清尘大哥-CSDN博客

原创《商用密码-应用与安全性评估》学习2：商用密码应用与安全性评估政策法规

目录2.1　网络空间安全形势与商用密码工作2.1.1　国际国内网络空间安全形势2.1.2　商用密码的由来与发展2.1.3　商用密码应用问题及安全性评估的重要性2.2　商用密码管理法律法规2.2.1　《密码法》实施前商用密码法律法规体系2.2.2　《密码法》立法情况和商用密码法律法规体系建设展望2.3　商用密码应用法律政策要求2.3.1　国家法律法规有关密码应用的要求2.3.2　国家战略和规划有关密码应用的要求2.3.3　行业和地区有关密码应用要求2.4　商用密

2022-03-08 16:20:26 6623

原创《商用密码-应用与安全性评估》学习笔记汇总

章节传送门第1·章：密码基础知识密码基础知识第2章：商用密码应用与安全性评估政策法规第3章：商用密码标准与产品应用第4章：密码应用安全性评估实施要点第5章：商用密码应用安全性评估案例 ...

2022-03-08 16:19:24 8718

原创《商用密码-应用与安全性评估》学习1：密码基础知识

目录1.1 密码应用概述1.2 密码应用安全性评估的基本原理1.3 密码技术发展1.4 密码算法1.5 密钥管理1.6 密码协议1.7 密码功能实现示例写在前面：建议没有学习过密码学基础知识的，请先移步——>《图解密码技术》学习笔记汇总在《商用密码-应用与安全性评估》专题中，重点在于国密算法及测评的相关内容。对于密码学的基础知识，不再详细记录。另外，写这些博客，是学习过程中的笔记而已。欢迎交流学习心得。第一章密码基础知识...

2022-03-07 17:07:19 4300

原创《图解密码技术》笔记10：证书-为公钥加上数字签名

目录10.1　本章学习的内容10.2　证书10.2.1　什么是证书10.2.2　证书的应用场景10.3　实际生成一张证书10.3.1　VeriSign的免费试用服务10.3.2　生成证书10.3.3　将证书从Web浏览器中导出10.3.4　证书的内容10.3.5　证书标准规范X.50910.4　公钥基础设施（PKI）10.4.1　什么是公钥基础设施10.4.2　PKI的组成要素10.4.3　认证机构的工作10.4.4　证书的层级结构10.4.5

2022-02-26 11:00:59 3294

原创《图解密码技术》笔记15：密码技术与现实社会-我们生活在不完美的安全中

目录15.1　本章学习的内容15.2　密码技术小结15.2.1　密码学家的工具箱15.2.2　密码与认证15.2.3　密码技术的框架化15.2.4　密码技术与压缩技术15.3　追寻完美的密码技术15.3.1　量子密码15.3.2　量子计算机15.3.3　哪一种技术会率先进入实用领域15.4　只有完美的密码，没有完美的人15.4.1　理论是完美的，现实是残酷的15.4.2　防御必须天衣无缝，攻击只需突破一点15.4.3　攻击实例1：经过PGP加密的电子邮

2022-02-26 10:55:00 702

原创《图解密码技术》笔记14：SSL/TLS-为了更安全的通信

目录14.1　本章学习的内容14.2　什么是SSL/TLS14.2.1　Alice在Bob书店买书14.2.2　客户端与服务器14.2.3　用SSL/TLS承载HTTP14.2.4　SSL/TLS的工作14.2.5　SSL/TLS也可以保护其他的协议14.2.6　密码套件14.2.7　SSL与TLS的区别14.3　使用SSL/TLS进行通信14.3.1　层次化的协议14.3.2　1　TLS记录协议14.3.3　2-1　握手协议14.3.4　2-2　密码

2022-02-26 10:47:59 3771

原创《图解密码技术》笔记13：PGP-密码技术的完美组合

目录13.1　本章学习的内容13.2　PGP简介13.2.1　什么是PGP13.2.2　PGP的功能13.3　生成密钥对13.4　加密与解密13.4.1　加密13.4.2　解密13.5　生成和验证数字签名13.5.1　生成数字签名13.5.2　验证数字签名13.6　生成数字签名并加密以及解密并验证数字签名13.6.1　生成数字签名并加密13.6.2　解密并验证数字签名13.7　信任网13.7.1　公钥合法性13.7.2　场景1：通过自己的数

2022-02-26 10:43:12 2358

原创《图解密码技术》笔记12：随机数-不可预测性的源泉

12.1　骡子的锁匠铺12.2　本章学习的内容12.3　使用随机数的密码技术12.3.1　随机数是干什么用的12.4　随机数的性质12.4.1　对随机数的性质进行分类12.4.2　随机性12.4.3　不可预测性12.4.4　不可重现性12.5　伪随机数生成器12.5.1　伪随机数生成器的结构12.6　具体的伪随机数生成器12.6.1　杂乱的方法12.6.2　线性同余法12.6.3　单向散列函数..

2022-02-26 10:33:04 472

原创《图解密码技术》笔记11：密钥-秘密的精华

11.1　本章学习的内容11.2　什么是密钥11.2.1　密钥就是一个巨大的数字11.2.2　密钥与明文是等价的11.2.3　密码算法与密钥11.3　各种不同的密钥11.3.1　对称密码的密钥与公钥密码的密钥11.3.2　消息认证码的密钥与数字签名的密钥11.3.3　用于确保机密性的密钥与用于认证的密钥11.3.4　会话密钥与主密钥11.3.5　用于加密内容的密钥与用于加密密钥的密钥11.4　密钥的管理11...

2022-02-26 10:27:16 646

原创《图解密码技术》笔记9：数字签名-消息到底是谁写的

数字签名可以识别篡改和伪装，还可以防止否认。9.1　羊妈妈的认证9.2　本章学习的内容9.3　数字签名Alice发送消息给Bob。Alice使用只有自己知道的密钥生成一个签名，接收者Bob使用一个和Alice不同的密钥对签名进行验证。使用Bob的密钥无法根据消息生成签名，但是用Bob的密钥却可以对Alice生成的签名进行验证。9.3.1　Alice的借条9.3.2　从消息认证码到数字签名9.3.3　签名的生成和验证在...

2022-02-26 09:53:08 732

原创《图解密码技术》笔记8：消息认证码-消息被正确传送了吗

使用消息认证码可以判断消息是否被篡改，以及该消息是否来自期望的发送者。8.1 本章学习的内容8.2 消息认证码8.2.1　汇款请求是正确的吗消息的完整性：消息没有被篡改消息的认证：消息来自正常的发送者8.2.2 什么是消息认证码消息认证码是一种确认完整性并进行认证的技术。简称为MAC消息认证码的输入包括任意长度的消息和一个发送者接收者之间共享的密钥，它可以输出固定长度的数据，这个数据称为MAC值。...

2022-02-26 09:37:41 640

原创《图解密码技术》笔记7：单向散列函数-获取消息的“指纹”

目录7.1　本章学习的内容7.2　什么是单向散列函数7.2.1　这个文件是不是真的呢7.2.2 什么是单向散列函数7.2.3　单向散列函数的性质7.2.4　关于术语7.3　单向散列函数的实际应用7.3.1　检测软件是否被篡改7.3.2　基于口令的加密7.3.3　消息认证码7.3.4　数字签名7.3.5　伪随机数生成器7.3.6　一次性口令7.4 单向散列函数的具体例子7.4.1　MD4、MD57.4.2　SHA-1、SHA-256、SHA-38

2022-02-26 09:25:58 2608

原创《图解密码技术》笔记6：混合密码系统-用对称密码提高速度，用公钥密码保护会话密钥

混合密码系统用对称密码来加密明文，用公钥密码来加密对称密码中所使用的密钥。混合密码系统解决了公钥密码速度慢的问题（因为相比消息的长度，密钥的长度较短），对称加密中的密钥配送问题。网络上的密码通信所使用的 SSL/TLS 都运用了混合密码系统。数字签名：由单向散列函数和公钥密码组合而成证书：由公钥和数字签名组合而来消息认证码：由单向散列函数和密钥组合而成...

2022-02-26 09:05:33 903

原创《图解密码技术》笔记5：公钥密码-用公钥加密，用私钥解密

目录5.1 投币寄物柜的使用方法5.2 本章学习的内容5.3 密钥配送问题5.3.1 什么是密钥配送问题5.3.2 通过事先共享密钥来解决5.3.3 通过密钥分配中心来解决5.3.4 通过 Diffie-Hellman 密钥交换来解决密钥配送问题5.3.5 通过公钥密码来解决密钥配送问题5.4 公钥密码5.4.1 什么是公钥密码5.4.2公钥密码的历史5.4.3 公钥通信的流程5.4.3 各种术语5.4.5 公钥密码无法解决的问题5.5 时钟...

2022-02-24 14:45:50 5904

原创《图解密码技术》笔记4：分组密码的模式-分组密码是如何迭代的

目录4.1 本章学习内容4.2 分组密码的模式4.2.1 分组密码与流密码4.2.2 什么是模式4.2.3 明文分组与密文分组4.2.4 主动攻击者 Mallory4.3 ECB模式4.3.1 什么是ECB模式4.3.3 对ECB模式的攻击4.4 CBC模式4.4.1 什么是CBC模式4.4.2 初始化向量4.4.4 对CBC模式的攻击4.5 CFB模式4.5.1 什么是CDB模式4.5.5 对CFB模式的攻击4.6 OFB模式4.6.

2022-02-24 10:02:19 1431

原创《图解密码技术》笔记3：对称密码（共享密钥密码）-用相同的密钥进行加密和解密

目录3.1 炒鸡蛋与对称密码3.2本章学习主要内容3.3 从文字密码到比特序列密码3.1 炒鸡蛋与对称密码无重要内容。3.2本章学习主要内容比特序列运算与XOR运算（异或）一次性密码本对称密码算法：DES、3DES、AES以及其他一些密码算法众多对称密码算法中，到底应该使用哪一种3.3 从文字密码到比特序列密码3.3.1 编码计算机的操作对象是由0和1排列而成的比特序列。将现实世界中的东西映射为比特序列的操作称为...

2022-02-23 10:06:52 2647

原创《图解密码技术》笔记2：历史上的密码-写一篇别人看不懂的文章

本章主要介绍历史上几种著名的密码。包括以下内容：1）凯撒密码 2）简单替换密码 3）Enigma（恩尼格玛密码机）1. 凯撒密码在密码学中，恺撒密码（英语：Caesar cipher），或称恺撒加密、恺撒变换、变换加密，是一种最简单且最广为人知的加密技术。它是一种替换加密的技术，明文中的所有字母都在字母表上向后（或向前）按照一个固定数目进行偏移后被替换成密文。例如，当偏移量是3的时候，所有的字母A将被替换成D，B变成E，以此类推。这个加密方法是以罗...

2022-02-22 16:30:28 952

原创 Enigma密码机初步解析

在密码学史中，恩尼格玛密码机（德语：Enigma，又译哑谜机，或“谜”式密码机）是一种用于加密与解密文件的密码机。确切地说，恩尼格玛是对二战时期纳粹德国使用的一系列相似的转子机械加解密机器的统称，它包括了许多不同的型号，为密码学对称加密算法的流加密。...

2022-02-22 16:29:39 2727

原创《图解密码技术》笔记1：环游密码世界

目录1.3 对称密码和公钥密码1.3.1 密码算法1.3.2密码算法1.3.3 对称密码与公钥密码1.3.4 混合密码1.4 其它密码技术1.4.1 单向散列技术1.4.2 消息认证码1.4.3 数字签名1.4.4 伪随机数生成器1.5 密码学家的工具箱1.6隐写术与数字水印1.7密码与信息安全常识参考博客：1.3 对称密码和公钥密码1.3.1 密码算法加密、解密的算法合在一起称为密码算法。1.3.2密码算法...

2022-02-22 15:07:19 2165 1

原创《图解密码技术》学习笔记汇总

目录第1部分：密码第2部分：认证（编写ing）第3部分：密钥、随机数与应用技术第1部分：密码章节传送门第1章：环游密码世界密码学基础知识第2章：历史上的密码-写一篇别人看不懂的文章凯撒密码、简单替换密码、Enigma密码机第3章：对称密码（共享密钥密码）-用相同的密钥进行加密和解密对称密码（共享密钥密码）第4章：分组密码的模式-分组密码是如何迭代的分组密码的模式-分组密码是如何迭代的第5章：公钥密码-用公钥加密，用私

2021-05-14 14:37:39 1705

转载 VMWare VMnet1和VMnet8配置含义

背景 VMware-workstation软件选择默认安装时，会自动创建VMnet1和VMnet8路由器设备，而没有VMnet0设备，在后面安装Linux系统后进行联网选择时，需要清楚知道应该选用哪种网络模式；下面说VMnet1和VMnet8配置含义。VMnet1 VMnet1对应仅主机模式。如果在网络适配器-网络连接里面选择仅主机模式，那么Linux的虚拟网卡就会接入VMnet1路由设备，应该使用VMnet1设备子网IP段，一般情况下使用DHCP获取的IP地址就在子网IP段范围。...

2020-10-28 09:55:58 4349

转载【身份鉴别-身份标识】Linux系统用户及用户组管理

目录认识/etc/passwd 和 /etc/shadow新增/删除用户和用户组chfn 更改用户的finger （不常用）创建/修改一个用户的密码用户身份切换使用密码记录工具keepass来保存密码1、认识/etc/passwd 和 /etc/shadow存储帐号的文件：/etc/passwd存储密码的文件：/etc/shadow这两个文件可以说是linux系统中最重要的文件之一。如果没有这两个文件或者这两个文件出问题，则你是无法正常登录linux系统的。.

2020-10-22 18:14:09 2481

转载【访问控制-安全标记】自主访问控制和强制访问控制

在Linux操作系统：一提到自主访问控制，人们想到的是基于属主、属组的读写执行的访问控制体系。一提到强制访问控制，人们想到的是Selinux，基于Se的策略控制主体对客体的访问。自主访问控制、强制访问控制，是一种安全策略，不能将其与具体的安全实现划等号。即使我们使用基于属主、属组的安全机制，也同样能够实现强制访问控制。什么是自主访问控制、强制访问控制？（一）自主访问控制：由客体的属主对自己的客体进行管理，由属主自己决定是否将自己的客体访问权或部分访问权授予其他主体，这种控制方式是自主

2020-10-20 13:36:33 3152

转载 Kali Linux渗透测试之提权（二）——WCE、Fgdump、Mimikatz

1. Windows身份认证的过程在登录目标系统时，会将输入的密码进行lmhash和nthash加密；然后将加密后的密码与SAM账户数据库进行比对，如果比对匹配，则成功登录操作系统；如果是远端的主机尝试进行登录目标系统，也是通过远端主机自身将输入的密码进行lmhash和nthash计算，将加密后的密文通过网络进行传输到目标主机；所以，不论是本地还是远端登录操作系统，密码都是以密文的形式进行传输，相对安全，当然也可以用hash碰撞的方式进行爆破；注：在登陆的目标服务系统后，有一个wd...

2020-07-14 16:29:43 583

转载 Kali Linux渗透测试之提权（一）——本地提权

目录本地提权Windows系统用户权限划分Linux系统用户权限划分1. Windows系统下进行提权（1）查看当前用户的信息；（前提：进行提权的用户是administrator权限）（2）提权——Psexec（3）提权——At（4）使所有cmd命令行窗口都是以system权限打开（6）注入进程提权，隐蔽痕迹——Pinjecter2. Linux系统下进行提权本地提权目前系统都是多用户操作系统，可以登录多个账户，实现权限的隔离，针对不同的应用，对应不同的账户

2020-07-08 18:42:31 2536

转载渗透测试—提权方式总结

目录一、什么是提权二、怎样进行提权（提权的方式有哪些）1、系统漏洞提权（1）Windows提权（2）Linux系统提权2、数据库提权（1）MySQL数据库提权3、系统配置不当提权4、权限继承类提权5、第三方软件/服务提权6、WebServer漏洞提权一、什么是提权提权就是通过各种办法和漏洞，提高自己在服务器中的权限，以便控制全局。Windows：User >> SystemLinux：User >> Root二、怎样进

2020-07-06 17:09:45 1611

转载渗透测试之痕迹清除

痕迹清除当我们达到了目的之后，有时候只是为了黑入网站挂黑页，炫耀一下；或者在网站留下一个后门，作为肉鸡，没事的时候上去溜达溜达；亦或者挂入挖矿木马；但是大家千万不要干这些事，这些都是违法的！我这里只是教大家在渗透进去之后如何清除我们留下的一部分痕迹，并不能完全清除，完全清除入侵痕迹是不可能的！主要是增加管理员发现入侵者的时间成本和人力成本。只要管理员想查，无论你怎么清除，还是能查到的。最主要还是要以隐藏自身身份为主，最好的手段是在渗透前挂上代理，然后在渗透后痕迹清除。Windows系统

2020-07-01 14:44:15 3220

转载渗透测试之权限维持

权限维持在拿到目标主机的权限后，很有可能当时我们并不能获取到想要的东西，需要进行长期的潜伏，特别是在内网渗透中，需要进行长期的信息收集。这时，权限维持就很重要了。我们需要维持住获得的现有权限。Web后门1：隐藏后门文件(将文件设置为隐藏)2：不死马，该脚本每5秒向服务器创建test.php，并写入一句话免杀木马。结合attrib命令隐藏文件更好地建立后门。<?php set_time_limit(0);//程序执行时间 ignore_user_abort(1);...

2020-07-01 11:31:23 992

转载渗透测试之内网横向渗透

内网横向渗透当我们在获取了外网服务器的权限，进入该系统后，我们要想尽办法从该服务器上查找到我们想要的信息。对于windows主机，我们应该多去翻翻目录，或许能有很多意想不到的结果。很多人习惯把账号密码等容易忘的东西存放在备忘录中，或者是桌面上。我们还可以查找数据库的连接文件，查看数据库的连接账号密码等敏感信息。当我们获得了windows主机的账号密码，或者是自己创建了新用户后，我们为了不被网站管理员发现和不破坏服务器。我们尽量不要使用远程桌面。因为使用远程桌面动静比较大，如果此时服务器管理员也在登

2020-07-01 11:21:14 3953

空空如也

空空如也