密码学与加密安全:安全领域的底层能力 文前导读密码学是网络安全的“地基”。无论是 HTTPS、数字签名、区块链还是数据加密、身份认证背后都离不开密码学。学好密码学不仅能帮你理解安全协议还能在 CTF、安全研究、合规审计中大显身手。一、为什么密码学是安全人的底层能力很多网络安全工程师工作几年后会发现看 HTTPS 握手过程不知道 TLS 到底在做什么分析加密流量看不懂对称加密和非对称加密的区别做等保合规对数据加密、密钥管理要求一知半解遇到 CTF Crypto 题只能望而却步这些问题根因都是密码学基础不扎实。密码学的重要性在于它是数据安全的核心机制保密性、完整性、认证性、不可否认性它是安全协议的设计基础TLS、IPsec、SSH、VPN它是区块链、零信任、隐私计算等前沿方向的基础它是 CTF、安全研究、密码审计的重要技能扫码领取《密码学基础速查手册》包含对称/非对称加密 哈希 数字签名 常见攻击方式总结二、密码学的四大核心概念1. 对称加密Symmetric Encryption加密和解密使用同一个密钥。特点是速度快适合加密大量数据。代表算法AES、DES、3DES、SM4、ChaCha20常见模式ECB、CBC、CFB、OFB、CTR、GCM2. 非对称加密Asymmetric Encryption使用公钥和私钥一对密钥。公钥加密私钥解密或者私钥签名公钥验证。代表算法RSA、ECC、SM2、ElGamal特点速度慢适合加密小数据、密钥交换、数字签名。3. 哈希函数Hash Function把任意长度数据映射成固定长度摘要。具有不可逆、抗碰撞等特性。代表算法MD5、SHA-1、SHA-256、SHA-3、SM3注意MD5 和 SHA-1 已不再安全实际应用中应使用 SHA-256 及以上。4. 数字签名Digital Signature用私钥对消息摘要签名公钥验证签名。确保数据来源可信、内容未被篡改。应用场景代码签名、证书签名、电子合同、区块链交易。三、密码学攻击方式你必须知道1. 中间人攻击MITM攻击者在通信双方之间截获、篡改消息。HTTPS 就是为了防止 MITM。2. 重放攻击Replay Attack攻击者截获合法请求后重新发送。需要引入时间戳、随机数、序号等机制防御。3. 选择明文攻击 / 选择密文攻击攻击者可以获取指定明文/密文的加密结果分析算法弱点。4. 长度扩展攻击针对部分哈希算法如 SHA-1、MD5的攻击方式需要了解 HMAC 正确用法。5. RSA 常见攻击小公钥指数攻击共模攻击低加密指数广播攻击私钥泄露攻击因数分解攻击6. AES-CBC 模式问题ECB 模式可识别重复明文CBC 模式填充 Oracle 攻击IV 预测、固定 IV 等 misuse扫码加入《密码学安全学习群》一起聊 CTF Crypto 题、TLS 协议、国密算法、密钥管理实践四、密码学在安全工作中的应用场景1. HTTPS/TLS 协议分析理解 TLS 握手、证书链、证书验证、会话密钥协商是安全工程师的基本功。2. 数据加密与脱敏企业数据安全要求敏感数据静态加密AES/SM4传输加密TLS 1.2/1.3数据库字段级加密、Token 化脱敏3. 身份认证与授权JWT 签名验证OAuth 2.0 / OpenID Connect国密 SM2 证书体系4. 区块链安全椭圆曲线加密、哈希链、数字签名智能合约漏洞重入、整数溢出、随机数可控钱包安全、私钥管理5. CTF Crypto 题型古典密码、现代密码、RSA 攻击、ECC、LFSR、格密码等。五、密码学学习路线图阶段内容基础数论基础模运算、欧几里得算法、欧拉定理、概率论、信息论古典密码凯撒密码、维吉尼亚密码、栅栏密码、培根密码对称加密流密码、分组密码、AES 算法结构与模式非对称加密RSA、Diffie-Hellman、ECC、ElGamal 原理与攻击哈希与签名MD5/SHA/SM3、HMAC、数字签名、PKI 体系实战CTF Crypto 刷题、TLS 协议分析、国密改造、密码合规六、结语密码学是越学越香的技能密码学不是一天能学会的但每学一点都会让你对安全的理解更深一层。它不像 Web 渗透那样立竿见影但它是你成为高级安全专家的必经之路。扫码获取《密码学安全系统课程》从古典密码到现代加密30 天补齐安全底层能力本文由「网络安全学习笔记」原创整理转载请注明出处。扫描文中二维码可领取更多学习资料和课程信息。