加密原理

对称密钥加密的一个弱点是，两个用户若想彼此通信，需要一种安全的方式；否则，攻击者可以轻易从数据流中窃取所需数据。1976年11月，在《IEEE信息理论汇刊》上发表了一篇题为“密码学的新方向”的论文，解决了这个问题，并提出了一种解决方案：公钥加密。

公钥加密，也称为非对称密钥加密，一次使用两个不同的密钥——一个私钥和一个公钥的组合。私钥仅您自己的计算机知晓，而公钥则由您的计算机提供给任何想要与它安全通信的计算机。要解密一条加密消息，计算机必须使用发起计算机提供的公钥以及它自己的私钥。虽然一台计算机发送给另一台计算机的消息（由于用于加密的公钥已公开且任何人都可以获取）不会因此变得安全，但任何截获该消息的人在没有私钥的情况下都无法读取它。该密钥对基于长度很长的素数（只能被自身和1整除的数字，例如2、3、5、7、11等）。这使得系统极其安全，因为素数基本上有无限多个，这意味着密钥的可能性也几乎是无限的。一个非常流行的公钥加密程序是PGP (Pretty Good Privacy)，它允许您加密几乎任何内容。

发送方计算机使用对称密钥加密文档，然后使用接收方计算机的公钥加密该对称密钥。接收方计算机使用其私钥解密对称密钥。然后它使用对称密钥解密文档。

要在大规模上实现公钥加密，例如安全的Web服务器可能需要的，需要一种不同的方法。这时就引入了数字证书。数字证书基本上是一段独特的代码或一个大数字，表明该Web服务器受到一个独立来源（称为证书颁发机构）的信任。证书颁发机构充当双方计算机都信任的中间人。它确认每台计算机确实是其声称的身份，然后将每台计算机的公钥提供给对方。