Размер видео: 1280 X 720853 X 480640 X 360
Показать панель управления
Автовоспроизведение
Автоповтор
RUclips的各位朋友大家好,我脑子抽风了,加了这么多烦人的音效。我已经改了一个版本,把大量音效都去掉了, 让大家可以更专注内容本身。但是RUclips本身没办法修改视频,只能删了重传。所以大家请见谅,下次吸取教训了。另外Bilibili上我已经同步了修改后的版本,也欢迎大家关注。
有原版嗎
做的真的太棒了
哈哈本人不開音效看影片 就算背景在殺豬呻吟也沒差
可以加音轨不用删视频
作者建議多出一點,我就喜歡這種腦子從知識裏面或國不留一絲痕跡的感覺
第一次了解https原理的时候我是非常震惊的,不是震惊它的巧妙和安全,而是震惊这么先进的计算机技术,最后依赖的是人为管理证书(ssl证书服务商),我还以为有什么完全不依赖人为因素的实现方式。
因為歸根到底,域名註冊是人力管理的,PKI 再自動化也繞不開人力管理……
证书的申请和更新都是可以由程序自动完成的
申请不是自动化@sunnycat8575
证书签发机构也可以干坏事。例如360。
666人机
2:56 终于讲到(EC)DHE了。很棒!很多做科普的没讲到这个。但是这里有一个地方有点瑕疵。并不是因为一个随机数不够安全。而是担心私钥泄露。想象一下,如果有一个人在监听网站流量并且存着,直到一天私钥泄露,那么用这个私钥加密密码的对称加密全部历史流量都可以被解密。而DHE没这个问题。
还是有的,前几年爆出了大瓜,签发机构私自签发Google的证书做测试,结果流出了,还好有效期快过了
是2015年的CNNIC事件还是赛门铁克证书危机?最近爆出的icp-brazil谷歌证书事件算吗?
能讲出历史发展过程中的一系列motivation的演化过程,这是我在寻找的up主。内核是以motivation为引导,solve real life problem为过程的讲述,就是不是动画我都会强推!
这个影片做得很好 简洁易懂
PKI架構的弱點就是,只要CA內的私鑰外流,整個架構將失去信任
單點故障
這種說故事的方式太棒了,清楚明瞭…🥰
非對稱加密不僅是效率低,它對明文信息的長度有要求,因為要做取模運算。如果明文信息太長,必須分塊加密,然後就步了 ECB 的後塵。
6:21。如果有人把自己的根證書安裝到了你的作業系統中。
好喜歡這種知識一絲不留經過我的腦子的感覺
我昨天才考完加密學的考試 今天才刷到這個視頻😂😂
上次刚考完了data structure 刷到了stack queue 那一集
4:52这里中间人接收到网站证书后,他不能直接把它发给用户吗?
這讓我想到了挑戰握手認證協議
根证书也可能被调包😅
公證人簽章辦法是不錯,可是中間人可以截取伺服器證書偽裝,一樣沒解決問題不是嗎。
中間人就算截取到伺服器證書(公鑰),還是無法解密使用者端的請求如果直接轉發到正牌服務器,還是無法竊聽內容
@garyyang9453 不需要解密吧,擷取偽裝正牌伺服器就好。
CA是在保障伺服器公開金鑰的合法性,CA會用自己的私密金鑰對合法申請的伺服器的公開金鑰進行加密,生成數位憑證要連到合法的網站,必須先透過CA的公鑰解密,才能拿到憑證內的公鑰,沒有透過此步驟的(或者憑證過期)就會在瀏覽器內顯示不安全
@@garyyang9453 不到解密吧,通訊開始時就直接偽裝不行嗎?
@@smile841102 CA公鑰也是公開的,所以應該任何人都可以拿到憑證內公鑰。
为什么数字签名可以用公证人的公钥解出Hash2, 用户也没有公证人的私钥, 没有私钥不是解不开吗🤔
签名是私钥签名,公钥验证
公钥处理过的只能用私钥恢复私钥处理过的只能用公钥恢复私钥计算一下可以得到公钥所以是私钥因为只有用私钥才能解密公钥加密的内容,所以公钥用来传输只有私钥持有者才可以看到的保密信息因为用公钥可以解密出来的一定是私钥加密的,所以用公钥可以验证信息一定是来自私钥持有者的
還有一個漏洞,就是整套信任鏈都被偽造了。
CNNIC:在找我?
多来点,爷爱看。
https照样不绝对安全 连上互联网就没有绝对安全可言
你说的很对也很废话。
你的标题该改成“你所信任的根证书你守好了吗?”
讚讚
所以學習網站比較快不是沒有原因的😂
封面是什麼電棍斗魚
不安全,因为有时候会有人强制在你电脑上装一些奇怪的证书
所以你想要安全但连自己的电脑系统和证书库都不知道是从哪里来的?
@@yms9829 你能 100% 保證你的電腦時時刻刻都是完全安全沒有任何可疑的程式或是系統漏洞的嗎?如果不行,那就算你知道從系統和證書庫哪裡來又有什麼用?
很有興趣!但我太魯頓了,聽不懂!能否做一集專講https的細節?
内网的行为管理设备可以冒充中间人吧。把你要和服务器通信的源替换成自己,然后收到服务器返回信息自己就能看内容,再把内容重新加密转发给内网你的设备。
冒充不了,除非你破解了服务器端的密钥
@sudesoftware 网络行为管理设备可以看到内网用户访问的页面,甚至邮件内容。这个是怎么实现的, 不是中间人攻击替换ssl吗?
@@cagewu2274 这是用户电脑的安装了非授信的根证书,中间人利用非法证书,替换服务器端证书
@@cagewu2274網路行為管理設備本身也是需要密鑰解密才能看到內容..
你去把内网的自签证书删了,这样你的浏览器就会显示不安全😂。但是很明显,你上不了网了。怎么破局呢?很简单,这种系统只针对tls 加密,你可以通过第三方服务器代理实现比如vless、vmess 、trojan……等等一大堆套娃加密
但是我不太理解為什麼用公鑰加密後 能用並且只能用私鑰解密 如果用公鑰加密的 不能用公鑰反推去解密咩
這是密碼學的範疇,通常是半學期以上的課程,粗淺了解也是一週兩三堂課的內容,應用的話只學怎麼用是大三大四課程,原理是數學系碩士課程,所以不懂很正常,除了網頁之外,比特幣這類區塊鏈也都是類似技術,公共廣泛使用又要加密都是這類技術延伸應用
蛤
這世界只要你能設計出加密,那就表示你就能夠解密,因為你的加密逆向操作就是解密,不論你中間插入多少隨機值,差異就只在時間。
理论上是这样的,但是成本非常大,大到最先进的计算机都要十亿年才能破解aes256的一串加密数据
那是因為你不懂密碼學的加密方式,當然可以破解不過需要時間跟金錢,99.9999%的狀況是時間不夠,等你破解了訊息也不重要了,不然就是你根本無法支持破解的花費開銷。
我腦袋抽風了。。。
不懂啊
抓包部分详细说说
Google : sniffit
能被破解的
80變443但這樣的一套方案仍然不是最優解畢竟網際網路在一開始設計時就是信任大家的以後可能會有更好的方案
並不僅僅只是 更換port而已啊?
但只要兩端能夠加解密中間端就一定也可以做到
Spy😂😂😂
RUclips的各位朋友大家好,我脑子抽风了,加了这么多烦人的音效。我已经改了一个版本,把大量音效都去掉了, 让大家可以更专注内容本身。但是RUclips本身没办法修改视频,只能删了重传。所以大家请见谅,下次吸取教训了。另外Bilibili上我已经同步了修改后的版本,也欢迎大家关注。
有原版嗎
做的真的太棒了
哈哈本人不開音效看影片 就算背景在殺豬呻吟也沒差
可以加音轨不用删视频
作者建議多出一點,我就喜歡這種腦子從知識裏面或國不留一絲痕跡的感覺
第一次了解https原理的时候我是非常震惊的,不是震惊它的巧妙和安全,而是震惊这么先进的计算机技术,最后依赖的是人为管理证书(ssl证书服务商),我还以为有什么完全不依赖人为因素的实现方式。
因為歸根到底,域名註冊是人力管理的,PKI 再自動化也繞不開人力管理……
证书的申请和更新都是可以由程序自动完成的
申请不是自动化@sunnycat8575
证书签发机构也可以干坏事。例如360。
666人机
2:56 终于讲到(EC)DHE了。很棒!很多做科普的没讲到这个。
但是这里有一个地方有点瑕疵。并不是因为一个随机数不够安全。而是担心私钥泄露。想象一下,如果有一个人在监听网站流量并且存着,直到一天私钥泄露,那么用这个私钥加密密码的对称加密全部历史流量都可以被解密。而DHE没这个问题。
还是有的,前几年爆出了大瓜,签发机构私自签发Google的证书做测试,结果流出了,还好有效期快过了
是2015年的CNNIC事件还是赛门铁克证书危机?最近爆出的icp-brazil谷歌证书事件算吗?
能讲出历史发展过程中的一系列motivation的演化过程,这是我在寻找的up主。内核是以motivation为引导,solve real life problem为过程的讲述,就是不是动画我都会强推!
这个影片做得很好 简洁易懂
PKI架構的弱點就是,只要CA內的私鑰外流,整個架構將失去信任
單點故障
這種說故事的方式太棒了,清楚明瞭…🥰
非對稱加密不僅是效率低,它對明文信息的長度有要求,因為要做取模運算。如果明文信息太長,必須分塊加密,然後就步了 ECB 的後塵。
6:21。如果有人把自己的根證書
安裝到了你的作業系統中。
好喜歡這種知識一絲不留經過我的腦子的感覺
我昨天才考完加密學的考試 今天才刷到這個視頻😂😂
上次刚考完了data structure 刷到了stack queue 那一集
4:52这里中间人接收到网站证书后,他不能直接把它发给用户吗?
這讓我想到了挑戰握手認證協議
根证书也可能被调包😅
公證人簽章辦法是不錯,可是中間人可以截取伺服器證書偽裝,一樣沒解決問題不是嗎。
中間人就算截取到伺服器證書(公鑰),還是無法解密使用者端的請求
如果直接轉發到正牌服務器,還是無法竊聽內容
@garyyang9453 不需要解密吧,擷取偽裝正牌伺服器就好。
CA是在保障伺服器公開金鑰的合法性,CA會用自己的私密金鑰對合法申請的伺服器的公開金鑰進行加密,生成數位憑證
要連到合法的網站,必須先透過CA的公鑰解密,才能拿到憑證內的公鑰,沒有透過此步驟的(或者憑證過期)就會在瀏覽器內顯示不安全
@@garyyang9453 不到解密吧,通訊開始時就直接偽裝不行嗎?
@@smile841102 CA公鑰也是公開的,所以應該任何人都可以拿到憑證內公鑰。
为什么数字签名可以用公证人的公钥解出Hash2, 用户也没有公证人的私钥, 没有私钥不是解不开吗🤔
签名是私钥签名,公钥验证
公钥处理过的只能用私钥恢复
私钥处理过的只能用公钥恢复
私钥计算一下可以得到公钥所以是私钥
因为只有用私钥才能解密公钥加密的内容,所以公钥用来传输只有私钥持有者才可以看到的保密信息
因为用公钥可以解密出来的一定是私钥加密的,所以用公钥可以验证信息一定是来自私钥持有者的
還有一個漏洞,就是整套信任鏈都被偽造了。
CNNIC:在找我?
多来点,爷爱看。
https照样不绝对安全 连上互联网就没有绝对安全可言
你说的很对也很废话。
你的标题该改成“你所信任的根证书你守好了吗?”
讚讚
所以學習網站比較快不是沒有原因的😂
封面是什麼電棍斗魚
不安全,因为有时候会有人强制在你电脑上装一些奇怪的证书
所以你想要安全但连自己的电脑系统和证书库都不知道是从哪里来的?
@@yms9829 你能 100% 保證你的電腦時時刻刻都是完全安全沒有任何可疑的程式或是系統漏洞的嗎?如果不行,那就算你知道從系統和證書庫哪裡來又有什麼用?
很有興趣!
但我太魯頓了,聽不懂!
能否做一集專講https的細節?
内网的行为管理设备可以冒充中间人吧。把你要和服务器通信的源替换成自己,然后收到服务器返回信息自己就能看内容,再把内容重新加密转发给内网你的设备。
冒充不了,除非你破解了服务器端的密钥
@sudesoftware 网络行为管理设备可以看到内网用户访问的页面,甚至邮件内容。这个是怎么实现的, 不是中间人攻击替换ssl吗?
@@cagewu2274 这是用户电脑的安装了非授信的根证书,中间人利用非法证书,替换服务器端证书
@@cagewu2274網路行為管理設備本身也是需要密鑰解密才能看到內容..
你去把内网的自签证书删了,这样你的浏览器就会显示不安全😂。但是很明显,你上不了网了。怎么破局呢?很简单,这种系统只针对tls 加密,你可以通过第三方服务器代理实现比如vless、vmess 、trojan……等等一大堆套娃加密
但是我不太理解為什麼用公鑰加密後 能用並且只能用私鑰解密 如果用公鑰加密的 不能用公鑰反推去解密咩
這是密碼學的範疇,通常是半學期以上的課程,粗淺了解也是一週兩三堂課的內容,應用的話只學怎麼用是大三大四課程,原理是數學系碩士課程,所以不懂很正常,除了網頁之外,比特幣這類區塊鏈也都是類似技術,公共廣泛使用又要加密都是這類技術延伸應用
蛤
這世界只要你能設計出加密,那就表示你就能夠解密,因為你的加密逆向操作就是解密,不論你中間插入多少隨機值,差異就只在時間。
理论上是这样的,但是成本非常大,大到最先进的计算机都要十亿年才能破解aes256的一串加密数据
那是因為你不懂密碼學的加密方式,當然可以破解不過需要時間跟金錢,99.9999%的狀況是時間不夠,等你破解了訊息也不重要了,不然就是你根本無法支持破解的花費開銷。
我腦袋抽風了。。。
不懂啊
抓包部分详细说说
Google : sniffit
能被破解的
80變443
但這樣的一套方案仍然不是最優解
畢竟網際網路在一開始設計時就是信任大家的
以後可能會有更好的方案
並不僅僅只是 更換port而已啊?
但只要兩端能夠加解密
中間端就一定也可以做到
Spy😂😂😂