文件加密
文件加密是一种根据需要在操作系统级别自动加密写入存储介质的数据的技术。它通常用于网络通信安全、医学数字图像、人工智能等领域。,提供身份验证等功能,确保信息安全。自古罗马凯撒大帝使用的凯撒密码和王武征服的阴文以来,文件加密一直在不断发展。到工业革命时,用于文件加密的机械设备和算法已经逐渐成熟。在大数据和云计算时代,中国自主研发了一套商用文件加密算法,简称国密算法。
文件加密的特点是可以对用户的信息和数据进行加密和锁定。通过加密文件,未经授权无法访问和解释该文件。主要目的是防止信息泄露、数据篡改和恶意攻击,从而保护文件的完整性和保密性,确保信息安全。
发展历史
发展初期
公元前2000年,埃及人最初使用特殊的象形文字作为信息代码,但随着时间的推移,巴比伦、美索不达米亚和希腊文明开始使用一些方法来保护他们的文件信息。这一时期的密码被称为经典密码。古典密码学主要使用替代加密法,最早的加密算法可以追溯到古罗马凯撒大帝使用的凯撒密码和武王进攻时使用的阴文和阴书。凯撒密码是一种单表替代加密技术,其中明文中的所有字母在字母表中向后(或向前)移动。例如,当明文输入为goodgoodstudydaydayup并且密钥设置为13时,加密文件为tbbqtbbqfghqlqnlqnlhc。稍微复杂一点的是弗吉尼亚密码被多个表取代。这种另类加密看起来很混乱,但可以通过统计手段恢复密钥,例如统计秘密信件的频率,并将其与自然语言中每个字母的频率进行比较,从而揭示隐藏在无序密文背后的加密规律。在《夏洛克·福尔摩斯历险记》的“跳舞的小人”一章中,介绍了简单的小人图案被用来代替英文字母,福尔摩斯破译的方法是频率分析。
随着工业革命的到来和二战的爆发,数据加密技术取得了突破性进展。通过密码算法或机械加密设备将明文转换为密文。例如,在第二次世界大战中,德国人使用德国恩尼格玛密码机来加密信息。此后,由ROSA算法生成的密钥和公钥等新的数据加密方法逐渐发展起来。
技术推广期
1949年至1975年,自世界上第一台计算机诞生以来,计算机技术迅速发展,这也使加密技术从机械时代进入电子时代。1949年,香农发表了论文《秘密系统的信息论》,提出了混淆和扩散两个设计原则,为对称密码学(主要研究发送方的加密密钥和接收方的解密密钥相同或容易相互导出的密码系统)奠定了理论基础,从此密码学成为一门科学。对称密码主要由分组密码和流密码组成。在分组密码算法中,明文消息被分成若干组,加密和解密都在这些组上进行。在流密码中,密钥流生成器用于生成与消息长度相同的密钥比特流,然后与明文进行异或运算。流密码一次只加密一位。与分组密码相比,流密码对处理能力的要求更高,更适合硬件平台实现,而分组密码更适合软件平台实现。经典的分组密码算法包括DES和AES,而流密码算法包括Trivium和中国学者设计的祖冲之算法(ZUC)。
1986年,姚期智教授提出了乱码电路技术,并实现了第一个多方(两方)安全计算方案。1996年,Cheung首次提出在分布式数据库中实现关联规则挖掘。在这个阶段,迷惑电路、基于秘密共享的MPC、半同态加密等协议和算法相继出现。
深入应用期
在2002年的亚洲密码分析研讨会上,库尔图瓦提出了XSL攻击的分组密码分析方法。其思想是用一系列低次超定方程来描述密码系统,并且方程的数量大于自变量的数量,通过求解方程来破解分组密码。同年,在美国密码分析研讨会上,Murphy设计了一种新算法BES(Big Encryption System),它将AES中GF和GF上的两种域运算简化为GF上的运算,使AES在一定的消息空间和密钥空间中成为BES。通过研究更简单的BES,我们可以更清楚地了解AES算法的内部数学结构。2002年第297期《科学》杂志高度评价了这两项最新分析结果。
2009年,Craig Gentry提出了第一个完全同态加密(FHE),支持密文下的加法和乘法,标志着同态计算时代的开始,并逐渐开发出各种不同的同态加密方案。后来,Paillier、Gentry、王爽等人率先成立了国际同态加密标准委员会,标志着同态加密在世界范围内的快速发展。
2013年,王爽教授团队在SCI期刊《生物医学信息学》上发表了论文《期望提升逻辑回归(Explorer):分布式隐私保护在线模型学习》,提出了数据“可用和不可见”的问题。这是第一次解决医疗在线安全的联邦学习问题。该框架为多个国家医疗和卫生网络提供服务,也是联邦学习系统框架的突破。
2019年,在数据要素市场建设和数据价值发挥的背景下,产业需求快速增长,隐私计算走出学术学校和实验室,与产业应用场景广泛结合,赋能数据价值安全合规流动。各种隐私计算供应商也如雨后春笋般涌现,这刺激了隐私计算技术可用性的提高。
2021年10月,ISO/IEC JTC1/SC27会议宣布中国SM9密钥交换协议是国际标准ISO/IEC 11770-3: 2021“信息技术密钥管理第3部分:使用非对称技术的机制”的一部分,即中国自主研发的SM2椭圆曲线公钥密码体制签名算法、SM3密码哈希算法、SM4分组密码算法和ZUC序列密码算法。
技术细节
原则
文件加密:要加密文件,您需要加密描述文件内容的字符、数据或二进制码流。对于文本文件,只能通过对文本中的每个字符使用字符串加密方法来加密整个文件。对于二进制文件,没有相对独立的字符单位,衡量文件大小的字节单位只是在逻辑上量化了文件长度。但是,可以通过将二进制文件转换为字符串来将无法直接加密的二进制码流转换为可以填充的虚拟字符,然后使用字符串加密方法对这些虚拟字符进行加密,从而实现对二进制文件的加密。
文件解密:一般来说,需要将加密文件从磁盘读取到内存并将其转换为ASCll字符串格式,然后解密这组加密字符串并将其转换为原始文件格式以获得解密文件。解密后的文件在内容和格式上与加密前的原始文件完全相同,可以准确还原文件的原始含义。
程序
首先,需要将文件内容完整地读入计算机内存并将其转换为字符串。各种文件都可以转换成ASCl编码格式的字符串,每个字符用8位二进制数字表示,可以降低加密计算的难度,提高加密计算的速度。然后,对生成的ASC字符串中的每个字符进行逐字符加密,得到一组长度相同、字符顺序相同、字符位值改变的加密字符串,按照文件的原始存储格式写入磁盘,即可成功加密文件。
文件加密的一个重要步骤是密钥管理。首先,您需要生成一个足够安全且难以破解的密钥。其次,需要智能卡或安全加密存储设备等硬件存储设备来提高安全性,也可以使用软件存储或云存储来提高其便利性。在使用密钥的过程中,可以使用加密协议来确保密钥的安全性。例如,当使用通信协议时,可以使用端到端加密来保护数据的传输和接收。
算法
文件加密按加密方式可分为两类:一类是WINDOWS系统的文件加密功能,另一类是通过加密算法实现的商业加密。商业加密软件分为驱动程序级加密和插件级加密。根据加密算法,文件加密可分为三类:对称算法、非对称算法和不可逆算法。对称加密算法使用相同的密钥进行加密和解密,速度更快,而非对称加密算法使用公钥和私钥进行加密和解密,虽然更安全但速度较慢。哈希算法通常基于哈希函数,可以将任意长度的明文字符转换为更短且固定长度的字符串。
除了防火墙、入侵检测和防病毒之外,新兴的文件加密技术包括基本的单向加密算法,如MD5(messagedigestalgorithm 5)、SHA(SecureHashAlgorithm)和HMAC(Hash Message authentic ation Code)。对称加密算法包括DES(数据加密标准)和PBE(基于密码的加密),以及中国自主开发的国家加密算法,如SM1、SM4、SM7和ZUC。此外,还有非对称加密算法,包括RSA(以发明者命名:RonRivest、AdiShamir和LeonardAdleman)、DH(Diffie-Hellman算法,密钥协商协议)、DSA(DigitalSignatureAlgorithm)、ECC(椭圆曲线密码)等,以及国家机密。
对称加密算法
DES加密算法:DES(数据加密标准)是分组算法中的一种对称算法,它通过将64位分组来加密数据。64位的明文从算法的一端输入,64位的密文从另一端输出。DES加密和解密使用相同的算法,但加密和解密密钥不同。虽然DES分组为64位,但密钥的长度只有56位,因为每个字节的第8位通常用作奇偶校验位。DES算法的细节是公开的,因此在使用DES加密时,安全性取决于密钥。DES是混沌和扩散的结合。一次有16轮加密或解密,即要完成一次加密(解密)过程,必须在明文(密文)数据包上实施16次相同的组合技术。
IDEA加密算法:艾德(NTER国家数据加密算法),也称为国际加密算法,作为一种对称密钥加密算法,可以作为DES算法的替代品和OpenPGP标准的可选算法。IDEA的专利于2012年到期,2012年后可以免费使用。IDEA的加密块长度为64位,密钥长度为128位,是八轮变换和半轮输出变换的组合。IDEA使用的结构是Lai-Massey,每轮使用6个16子键,后半轮使用4个子键,8.5轮总共使用52个子键。前八个子密钥直接从密钥中提取,因为密钥的长度为128位,正好可以分为八个16位的子密钥。其中第一轮的K1是16位密钥。通过在每8组之间将主密钥向左移动25位,创建了更多的8组子密钥。
AES加密算法:AES(高级加密标准)是一种块加密标准,被美国联邦政府采用。AES加密算法属于对称加密算法,具有加密速度快、安全性高、可行性强等优点,常用于发送数据频率较高的场合。根据AES算法的标准,该算法可以支持三种数据包长度,即AES-128、AES-192和AES-256,其中长度为128位的AES-128应用最广泛。不同密钥长度对应的加密轮数不同。当明文分组和密钥长度都是128位时,加密过程需要变换10轮。如果要加密的明文分组或密钥的长度小于128位,则需要根据补码标准填充数据以构成128位。与DES和RSA加密算法相比,AES加密算法具有加解密速度更快、加密强度最高、不占用硬件资源等优点。
不对称密码算法
rsa算法:RSA加密算法是一种非对称加密算法,由RSA公司发明。它是一种支持可变长度密钥的公钥算法,并且要加密的文件块的长度也是可变的。1977年,由罗恩·里维斯特、阿迪·萨莫尔和伦纳德·阿德曼提出,由他们姓氏的首字母组成。其安全性依赖于大数的分解,即RSA的难度相当于大数分解的难度。一旦找到大整数的素因子分解的有效算法,就可以破译RSA。这将在下面对n的讨论中得到强调。RSA公钥密码系统的原理是:根据数论,找到两个大素数是相对简单的,但对它们的乘积进行因式分解是极其困难的,因此可以将乘积公开为加密。
数字签名算法:数字签名算法(DSA)是不对称加密算法和消息摘要算法的结合,通过提供可识别的数字信息来验证身份。一组数字签名通常定义两个互补的操作,分别用于签名和验证,遵循私钥签名和公钥验证的方式。签名时应使用私钥和要签名的数据,而验证时需要公钥、签名值和要签名的数据。核心算法主要是消息摘要算法。
文件加密ECC加密算法:ECC(椭圆曲线密码)加密算法是一种基于椭圆曲线数学理论的公钥加密算法。与RSA加密算法不同,ECC加密算法的密钥长度相对较短,但安全性更高。其原理是选择一条满足某些数学性质(如阶、循环群等)的椭圆曲线e。),然后选择一个随机数k作为私钥,并计算公钥P=kG,其中g是椭圆曲线上的基点,P是椭圆曲线上的另一个点,即公钥。最后,公钥用于加密。假设要加密的明文是M,则选择随机数R来计算点R=rG和S=rP+M,其中+代表椭圆曲线上的点加法。加密的密文为(R,S),可以使用私钥解密。计算点T=kR,然后计算M=S-T得到明文。
散列算法:哈希算法通常基于哈希函数,是一种单向算法。它可以将任意长度的明文字符转换为较短的固定长度字符串,广泛应用于数字签名、身份验证、密码存储等领域。它具有高安全性、倒车难度、灵敏的输入和强大的防碰撞功能。逆向困难是指无法从哈希算法的结果推导出原始输入数据。无论原始文本有多长,它都将成为固定长度的字符串,只能加密而不能解密(只能单向操作)。输入敏感性是指即使哈希函数的输入参数稍有变化,输出的计算结果也会完全不同。强防碰撞意味着几乎不存在不同明文生成相同哈希结果的可能性,这保证了根据哈希结果验证原始文本完整性的可靠性。
分布式哈希表(DHT)是一种分布式、去中心化的数据结构,用于存储和查找分布式系统中的键值对。它可以实现高效的数据存储、快速搜索和分散管理。在哈希环上,每个节点负责管理一定范围的id并存储相应的键值对。当一个节点需要寻找一个键值对时,它将根据键的ID在哈希环上寻找负责ID范围的节点,并向该节点请求数据。如果该节点不存在或无法响应请求,该节点将把请求转发给相邻节点,直到找到数据。
Chord:在计算机领域,chord是p2p分布式哈希表的协议和算法。它和CAN是分布式哈希表的第一批协议,于2001年提出。分布式哈希表通过将键值分配给节点来存储键值对,节点存储与其负责的所有键对应的值。Chord定义了如何为节点分配键,以及节点如何找到负责某个键的第一个节点。它具有负载均衡、分散性、可扩展性和可靠性的特点。
国密算法:国密算法是保障信息安全的核心技术,可以保护国家机密和各行业的核心数据。中国的数据库加密产品在用户选择和评估时,政府、军工、安全等相关行业的大多数用户都支持并优先使用国密算法。具体来说,国密算法是指中国密码管理局认定的商用密码算法。例如,在金融领域,主要使用公共SM2、SM3和SM4算法。其中,SM1、SM4、SM7和祖冲之密码(ZUC)是对称算法,SM2和SM9是非对称算法,SM3是散列算法。
主要特点
更安全:文件加密可以快速加密和锁定字符、文件和文件夹,确保数据安全。它采用成熟的加密算法,如擦除数据功能,并限制数据恢复和还原工具解密被删除的文件。而且绑定计算机加密的文件在其他未授权的计算机上是无法打开的。文件加密还提供了时间限制功能。用户可以设置开始解密时间和过期永久锁定时间,在非设定的时间段内加密数据无法被解密。此外,增加了登录密码、帐户名、加密密码三重保护,密码最高可支持200位,保证了用户的数据安全。
更加灵活:多个帐户可以独立加密。即使不同账号使用相同的密码加密数据,也有独立的解密权限,保证了数据安全。此外,它可以集中管理数据,使用单一面板管理各种文件和私人信息,实现日记、电子相册、影音播放器、无缝网页浏览器等功能,退出界面后会自动处于加密状态。
更便携:对于普通用户来说,下载相应的小程序,设置加密密码和验证方式,就可以完成数据的初始加密。比如兔子加密程序会要求用户输入加密文件的路径,包括文件名、后缀、加密密码,然后就可以自动为用户生成所需的加密文件。此外,迅雷的“私人空间”还可以实现文件加密功能。在私人空间设置密码。用户无论何时进入私人空间,都必须同时拥有迅雷的账号密码和私人空间的密码。在私人空间会提供“加密本地文件”的选项,其他人无法下载加密文件。
安全问题
暴力破解
暴力破解又称暴力攻击和暴力猜测,是一种基于穷举法的破解方法,通过大量的猜测和穷举法的猜测和尝试,直到找到正确的密码。但其破解时间与密码的长度和复杂程度成正相关,所以只适合破解简单密码。在实际应用中,暴力破解通常包括密码猜测、密码破解、密码喷涂和数据库碰撞四种技术形式。在不知道帐户密码和系统环境的情况下,攻击者可能会在操作过程中使用常见的密码字典来猜测登录密码。但是,当获取凭证材料(如哈希密码)时,攻击者可能会尝试解密密码以恢复可用的凭证(如纯文本密码)。密码喷是指当一个账号被多次暴力破解后,该账号可能被锁定,攻击者可能会对不同的账号使用单个或少量常用密码列表,企图获取有效的账号凭证。碰撞是指攻击者会利用目标账号的历史泄露数据获取凭证,通过重叠凭证访问目标账号。
用户设置密码时,应尽量使用复杂多变的字符组合。适当引入附加符号会增加密码的复杂性。在用户登录时添加验证码或密码锁,防止恶意程序自动枚举账号,保证各类验证码的时效性和有效性,防止被重复使用。还可以增加登录时对同一IP地址的尝试次数限制,定期将数据库中存储的密码密文值与Top500弱密码的密文值进行比较,以便及时修改和加固密码。
字典攻击
字典攻击是根据之前泄露的密码或常用密码来破解密码的一种方式。它使用一个密码字典来测试所有可能的密码组合,包括123456、qwerty、password、iloveyou、hunter2等。为了防止字典攻击,用户应该尽可能使用密码管理工具来设置复杂而强大的密码。密码管理器将用户的密码安全地存储在数据库中,然后您可以为每个系统使用强大、复杂和安全的密码,而不必担心忘记密码。
网络钓鱼
一般的钓鱼邮件会发给全球任何一个互联网用户,声称来自知名机构或企业。钓鱼邮件强调事情的紧迫性,通常会在文末附上一个非法链接。当用户输入登录信息和验证码时,他们的密码和数据就会暴露。2021年,卡巴斯基拦截了超过1.48亿封此类恶意邮件。此外,卡巴斯基的反钓鱼系统还拦截了另外2.53亿个钓鱼链接。用户需要加强网络安全意识的培养,对收到的邮件保持怀疑和谨慎的态度,在点击邮件附件前使用链接检查器确定邮件链接是否合法。尽可能使用白名单和黑名单功能,设置骚扰拦截功能。
彩虹攻击
彩虹表是破解用户密码的辅助工具。通过在数据库中建立“明文”和“密文”的对应关系,在破解时会直接通过密文查询明文。简而言之,彩虹表通过密文的特征,做出相应的特征破解“钥匙”,不断逼近密文的特征,打磨,直到被破解。与其他破解方式相比,彩虹表攻击的破解时间更短。而且彩虹表可以通过编程生成,也可以使用RainbowCrack、Cain等软件生成,还可以直接购买预填包含百万种潜在组合的彩虹表。为了避免彩虹表攻击,用户应该避免使用SHA1或MD5作为密码哈希算法的网站或系统。同时采用了“盐”的措施,即在密码的特定位置插入一个特定的字符串,这个特定的字符串就是“盐”。盐后的密码更安全,黑客用彩虹表得到的密码不再是真正的密码。即使黑客知道了“盐”的含量和加盐的位置,仍然需要修改函数,重新生成彩虹表。加盐可以增加彩虹桌攻击的难度。
键盘录音
是一个恶意软件工具,可以窃取登录密码。这个工具有一个键盘记录器。可以专门针对私人数据窃取密码或者引入远程访问木马,也可以远程破坏被攻击的账号。为了防止这类工具的攻击,用户需要安装杀毒软件和杀毒程序,并定期更新。下载应用时,需要仔细识别下载来源,不要点击含有捆绑包和非法内容的安装包。尽量不要在官网之外操作。必要时可以使用脚本拦截工具和杀毒软件拦截恶意脚本。
爬行收集
搜索引擎通常会发送爬虫来浏览整个网页。爬行器找到所需的页面,然后复制页面上的文本和代码,并将它们存储在索引服务器中。这个过程称为爬行。大多数组织使用包含公司信息的密码,这些信息可以通过公司网站、社交媒体和其他渠道获得。爬行是从短语中收集信息并提供一个列表,然后使用该列表进行字典攻击和暴力破解。建议密码尽量使用随机而非规则字符串,密码设置尽量不要与自己的身份、业务、公司相关联。
应用领域
人工智能
利用计算机人工智能算法为计算机网络信息安全提供帮助。例如,利用人工智能的自动识别技术,可以有效识别计算机网络中隐藏的安全漏洞,追踪非法攻击者,同时将攻击者的相关信息自动提交给相关监管部门,实现对信息安全的有效保护。此外,应加强对国际黑客和病毒感染的打击,构建健康公平的国际信息交流与共享环境,有效遏制境外犯罪分子的违法行为。具体操作如下:首先利用人工智能技术构建大数据集,分析相关网络用户的具体行为,找出其中的异常用户,进行重点监控。如果发现用户有可能对信息安全造成严重威胁的行为,需要立即列入黑名单并上报上级单位,形成计算机用户与主管人员的良性互动关系。其次,在目前使用的计算机病毒软件中加入人工智能技术算法,增强安全防护体系的安全性和稳定性。最终实现对数据信息传输的实时监控,通过自动数据采集和分析,为计算机网络安全管理提供详细的监控报告,从而完成基于人工智能算法的监控系统建设。
网络通信
计算机网络系统具有无限制开放的特点,导致用户信息和系统信息容易被窃取和滥用。文件加密算法可以有效提高计算机网络信息系统和数据的安全性和保密性,是一种新的信息安全保护手段,可以防止一些机密数据被外界窃取、截获或破坏。比如无缝浏览网页、加密通话等。,提高计算机网络中数据处理、存储和认证的安全性。如果用户想要获得加密数据,就需要通过适当的解密手段来破解。
身份验证
国家秘密算法中的SM7适用于非IC卡应用,包括身份识别应用,如门禁卡、工作证、进入证等。、票务应用,如大型活动和展览的门票,以及支付和卡应用,如积分消费卡、校园卡、公司卡、公交卡。
云计算
云计算具有计算能力强大、资源管理灵活、价格低廉、部署快捷等优势,在学术界和工业界广受推崇。多所有者模型隐私保护排序多关键字搜索是一种安全的多源云数据多关键字排序查询协议,能够保证云计算的安全性。首先,为了使云服务器在不知道关键字和囟门真实值的情况下正确执行查询操作,系统设计了多源关键字数据的加密算法、查询关键字的加密算法和加密关键字数据的安全匹配算法。其次,为了使云服务器在不知道关键词与文件相关度真实值的情况下,正确返回多关键词排序查询的结果,设计了一个加性保序保隐私函数族。为了防止攻击者窃取通信密钥并冒充合法用户提交查询请求,提出了一种新的动态密钥生成协议和用户认证协议。此外,还设计了一个取消系统中用户权限的协议。最后,安全性分析和基于真实数据集的大量实验验证了该方案的有效性。
企业管理
通过自我保护场景(文件保险箱)、强制加密场景、关键应用保护场景(离线文件权限管理)、智能保护场景(文件智能加密,DLP)、屏幕数据保护场景保护企业文档,防止数据泄露。通过信用卡打印、漫游打印、打印审批、审计、打印成本控制和安全标签管理来维护企业级打印流程。通过外发审批场景、邮件发送场景和外发文件权限控制场景(网络认证和权限控制)实现企业级文件发送管理,通过终端状态监控(硬件和软件)、u盘管理、用户行为、远程监控和锁屏实现企业级终端管理。此外,通过整体数据安全态势监控和整体数据管理规模监控(人、事、物、环境、时间),可以实现企业级文档安全可视化。