數字證書採用pki(public key infrastructure)公開金鑰基礎架構技術,利用一對互相匹配的金鑰進行加密和解密。
每個使用者自己設定一把特定的僅為本人所知的私有金鑰(私鑰),用它進行解密和簽名;同時設定一把公共金鑰(公鑰),由本人公開,為一組使用者所共享,用於加密和驗證簽名。當傳送乙份保密檔案時,傳送方使用接收方的公鑰對資料加密,而接收方則使用自己的私鑰解密,通過數字的手段保證加解密過程是乙個不可逆過程,即只有用私有金鑰才能解密,這樣保證資訊保安無誤地到達目的地。使用者也可以採用自己的私鑰對傳送資訊加以處理,形成數字簽名。由於私鑰為本人所獨有,這樣可以確定傳送者的身份,防止傳送者對傳送資訊的抵賴性。接收方通過驗證簽名還可以判斷資訊是否被篡改過。即使已知明文、密文和加密金鑰(公開金鑰),想要推導出解密金鑰(私密金鑰),在計算上是不可能的。按現在的計算機技術水平,要破解目前採用的2048位rsa金鑰,需要上千年的計算時間。
隨著internet的普及、各種電子商務活動和電子政務活動的飛速發展,數字證書開始廣泛地應用到各個領域之中,目前主要包括:訪問安全站點(伺服器證書,即ssl證書)、軟體安全認證(**簽名證書)、傳送安全電子郵件(個人電子郵件證書)、網上招標投標、網上簽約、網上訂購、安全網上公文傳送、網上繳費、網上繳稅、網上**、網上購物和網上報關(個人簽名及加密證書)等。
在使用數字證書的過程中應用公開金鑰加密技術,建立起一套嚴密的身份認證系統,它能夠保證:
資訊除傳送方和接受方外不被其他人竊取;
資訊在傳輸過程中不被篡改;
接收方能夠通過數字證書來確認傳送方的身份;
傳送方對於自己傳送的資訊不能抵賴。
以電子郵件證書為例,數字證書主要可以解決:
保密性:通過使用收件人的數字證書對電子郵件加密,只有收件人才能閱讀加密的郵件,這樣保證在internet上傳遞的電子郵件資訊不會被他人竊取,即使發錯郵件,收件人由於無法解密而不能夠看到郵件內容。
完整性:利用發件人數字證書在傳送前對電子郵件進行數字簽名不僅可確定發件人身份,而且可以判斷傳送的資訊在傳遞的過程中是否被篡改過。
身份認證:在internet上傳遞電子郵件的雙方互相不能見面,所以必須有方法確定對方的身份。利用發件人數字證書在傳送前對電子郵件進行數字簽名即可確定發件人身份,而不是他人冒充的。
不可否認性:發件人的數字證書只有發件人唯一擁有,故發件人利用其數字證書在傳送前對電子郵件進行數字簽名後,發件人就無法否認傳送過此電子郵件。
數字證書是由認證中心頒發的。 認證中心是一家能向使用者簽發數字證書以確認使用者身份的管理機構。
為了防止數字憑證的偽造,認證中心的公共金鑰必須是可靠的,認證中心必須公布其公共金鑰或由更高階別的認證中心提供乙個電子憑證來證明其公共金鑰的有效性,後一種方法導致了多級別認證中心的出現。
數字證書頒發過程如下:使用者首先產生自己的金鑰對,並將公共金鑰及部分個人身份資訊傳送給認證中心。認證中心在核實身份後,將執行一些必要的步驟,以確信請求確實由使用者傳送而來,然後,認證中心將發給使用者乙個數字證書,該證書內包含使用者的個人資訊和他的公鑰資訊,同時還附有認證中心的簽名資訊。使用者就可以使用自己的數字證書進行相關的各種活動。
參考
轉 HTTPS 數字證書的基礎知識
在講數字證書之前必須要講非對稱加密演算法和摘要演算法,因為數字證書的基礎就是各種加解密演算法 非對稱加密 摘要演算法 而其中的核心就是非對稱加密演算法了。目前而言加密方法可以分為兩大類。一類是單鑰加密 private key cryptography 也可以稱為對稱加密,還有一類叫做雙鑰加密 pub...
數字證書 基礎了解篇
什麼是數字證書?是由證書簽證機關 ca 簽發的對使用者的公鑰的認證。因此,證書的內容應包括ca的資訊 使用者資訊 使用者公鑰及ca簽發時間及有效期等內容。目前國際上對證書的格式及認證方法遵從x.509體系標準。數字證書實際上是乙份電子文件 數字證書是一段包含使用者身份資訊 使用者公鑰資訊以及身份驗證...
SSL,HTTPS,數字證書
ssl https secure hypertext transfer protocol 安全超文字傳輸協議 它是由netscape開發並內置於其瀏覽器中,用於對資料進行壓縮和解壓操作,並返回網路上傳送回的結果。https實際上應用了netscape的完全套接字層 ssl 作為http應用層的子層。...