security 分类归档 | 土法炼钢兴趣小组的算法知识备份

【从零造容器】Seccomp-BPF 与 Capabilities：容器安全的两道防线

2026-04-08 | linux · containers · security | #seccomp #bpf #capabilities #security #container #syscall #linux-kernel #cap_sys_admin #docker #defense-in-depth

你的容器能调用 reboot()。是的，现在就能。除非有人拦住它。Capabilities 拆分 root 权限，Seccomp-BPF 过滤系统调用——两道防线，缺一不可。本文用 C 代码拆解这两套机制，看看 Docker 到底替你挡住了什么。

【从零造容器】User Namespace 与 Rootless 容器：不需要 root 也能跑

2026-04-09 | linux · containers · security | #user-namespace #rootless #podman #uid-mapping #newuidmap #slirp4netns #container-security

容器运行时需要 root 权限？不一定。User namespace 让普通用户也能创建容器——容器内是 root，容器外是你自己。Podman 就是这么干的。但 rootless 不是免费午餐，限制比你想象的多。

【国密算法与国密 TLS 系列】国密生态全景：GmSSL、铜锁、硬件密码机与合规落地

2026-12-10 | cryptography · security | #Cryptography #GM #GmSSL #Tongsuo #SM2 #SM3 #SM4 #Compliance #DTLS

从开源库到硬件加速，从等保密评到 DTLS 国密，全面剖析国密生态的技术选型与合规落地路径。

【国密算法与国密 TLS 系列】国密 TLS（RFC 8998）vs 标准 TLS 1.3：握手报文逐字节对比

2026-11-25 | cryptography · security | #GM-TLS #RFC8998 #TLS1.3 #SM2 #SM3 #SM4 #国密 #Wireshark

TLS 1.3 标准握手用 X25519+AES-128-GCM+SHA-256，全换成 SM2+SM4-GCM+SM3 后，握手报文到底改了多少？本文从 ClientHello 到 Finished 逐字节对比，并结合 Wireshark 抓包和双证书体系深入分析。

【国密算法与国密 TLS 系列】PKI 证书体系：X.509 vs 国密双证书，从哲学到字节的完整对比

2027-01-15 | cryptography · security | #PKI #X.509 #证书 #国密 #CA #双证书 #KMC #SM2 #ASN.1 #RFC5280

从信任模型的哲学分歧、证书格式的 ASN.1 编码、算法 OID 的注册差异、到双证书体系的 KMC 密钥托管——逐层拆解国际 PKI 与国密 PKI 在设计理念和工程实现上的本质区别。

【国密算法与国密 TLS 系列】PQC 迁移工程指南：不是把 RSA 换掉就完了——国密怎么办

2026-12-25 | cryptography · security | #pqc #post-quantum #ml-kem #ml-dsa #sm2 #国密 #tls #hybrid-mode #migration

从 Hybrid 模式到证书链迁移，从 NIST ML-KEM/ML-DSA 到国密 SM2 的量子威胁，一份面向工程落地的后量子密码迁移指南。

【国密算法与国密 TLS 系列】SM3 vs SHA-256：两个哈希函数的设计哲学与性能实测

2026-10-10 | cryptography · security | #SM3 #SHA-256 #Hash #Cryptography #国密 #性能

SM3 和 SHA-256 都基于 Merkle-Damgård 结构、256-bit 输出、64 轮压缩——但消息扩展、布尔函数、常量选取的设计哲学完全不同。本文用 simple_gmsm 代码逐步拆解 SM3 压缩函数，并在 x86-64 / ARM64 上实测性能。

【国密算法与国密 TLS 系列】SM4 vs AES：分组密码的两条路线

2026-10-25 | cryptography · security | #SM4 #AES #分组密码 #S-Box #GCM #AES-NI #国密 #AEAD

AES 和 SM4 都是 128-bit 分组密码，但设计哲学截然不同：AES 走代数优雅路线，SM4 走工程实用路线。本文从 S-Box 设计、轮函数结构、密钥扩展、硬件加速到 GCM 模式性能实测，全面对比两条路线的取舍。

【Libevent 深度剖析与实战指南】双向认证 (mTLS) 实战指南

2025-11-30 | libevent · security · tls | #libevent #mtls #openssl #security

如何在 Libevent 中实现双向 TLS 认证 (mTLS)。从证书生成、SSL_CTX 配置到 bufferevent 集成，构建零信任网络基础。

【eBPF 系列】eBPF 安全监控：不改内核也能审计 syscall

2026-05-10 | linux · security · ebpf | #ebpf #lsm #seccomp #falco #tetragon #syscall #security #container-security #runtime-security #linux-kernel

Seccomp 只能说 yes or no，但攻击者早就学会了在 yes 里面做文章。是时候让 eBPF 接管安全审计了。

全同态加密（FHE）技术详解

2025-11-15 | cryptography · security | #Cryptography #FHE #Security

在数据为王的时代，数据隐私和安全变得至关重要。我们希望在利用数据带来价值的同时，保护其不被泄露。传统的数据加密技术（如 AES、RSA）可以有效地保护静态存储和传输中的数据，但一旦需要对数据进行计算或处理，就必须先解密。解密后的数据以明文形式暴露在内存中，极易受到攻击，这在云计算等第三方计算环境中构成了巨大的安全风险。

OPAQUE（RFC 9807）详解：从协议原理到工程落地

2025-12-11 | cryptography · security | #Cryptography #OPAQUE #PAKE #Security

在传统的用户名 + 密码登录系统中，服务器通常要么直接保存口令派生值（如 salt + hash(password)），要么依赖 TLS+密码的组合来实现认证。一旦服务器数据库被攻破，攻击者就可以对这些口令派生值做离线暴力破解，且整个系统的安全性高度依赖 TLS 与密码派生方案的组合是否正确实现。OPAQUE（The…

后量子密码学与抗量子算法 (PQC)

2026-04-03 | cryptography · security | #pqc #quantum-computing #cryptography

![PQC](/post/crypt/PQC/images/pqc-banner.svg)

密码学工程中最容易犯的 7 个错误

2026-03-20 | cryptography · security | #Cryptography #Security #OpenSSL #CVE #AES #GCM #Side-Channel

密码学最危险的不是算法被破解，而是正确的算法被错误地使用。本文梳理 7 个真实 CVE 中的密码学工程错误，附代码与修复方案。

不到 500 行 C 实现 TLS 1.3 握手

2025-07-10 | cryptography · tls · security | #TLS #Cryptography #C #Security

不依赖 OpenSSL，用纯 C 从零实现 TLS 1.3 一次往返握手——X25519 密钥交换、HKDF 密钥派生、AES-128-GCM 加密，一个文件搞定。

密码怎么存？

2026-04-03 | security | #security #password #hashing #cryptography #authentication

密码安全存储最佳实践：哈希算法、加盐、bcrypt/scrypt/Argon2 使用指南

XSS 攻防实践

2026-04-03 | security | #security #xss #web-security #penetration-testing #owasp

XSS 跨站脚本攻击实战：攻击原理、防御方法与安全编码最佳实践

Linux 提权原理和方法

2025-10-30 | security | #security #linux #privilege-escalation #penetration-testing #vulnerabilities

Linux 提权技术详解：权限提升原理、常见漏洞利用方法与防护措施