資料加密演算法

http://blog.joycode.com/moslem/archive/2003/12/29/10108.aspx

目前企業面臨的計算環境和過去有很大的變化，許多資料資源能夠依靠網路來遠程存取，而且越來越多的通訊依賴於公用網路公用網路（如 Internet），而這些環境並不保證實體間的安全通訊，資料在傳輸過程可能被其它人讀取或篡改。

加密將防止資料被查看或修改，並在原本不安全的通道上提供安全的通訊通道，它達到以下目的：

• 保密性：防止使用者的標識或資料被讀取。
• 資料完整性：防止資料被更改。
• 身分識別驗證：確保資料發自特定的一方。

一、資料加密/編碼演算法列表

常見用於保證安全的加密或編碼演算法如下：

1、常用密鑰演算法

密鑰演算法用來對敏感性資料、摘要、簽名等資訊進行加密，常用的密鑰演算法包括：

• DES（Data Encryption Standard）：資料加密標準，速度較快，適用於加密大量資料的場合；
• 3DES（Triple DES）：是基於DES，對一塊資料用三個不同的密鑰進行三次加密，強度更高；
• RC2和 RC4：用變長金鑰組大量資料進行加密，比 DES 快；
• IDEA（International Data Encryption Algorithm）國際資料加密演算法，使用 128 位密鑰提供非常強的安全性；
• RSA：由 RSA 公司發明，是一個支援變長密鑰的公用密鑰演算法，需要加密的檔案快的長度也是可變的；
• DSA（Digital Signature Algorithm）：數位簽章演算法，是一種標準的 DSS（數位簽章標準 (DSS)）；
• AES（Advanced Encryption Standard）：進階加密標準，是下一代的密碼編譯演算法標準，速度快，安全層級高，目前 AES 標準的一個實現是 Rijndael 演算法；
• BLOWFISH，它使用變長的密鑰，長度可達448位，運行速度很快；
• 其它演算法，如ElGamal、Deffie-Hellman、新型橢圓曲線演算法ECC等。

 2、單向散列演算法

單向散列函數一般用於產生訊息摘要，祕密金鑰加密等，常見的有：

• MD5（Message Digest Algorithm 5）：是RSA資料安全公司開發的一種單向散列演算法，MD5被廣泛使用，可以用來把不同長度的資料區塊進行暗碼運算成一個128位的數值；
• SHA（Secure Hash Algorithm）這是一種較新的散列演算法，可以對任意長度的資料運算產生一個160位的數值；
• MAC（Message Authentication Code）：訊息認證代碼，是一種使用密鑰的單向函數，可以用它們在系統上或使用者之間認證檔案或訊息。HMAC（用於訊息認證的密鑰散列法）就是這種函數的一個例子。
• CRC（Cyclic Redundancy Check）：迴圈冗餘校正碼，CRC校正由於實現簡單，檢錯能力強，被廣泛使用在各種資料校正應用中。佔用系統資源少，用軟硬體均能實現，是進行資料轉送差錯檢測地一種很好的手段（CRC 並不是嚴格意義上的散列演算法，但它的作用與散列演算法大致相同，所以歸於此類）。

 3、其它資料演算法

其它資料演算法包括一些常用編碼演算法及其與明文（ASCII、Unicode 等）轉換等，如 Base 64、Quoted Printable、EBCDIC 等。

二、演算法的 .NET 實現

常見的加密和編碼演算法都已經在 .NET Framework中得到了實現，為編碼人員提供了極大的便利性，實現這些演算法的名稱空間是：System.Security.Cryptography。

System.Security.Cryptography 命名空間提供Data Encryption Service，包括安全的資料編碼和解碼，以及許多其他動作，例如散列法、隨機數字產生和訊息身分識別驗證。

System.Security.Cryptography 是按如下方式組織的：

1、私密金鑰加密

私密金鑰加密又稱為對稱式加密，因為同一密鑰既用於加密又用於解密。私密金鑰密碼編譯演算法非常快（與公開金鑰演算法相比），特別適用於對較大的資料流執行加密轉換。

.NET Framework 提供以下實現私密金鑰密碼編譯演算法的類：

• DES：DESCryptoServiceProvider
• RC2：RC2CryptoServiceProvider
• Rijndael（AES）：RijndaelManaged
• 3DES：TripleDESCryptoServiceProvider

2、公開金鑰加密和數位簽章

 公開金鑰加密使用一個必須對未經授權的使用者保密的私密金鑰和一個可以對任何人公開的公開金鑰。用公開金鑰加密的資料只能用私密金鑰解密，而用私密金鑰簽名的資料只能用公開金鑰驗證。公開金鑰可以被任何人使用；該密鑰用於加密要發送到私密金鑰持有人的資料。兩個金鑰組於通訊會話都是唯一的。公開金鑰加密演算法也稱為不對稱演算法，原因是需要用一個祕密金鑰加密資料而需要用另一個密鑰來解密資料。

.NET Framework 提供以下實現公開金鑰加密演算法的類：

• DSA：DSACryptoServiceProvider
• RSA：RSACryptoServiceProvider 

3、雜湊（Hash）值

雜湊演算法將任意長度的二進位值對應為固定長度的較小二進位值，這個小的二進位值稱為雜湊值。雜湊值是一段資料唯一且極其緊湊的數值表示形式。如果散列一段明文而且哪怕只更改該段落的一個字母，隨後的雜湊都將產生不同的值。要找到散列為同一個值的兩個不同的輸入，在計算上是不可能的，所以資料的雜湊值可以檢驗資料的完整性。

.NET Framework 提供以下實現數位簽章演算法的類：

• HMAC：HMACSHA1 （HMAC 為一種使用密鑰的 Hash 演算法）
• MAC：MACTripleDES
• MD5：MD5CryptoServiceProvider
• SHA1：SHA1Managed、SHA256Managed、SHA384Managed、SHA512Managed

4、隨機數產生

加密金鑰需要儘可能地隨機，以便使產生的密鑰很難再現，所以隨機數產生是許多加密操作不可分割的組成部分。

在 .NET Framework 中，RNGCryptoServiceProvider 是隨機數產生器演算法的實現，對於資料演算法，.NET Framework 則在其它命名空間中實現，如 Convert 類實現 Base 64 編碼，System.Text 來實現編碼方式的轉換等。

從以上來看，.NET Framework 對於資料加密/編碼還是支援比較好，大大地方便了開發人員，但美中不足的是，.NET Framework 中的資料加密演算法仍然不夠完全，如 IDEA、BLOWFISH、其它演算法，如ElGamal、Deffie-Hellman、ECC 等，對於一些其它的資料校正演算法支援也不夠，如 CRC、SFV 等，開發人員只能去從早期代碼做移植或者尋找第三方廠商的實現。

BTW：看著這麼多資料加密演算法，是不是有點頭暈？看看 這個圖片 後，你一定感覺到一些壓力的