k8s系列-03-认证的密码学原理之对称加密和非对称加密

k8s系列-03-认证的密码学原理之对称加密和非对称加密

主旨

本文主要介绍下密码学中的对称加密、非对称加密、以及在k8s中是怎样进行的认证。

密码学

密码学是研究编制密码和破译密码的技术科学。研究密码变化的客观规律，应用于编制密码以保守通信秘密的，称为编码学；应用于破译密码以获取通信情报的，称为破译学，总称密码学。对称加密和非对称加密是最常用的两种，下面我们来介绍一下他们的原理。

对称和非对称优缺点

对称加密

相信网上有很多很多专业解释，比我专业多了，我就简单说下我的理解。

对称加密就是你发出的消息，通过一个秘钥，进行一系列复杂的算法，得到一个看不懂的信息内容，发送给接收方；这个时候接收方也通过相同的秘钥，进行反算，而后原始内容。注意点：发送方和接收方使用的是相同的秘钥。

非对称加密

和对称加密相似，不同的地方是发送方加密的秘钥，和接收方解密的秘钥，不是同一个秘钥，即秘钥不相同，最广泛的使用就是公钥私钥了，发送方通过公钥加密信息之后发给你，你通过私钥进行解密获取原始内容。

k8s中采用的加密方案

首先要用对称和非对称的优缺点来入手，可以看到对称加密的系统开销小，但是不安全、数量多，当然了，数量对于咱们不算是个问题，毕竟咱们自己搭建k8s系统，也就是几百，几千个，还可以接受。

那么我们接下来看下非对称加密，安全，但是速度慢。那么我们是不是可以扬长避短呢？使用非对称加密的安全和对称加密的高性能，结合到一块儿来。下面我们看看如何进行。

1、首先使用非对称加密，A服务将自己的公钥公布出去，B服务接受到这个公钥。

2、B使用公钥将对称加密的秘钥，进行二次加密，并发送给A，A使用非对称加密的私钥解密，获得B的公钥。

3、此时，A和B的对称加密的秘钥，就传递成功且保持一致了。

4、但是有个问题，你如何保证A第一次发送给B的公钥是正确的呢？如果你发送的公钥被第三方截获了，且第三方截获之后模仿A给B发送公钥。

这个时候B以为是A发送的公钥，此时再将B的对称加密的秘钥加密之后发给A，而此时第三方又截获了，然后使用他自己的私钥解密，获取B的对称秘钥，再将自己的对称秘钥通过真实A的公钥加密发给A，那么是不是此时A和B彼此的所有交互信息，第三方都可以看到，如下图：

那么我们该如何处理上述问题呢？是不是如果这个时候有一个证人，能证明哪个是对的哪个是错的就好了，那么我们就引入了CA。

5、当第一次B接收到A的公钥的时候，就去CA查询下，这个公钥对不对。

而当A接受到B的对称秘钥时，也去CA查一下是否正确。

以上就是k8s的认证机制，也是鼎鼎大名的的SSL/TLS认证的底层逻辑。