前言 前天公司实验室公号推了一篇文章《登录加密算法破解秘籍》,抛出一把矛头将登录行为所面临的一类安全问题阐述的很清晰。这篇文章试着再祭出一块抵御该文所述攻击手段的盾。 一些科普 首先站在细分行业的角度,对文中提到的加密相关的概念进一步做一些解释。 很多应用在进行登录口令保护过程中所使用到的所谓“加密手段”其实并非真正的加密,如:URLencode、Base64、SHA、MD5、MD2这些均非加密方式,更不具备信息保护的功能; URLencode、Base64,是对数据进行编码操作,一般用于特定场景中便......

阅读全文>>>

AES加密算法是128位的对称分组密码算法,按JDK的帮助手册描述是可以支持128bits, 192bits, 256bits 等长度的密钥调用,但最近使用Java调用AES_256加解密运算时报错: java.security.InvalidKeyException: Illegal key size or default parameters 最终弄清原因是默认安装的JDK中限制了某些高强度密码算法的使用(如AES-256),根据现在Oracle的说明,是出于部分地区的政策约束导致有此限制,原文......

阅读全文>>>

前言 作为信息安全领域中一项核心且基础的技术,密码学在非专业人士(包括某些信息安全行业的从业人员)看来经常是一项陌生的高深技术。一句话描述密码学即:一门研究如何隐密地传递信息的学科。 在现代最为普及和有效的方式是确定一个加密算法(如国际上的DES、AES、RSA、ECC,以及2013年起国内加大力度推行的SM1、SM2、SM3、SM4等),使用一段秘密数据(即密钥)来与需要保护的敏感数据(即明文)进行一系列运算(即加密)来得到一段看起来与原文无关的数据(即密文);需要从密文恢复出明文时使用相对应的解密算法......

阅读全文>>>