今天看https，简要记录下加密解密的几点自己的理解。

A、可逆的加密解密：既要加密，还要能还原

1、最原始的加密，只有算法和源数据，任何人知道了算法和源数据都能加密、解密。
譬如所有字母后移一位形成新的字串。

2、带密钥的加密，不仅有算法和源数据，还有附带的一个参数（密钥），只有知道了算法、源数据、密钥才可以加密。
譬如所有字母后移n位，而n就可以认为是密钥，加密时可以自由配置。
2.1 对称加密
所谓对称加密，是带密钥加密的一种，如果解密用的密钥就是加密用的密钥，那就是对称加密。
2.2 不对称加密
所谓不对称加密，就是解密用的密钥和加密用的密钥不一样，神奇吧！

B、不可逆的摘要验证(hash)：只做验证，双方用同样的方式加密一个源数据，验证是否相同。
在加密解密、网络传输中，也经常要用到，用来防止被人篡改数据。

说完基本概念，就该理解了，加密解密历来就是高智商人群的工作结晶，需要超高的智商和数学功底，因为归根到底，都要归结到算法上，算法是怎样，也就决定了你的加密算法是否流弊。
一下列举几个算法：

加密解密：
A、BASE64编码：也就是上述1最原始的加密了，这种基本上不能称之为加密，只能称为编码，当然如果别人不知道算法，那也就是你的专属加密了。
B、DES(Data Encryption Standard) / AES (Advanced Encryption Standard)：属于2.1对称加密，必须双方都知道密码，才可以加密解密
C、RSA：属于2.2不对称加密，有两把钥匙，一把加密，另一把解密。正是因为有了这个神奇的特性，才有https的诞生（加密钥匙可以公开出去，解密钥匙留好）

摘要验证：
MD5：这名字太熟悉了吧。
SHA：也很熟悉咯。
CRC32：也是用来做验证的。

只要大伙有恒心有能力破解上述的任意一种算法，哥们，往白道讲你就拿图灵奖了，往黑道讲你就可以随意进出任意网络，入侵任意银行了。


再讲几个加密解密中常见的术语：
hmac(Hash-based Message Authentication Code)：将密钥与明文放在一起，再通过摘要算法hash输出，更加保证了摘要验证的安全性。
openssl：这是个库，囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议，包括了上述常见的对称加密、不对称加密、摘要验证算法。
密码分组模式：分组密码将定长的明文块转换成等长的密文。如电子密码本模式（ECB）、加密分组链接模式（CBC）、加密反馈模式（CFB）和输出反馈模式（OFB）。
ECB 使用同一个密钥简单地将每个明文块一个接一个地进行加密；在 CBC 方式中，每个明文块在加密前先与前一密文块进行“异或”运算，从而增加了复杂程度，可以使某些攻击更难以实施。 “输出反馈”方式（OFB）类似 CBC 方式，但是进行“异或”的量是独立生成的。
初始向量(IV)：根据密码分组模式（除ECB），需要初始向量来保证安全。因为在对称加密算法中，如果只有一个密钥来加密数据的话，明文中的相同文字就会也会被加密成相同的密文，这样密文和明文就有完全相同的结构，容易破解，如果给一个初始化向量，第一个明文使用初始化向量混合并加密，第二个明文用第一个明文的加密后的密文与第二个明文混合加密，这样加密出来的密文的结构则完全与明文不同，更加安全可靠。
kdf(Key Derivation Function)：从密值派生出密钥，增强密码强度，可用于存储密码，如PBKDF2（Password-Based Key Derivation Function 2）、bcrypt、scrypt。详情参考：如何安全的存储密码

说了这些之后，再来讲讲http、https。
网络是自由的，但是某些隐私性的东西总是不要让别有用心的人访问到。
如何做到隐私性保护？
最常用的做法是，用户名、密码。
不考虑具体业务层级的用户名密码，在http协议层，网络先驱们已经为我们考虑好了：
1、最开始的时候，出现了基本验证，401错误就是未验证嘛。
基本验证，服务器会返回基本验证头，浏览器弹出对话框输入用户名密码，并且用base64编码用户名加密码传递给服务器验证。
对，没看错，用base64明文传递用户名、密码，网管啥的抓个包就能解密你的用户名密码。

2、摘要验证
为了解决基本验证的明文密码传递问题，产生了摘要验证，上面介绍的摘要验证算法就起作用了。
服务器会返回验证头，以及一个随机数以及指定的摘要算法，浏览器弹出对话框输入用户名密码，并且用这个指定的只要算法加密 随机数以及密码返回给后台验证，由于摘要算法的不可逆，密码也就安全了。
基本上摘要验证已经很安全了，抓到的包也没啥意义了，但是还是可以通过一些攻击手段如词典攻击等方式破解密码。

3、HTTPS：安全的HTTP
归根到底，摘要验证还有安全隐患的原因，是因为它的报文是明文的！
再狠一点，就是把报文加密了，这样在网络上传输的信息永远是加密的。在HTTP应用层与TCP传输层之间插入一个加密层，也就是传说中的SSL（Security啥的layer吧？）。
既然要加密解密，首先肯定不用1原始的加密，那等于没加密。
那能不能用对称的加密？能啊，但是这样的话，浏览器在访问任意网站时都要问服务器，你密钥多少，问题来了，谁都可以问密钥，hacker也能问，拿到密钥了还谈加密毛用。
这就用到不对称加密了！！
我告诉你加密密钥，随便谁都可以知道，你拿去了只能加密，不能解密，解密钥匙在我服务器手里，只有我才可以解密！
好神奇，有时不得不赞叹数学真的太神奇了！

客户端访问服务器时，服务器告知加密密钥（公共密钥），客户端根据这个密钥加密数据传递给服务器，服务器根据解密密钥（是有密钥）解密。

这里面有一个小小的问题，服务器这哥们告诉你一个加密密钥，鬼知道他知不知道解密密钥，说不定是个钓鱼网站啊。答对了，于是有了数字证书，数字证书只有权威的证书颁发机构（CA）能够颁发。数字证书里包含了公共密钥以及其他的一些信息，如CA，浏览器拿到证书后检查CA，如果这个CA不被信任会提示危险！
玩过openssl的，都知道可以自己制作CA，但是无法伪装成知名CA。用自己制作的CA颁发的服务器证书，浏览器会提示安全性。