题,非常不好回答,容易过于肤浅或流于理论,要阐明清楚,答案就是一本书的长度.而本文要介绍一本能很好回答这个问题的优秀书籍——<web application defender's cookbook>,这 是一本被低估的“干货”书籍,虽然是为ModSecurity量身定制,但里面提到的防御技巧对web安全从业者均有启发,是WAF版的孙子兵法(有趣的 是,这本书的每个章节均以孙子兵法作为开篇语). 这本书提出了使用ModSecurit…

0x00 背景 今天看到zone里有同学发帖说了探测支付宝登录状态的帖子:http://zone.wooyun.org/content/17665 由此我想到了我们parsec的@/fd 半年前提到的一个思路,当时他给出了一个探测twitter是否登录的页面,可是我那个时候才疏学浅,好像一直没理解.这时候返回去看看,就有了这篇文章. 0x01 CSP简介 内容安全策略(Content Security Policy,简称CSP)是一种以可信白名单作机制,来限制网站中是否可以包含某来源内容.默认配…

HTTPS 是建立在密码学基础之上的一种安全通信协议,严格来说是基于 HTTP 协议和 SSL/TLS 的组合.理解 HTTPS 之前有必要弄清楚一些密码学的相关基础概念,比如:明文.密文.密码.密钥.对称加密.非对称加密.信息摘要.数字签名.数字证书.接下来我会逐个解释这些术语,文章里面提到的『数据』.『消息』都是同一个概念,表示用户之间通信的内容载体,此外文章中提到了以下几个角色: Alice:消息发送者 Bob:消息接收者 Attacker:中间攻击者 Trent:第三方认证机构 密码 密…

  情形一:接口的加.解密与加.验签 rsa不是只有加密解密,除此外还有加签和验签.之前一直误以为加密就是加签,解密就是验签.这是错误的! 正确的理解是: 数据传输的机密性:公钥加密私钥解密是密送,保证消息即使公开也只有私钥持有者能读懂,指的是加密与解密. 身份验证机制:私钥加密公钥解密是签名,保证消息来源是私钥持有者,指的是加签和验签.即数字签名 所以加/解密和加/验签这是两种不同的概念.       即:公加私解,私签公验 注:其实在RSA中公钥和私钥都可以加密或解密,即:1.公加私解,2.…

内容安全策略(Content-Security-Policy,简称CSP) 概念: 内容安全策略(CSP)是一种web应用技术用于帮助缓解大部分类型的内容注入攻击,包括XSS攻击和数据注入等,这些攻击可实现数据窃取.网站破坏和作为恶意软件分发版本等行为.该策略可让网站管理员指定客户端允许加载的各类可信任资源. 浏览器支持: 统计来源:caniuse.com/contentsecuritypolicy & Mozilla 指令参考: Content-Security-Policy 响应头的值可配置…

说起Golang(后面统称为Go),就想到他的高并发特性,在深入一些就是 Goroutine.在大家被它优雅的语法和简洁的代码实现的高并发程序所折服时,其实C#/.NET也可以很容易的做到.今天我们来参照Go,来用C#实现它所采用的的CSP并发模型. CSP(Communicating sequential processes) 这东西我一开始以为很简单,后面差了资料发现它独树一帜,自己是一门语言,也是一套理论.这边我不深入的对它做过多的见解,我怕耽误大家=_=,大家可以看看wiki. wiki…

今天在学椭圆曲线密码(Elliptic Curve Cryptography,ECC)算法,自己手里缺少介绍该算法的专业书籍,故在网上查了很多博文与书籍,但是大多数博客写的真的是...你懂的...真不愧是 ‘天下文章一大抄’ 啊! 雷同不说,关键是介绍的都不是很清楚,是我在阅读过程中.产生的很多疑问无法解决!例如:只来句‘P+Q=R’,但是为什么等于呢?是根据什么计算出来的呢? 后来查了好久,才发现:这是规定的.是定义!瞬间很是无语! 好了,不吐槽了,为了方便大家对椭圆曲线密码算法有系统的了解,…

aspnet core2中使用csp内容安全策略 问题:aspnet core2如何使用csp防止xss的攻击 方法: public void ConfigureServices( IServiceCollection services) { services.AddMvc(); } public void Configure( IApplicationBuilder app, IHostingEnvironment env) { app.UseDeveloperExceptionPage();…

在介绍Hash算法之前,先给大家来个数据结构中对hash表(散列表)的简单解释,然后我再逐步深入,讲解一下hash算法. 一.Hash原理——基础篇 1.1 概念 哈希表就是一种以 键-值(key-indexed) 存储数据的结构,我们只要输入待查找的值即key,即可查找到其对应的值. 哈希的思路很简单,如果所有的键都是整数,那么就可以使用一个简单的无序数组来实现:将键作为索引,值即为其对应的值,这样就可以快速访问任意键的值.这是对于简单的键的情况,我们将其扩展到可以处理更加复杂的类型的键. 使…

  椭圆曲线密码学(Elliptic curve cryptography),简称ECC,是一种建立公开密钥加密的算法,也就是非对称加密.类似的还有RSA,ElGamal算法等.ECC被公认为在给定密钥长度下最安全的加密算法.比特币中的公私钥生成以及签名算法ECDSA都是基于ECC的.下面简单介绍ECC以及ECDSA的原理. 从公钥加密说起   公钥加密,也称非对称加密.可以说它现在是现代网络安全或者网络信任链的基础.公钥加密最大的特征就是通信双方各有一对公私钥,这一对公私钥有着千丝万缕的数学关…

在更详细的学习HTTPS之前,我也觉得很有必要学习下HTTPS经常用到的加密编码技术的背景知识.密码学是对报文进行编解码的机制和技巧.可以用来加密数据,比如数据加密常用的AES/ECB/PKCS5Padding加密,也可以用来防止报文的篡改,使用RSA2048withSHA256签名验证,使用MD5签名等.如果这些不清楚,即使学习简单能做一个HTTPS的服务器和客户端,实际项目上遇见这类问题还是束手无策,下面介绍下数字加密的一些常用的术语. 一.密码学基础概念 1.密码 : 对文本进行编码,使偷…

最近抽空研究.整理了一下Golang调度机制,学习了其他大牛的文章.把自己的理解写下来.如有错误,请指正!!! golang的goroutine机制有点像线程池:        一.go 内部有三个对象: P对象(processor) 代表上下文(或者可以认为是cpu),M(work thread)代表工作线程,G对象(goroutine).        二.正常情况下一个cpu对象启一个工作线程对象,线程去检查并执行goroutine对象.碰到goroutine对象阻塞的时候,会启动一个新的…

一.环境搭建 见我的这篇博客 https://www.cnblogs.com/xuejiale/p/10258244.html 二.golang语言特性1. 垃圾回收    1) 内存自动回收,再也不需要开发人员管理内存     2) 开发人员专注业务实现,降低了心智负担    3) 只需要new分配内存,不需要释放2. 天然并发    1) 从语言层面支持并发,非常简单    2) goroute,轻量级线程,创建成千上万个goroute成为可能 例如: 我们创建F:\go\project\s…

源于从Erlang到Go的一些思维碰撞,就像当初从C++到Erlang一样,整理下来记于此. Actor Actor模型,又叫参与者模型,其”一切皆参与者(actor)”的理念与面向对象编程的“一切皆是对象”类似,但是面向对象编程中对象的交互通常是顺序执行的(占用的是调用方的时间片,是否并发由调用方决定),而Actor模型中actor的交互是并行执行的(不占用调用方的时间片,是否并发由自己决定). 在Actor模型中,actor执行体是第一类对象,每个actor都有自己的ID(类比人的身份证),…