需要加密和完整性吗？

Question

为什么有些场景需要加密和完整性，而有些场景只需要加密？在网络领域的情况下，决定这一点的因素是什么？

Answer 1

大多数进行加密的系统也会一路提供消息完整性，因此您的问题实际上提出了错误的二分法。

Answer 2

当您希望只有授权人员才能访问查看数据时，就需要加密。完整性是指授权人员可以访问并修改数据。

如您所见，加密和完整性之前都需要身份验证和授权阶段。

例如：数据可以使用不同的私钥进行加密，并使用相对不同的公钥进行解密。这些阶段取决于身份验证和验证。授权阶段。

例如：当您通过 HTTPS 连接时，第一阶段是协商正确的证书。通常，客户端授权服务器检查证书链的信任度。

例如：您必须访问中央数据库中的数据。数据可以加密也可以不加密，但是对密钥和/或数据的访问必须仅在身份验证和授权检查之后进行。

希望我的考虑对你有帮助

Answer 3

加密可以保护您传输中的文本，但它并不能证明您是谁。添加完整性控制还可以证明您的身份。

场景：

我可以加密 ATM 和银行服务器之间的数据。没有人可以嗅探此流量并将其解密，因此您可以假设它是“安全的”。但没有什么可以阻止中介重播这些交易。或者通过重放在不同 ATM 位置看到的流量，即使攻击者不知道交易实际包含什么内容。交易不作为实体链接到任何特定的 ATM。因此，如果我提取 100 美元，那么中介可以从多个位置重播流量交换 10 次，并导致我提取 1000 美元。

在交换中添加完整性控制可以将交易锁定到仅单个系统，并且还可以证明交易没有被修改。例如，我可以让 ATM 签署每笔交易的数字时间戳副本。现在，当重放加密流量时，服务器可以判断这是一个错误交易，因为时间戳将是旧的。或者，如果重放来自不同位置的类似 ATM 的交易，那么服务器还可以确定它正在与与实际预期不同的身份进行通信。因此，虽然加密可以保护交易通道的安全，但完整性可以确保解密流量的两个端点实际上正在与他们期望的一方进行通信。