pki公鑰基礎設施通過建設信任根,結合數字證書,實現了可信身份。通過數字證書技術,可以實現數字簽名、資料加密。數字證書的可信基於可信根對使用者身份的核驗,確認資訊和使用者身份匹配,頒發給使用者乙個數字憑證,這個數字憑證即為數字證書。
使用者基於公鑰演算法生成公鑰和私鑰,公鑰演算法也被稱作非對稱金鑰演算法。公鑰演算法區別於對稱金鑰演算法,加密金鑰和解密金鑰不是乙個,用公鑰加密的資料,必須用私鑰才能進行解密。並且用私鑰加密的資料,用私鑰也是不能解密,必須由對應的公鑰進行解密。
對應日常資訊,如何建立乙個可信的憑證?例如銀行驗證你的資訊,要求你出示你的身份證,一代身份證是乙個具有防偽技術的物***。採用這個方案,我們設計了下面數字證書,
但是,這個過程並不安全,與線下的實物不同,數字證書可以很容易被複製。在上面的方案中,當使用者向銀行出示自己的數字證書時,銀行就會保留乙份數字證書。而這份數字證書也可以完全用來證明身份,因此上面的方案是有問題的。
使用者也擁有一對金鑰,公鑰和私鑰。私鑰由使用者儲存,公鑰放在證書中。銀行可以驗證證書是經過權威機構簽發的,還要經過一次應答/挑戰,證明使用者擁有證書中公鑰對應的私鑰。
應答/挑戰過程,由銀行端發起向使用者傳送隨機數b,使用者用私鑰加密隨機數,銀行在用使用者證書中的公鑰解密加密密文,如果解密結果是隨機數b,證明了使用者擁有證書對應的私鑰。
在上面的方案中,使用者向銀行證明身份經過了2個步驟,1.提供證書,證書的內容是使用者身份資訊,證書的可信由權威機構的簽名保證。2.使用者需要證明擁有證書中對應的私鑰。
1.使用者是否可以篡改證書?
如果張三將自己證書上的名稱改為李四,並向銀行提供仿冒證書冒充李四。此時銀行通過證書hash值,和證書中的權威機構簽名,就可以驗證證書經過篡改。
2.使用者是否可以擷取證書仿冒使用者?
張三截獲了李四的數字證書,向銀行提交李四的數字證書冒充李四。銀行會通過應答/挑戰驗證是否擁有李四的私鑰。通常,李四的證書和私鑰都是儲存在usbkey中的,使用usbkey時還要輸入pin碼,通過物理ukey+pin碼方式保護私鑰的安全性。
但如果張三竊取了李四的ukey,並且窺探到李四的pin,就可以冒充李四。當李四發現ukey丟失時,應及時到權威機構對ukey進行登出。
以上介紹的是用來做身份認證和數字簽名的公鑰證書。除了公鑰證書之外,也有一些證書檔案是不包含公鑰資訊的。例如屬性證書和電子證照。
屬性證書,常用來做登入憑證,簽發乙個檔案格式如第乙個證書。舉乙個例子,使用者在**上的"等級"儲存在服務端,當多個服務之間跳轉,需要乙個攜帶「等級」資訊時,可以將資訊+服務端簽名方式傳送給使用者,使用者在登入其他伺服器時出示屬性證書證明自己的等級。屬性證書用,[name=使用者證書名,level=使用者級別 ]by服務端數字簽名。廣泛使用jwt,json web token中就使用了屬性證書的思想。
電子證照,也是一種數字證書,不包含公鑰,只包含資訊和權威機構的數字簽名。例如,電子結婚證可採用[持證人,持證人]by政務部分電子印章簽名。當需要出示結婚證時,通過驗證簽名,可以證明電子證照資訊的真實性。
SSL,HTTPS,數字證書
ssl https secure hypertext transfer protocol 安全超文字傳輸協議 它是由netscape開發並內置於其瀏覽器中,用於對資料進行壓縮和解壓操作,並返回網路上傳送回的結果。https實際上應用了netscape的完全套接字層 ssl 作為http應用層的子層。...
SSL 數字證書
secure 可靠的.安全的 socket 座 layer 層 ssl 協議 ssl 是乙個安全協議,它提供使用 tcp ip 的通訊應用程式間的隱私與完整性。網際網路的 超文字傳輸協議 http 使用 ssl 來實現安全的通訊。由於ssl技術已建立到所有主要的瀏覽器和web伺服器程式中,因此,伺服...
數字證書原理
概念介紹 對稱加密演算法 加密和解密使用同乙個金鑰。非對稱加密演算法 加密和解密使用的金鑰不是同乙個。典型的如rsa 公鑰加密演算法 擁有一對金鑰,公鑰和私鑰,用私鑰進行解密和數字簽名,用公鈅來進行加密及驗證簽名。encryption 加密 decryption 解密 asymmetric 非對稱 ...