什么是端到端加密？

實際上，我們可以將端到端加密（E2EE）視作一種目前比較安全的通信系統(tǒng)。在這個系統(tǒng)中，只有參與通信的雙方用戶可以讀取通信數(shù)據。不僅網絡犯罪分子無法竊聽到這種通信信息，甚至連互聯(lián)網服務提供商、通信服務提供商、以及電信服務提供商都無法獲取到這類通信數(shù)據。

除此之外，端到端加密還可以防止攻擊者輕易地獲取到用于解密通信會話的加密密鑰。這種通信系統(tǒng)可以有效地防止攻擊者對用戶的通信數(shù)據進行攔截或竊聽，而且如果攻擊者想要篡改通信內容的話，幾乎也是一件不太可能完成的任務。這也就意味著，那些在文字聊天服務中采用了端到端加密的公司無法將客戶的聊天內容轉交給某些特殊的情報機構。

當我們需要將某些數(shù)據從一個源地址發(fā)送到目的地址時，我們就可以使用端到端加密技術來保證加密數(shù)據的安全傳輸。端到端加密的主要優(yōu)勢是在Web層就可以對數(shù)據進行加密處理，然后在數(shù)據接收端的數(shù)據庫或者應用服務器層解密出明文數(shù)據。如果在實現(xiàn)端到端加密的過程中，我們使用的是安全級別較高的加密算法，那么這樣就可以確保傳輸數(shù)據能夠得到最高級別的安全保護。

在實現(xiàn)端到端機密的過程中，發(fā)起加密操作的永遠是源設備的用戶，這樣可以最大程度地體現(xiàn)出這項技術的靈活性，因為用戶可以自主選擇需要對哪部分數(shù)據進行加密。但是，在端到端加密的過程中，類似IP地址和路由信息這樣的細節(jié)數(shù)據是無法進行加密處理的。

端到端加密的優(yōu)勢在哪里？

1.在用戶需要對敏感數(shù)據加密的情況下，“有選擇性地加密”將會大幅提升加密的靈活性，用戶可以根據自己的情況來選擇需要進行加密的數(shù)據。

2.用戶可以對端到端加密的實現(xiàn)過程進行自定義配置，這將有助于實現(xiàn)功能的高度模塊化，并提升加密模塊的內聚性。

3.在整個加密過程中所涉及到的文件量是非常小的，所以加密過程所占用的資源量并不大，而且加密時間也不會太久。

接下來，讓我們來了解一下什么是高級加密標準（AES）。

高級加密標準（AES）

高級加密標準（AES）在密碼學中又稱Rijndael加密算法，AES是美國聯(lián)邦政府采用的一種區(qū)塊加密標準。這個標準的設計目標是為了替代原先的DES，目前該標準已經經過了大量安全研究專家的分析，并且在全世界范圍內得到了廣泛使用。經過五年的甄選流程，高級加密標準由美國國家標準與技術研究院（NIST）于2001年11月26日發(fā)布于FIPSPUB 197，并在2002年5月26日成為有效的加密標準。2006年，高級加密標準（AES）已然成為對稱密鑰加密中最流行的算法之一。

下圖所示的是一個簡單的AES加密流程：

接下來，我們將通過下面的問答環(huán)節(jié)來向大家介紹有關高級加密標準的內容。

問題一：AES加密到底是什么？

AES加密算法是一種對稱加密算法，該算法由比利時密碼學家JoanDaemen和VincentRijmen共同設計，結合兩位作者的名字，所以得名“Rijndael”加密算法。

AES加密專門用于對電子數(shù)據進行加密。毫無疑問，在需要采用信息加密技術的各種聊天應用程序中，AES加密算法肯定是它們的首選。除此之外，AES加密算法可以使用128位、192位、或者256位長度的密鑰來對文字數(shù)據進行加密和解密。

問題二：AES加密算法的強大之處到底在哪？

當你需要發(fā)送敏感信息和憑證數(shù)據時，AES加密和解密算法可以保證傳輸數(shù)據的安全。它可以將機密數(shù)據加密成一種可被解密的形式，但是只有當你手握正確的解密密碼時，你才能夠對其進行解密。

問題三：AES加密算法到底有多安全？

AES加密算法是一種非常安全的加密方式，美國政府一直都在使用這種加密算法來加密敏感數(shù)據。

Diffie-Hellman密鑰交換算法

簡而言之，Diffie-Hellman是一種確保共享密鑰安全通過不安全網絡的一種方法。包括AES加密算法在內的對稱加密算法可以使用這種方式來交換加密密鑰。需要安全通信的雙方可以用這個方法確定對稱密鑰，然后可以用這個密鑰來進行數(shù)據的加密和解密。但是請注意，這個密鑰交換算法只能用于密鑰的交換，而不能進行消息的加密和解密。當通信雙方確定了需要使用的密鑰后，要使用其他對稱加密算法來進行實際的加密和解密操作。

還有一種匿名密鑰交換協(xié)議，即橢圓曲線Diffie-Hellman（ECDH）。通過橢圓曲線Diffie-Hellman (ECDH) 密鑰協(xié)商協(xié)議，兩個用戶可以創(chuàng)建共享的機密協(xié)議。他們可以在不安全的公共媒體上完成此操作，而不必事先交換任何私有信息。該共享機密協(xié)議通常用于派生密鑰材料。對稱算法（例如高級加密標準（AES）算法）可以使用這份密鑰材料來對后續(xù)消息進行加密。

為什么需要ECDH密鑰交換算法？

即便是沒有ECDH，我們的AES加密算法依然可以正常工作。但問題就是，我們還需要自己去處理通信雙方的私鑰問題。因此，我們需要將密鑰硬編碼至.apk文件當中，但此時的密鑰是可以通過對apk文件進行反編譯來獲取到的。因此，為了避免這種情況的發(fā)生，我們需要使用ECDH密鑰交換算法來幫助我們進行密鑰的交換操作。

其實這也很好解釋，假如現(xiàn)在A需要與B進行通信，那么此時就要生成一個只有他們雙方自己知道的密鑰。當A要與C（新的通信對象）進行通信時，又要單獨生成另外一個密鑰。這就是端到端加密的實現(xiàn)方式，你可以將其想象成一種通信專線的形式。也就是說，假如你要和一百個不同的人聊天，那么此時就會存在一百條私人通信信道。

WhatsApp是怎么做的？

WhatsApp也采用了相同的處理機制。這個目前世界上使用人數(shù)最多的即時通信服務已經在他們的通信服務中引入了端到端加密技術，而且?guī)缀跛械囊苿釉O備都可以使用這項服務，包括Android、iPhone、黑莓、諾基亞、以及WindowsPhone在內。WhatsApp不僅會對每一條信息、每一張照片、每一個視頻、以及每一份文件進行加密處理，而且還會對用戶的語音通話信息進行加密。端到端加密可以確保只有通信雙方（即信息的發(fā)送方和接收方）能夠對數(shù)據進行解密，即使是WhatsApp的開發(fā)人員也無法解密這些數(shù)據。

如果你在開發(fā)中遇到了關于“端到端加密”的問題，請趕緊通過電子郵件來與我們聯(lián)系（[email protected]）。

* 參考來源：Algoworks，本文由Alpha_h4ck編譯，轉載請注明來自FreeBuf黑客與極客（Freebuf.COM）