细数非对称加密与对称加密的区别

有两种加密方法经常在SSL生态系统中被说起——非对称加密与对称加密。

SSL握手期间的非对称加密

当你浏览一个使用SSL证书的网站时，你浏览器作的第一件事就是和带着证书的服务器实行SSL握手。

这个SSL握手是浏览器查看SSL证书有效性和磋商加密连接细节的关键一环。这一过程在几毫秒的时间里完成。

浏览器肯定证书签发自可信CA、依旧有效且没有被撤回后，还要确保有问题的证书是其相应公钥的合法全部者。

你可能据说过公钥私钥。公钥更易识别，常见的有2048位签名密钥。数字越大，密钥越复杂。

公钥私钥是非对称加密的典型例子。公钥负责加密，私钥负责解密。使用非对称加密，链接方式只有一条路。

浏览器使用非对称加密来验证公私钥对，以及扩展证书自己。为此，浏览器将使用随时可用的公钥来加密一小撮一次性数据。 若是服务器可以解密这个数据并以明文形式发回，那么它证实了它的私钥对应于公钥。

至此，浏览器和服务器能够开始他们的加密连接了。

对话密钥形式的对称加密

在SSL握手期间使用非对称加密做为一种验证方法以后，浏览器和服务器协商加密链接的条款并交换所谓的会话密钥。

会话密钥提供了一种在安全会话期间用于通讯的对称加密形式。 而私钥一般是2048位（偶尔有4096或1024），会话密钥每每较小，这也意味着不太安全。

但不用担忧，即便在128/256位，会话密钥仍然须要专用超级计算机工做多年，才能加密可能被破解。 换句话说，会话密钥仍然很是安全。

究其缘由，大小差别仅仅是速度和性能。 在某些状况下，2048位密钥可能更繁琐。 128/256-bit的强度仍然足够，可是在加密链接期间容许更好的性能，这是一个重要的因素。

使用对称加密，密钥能够执行两种功能：既能够加密，也能够解密。 这使得拥有相应会话密钥的客户端和服务器可以安全地进行通讯。 毕竟，没有正确的钥匙，没有人能够监视这个链接，无论第三方，不管多么复杂 。

会话密钥在加密链接的整个持续时间内保持活动状态。 在链接结束时密钥被丢弃，而且在下一次访问时生成新的密钥。 这很简单，但至关有效。

如你所见，对称或非对称密钥的运做方式不一样，一种容许双方进行加密和解密，另外一种则是单方面通讯。但二者都是SSL的组成部分。非对称加密有助于在SSL握手期间验证公钥/私钥对的全部权，而对称加密是在安全链接期间用于实际通讯的方法。