5分鐘讓你知道什麼是PKI

public key infrastructure（pki)，中文叫做公開金鑰基礎設施，也就是利用公開金鑰機制建立起來的基礎設施。但是如果這麼解釋起來，到底是個什麼東西，大家想必是沒辦法理解的。

現在大家的很多重要活動都是通過網路進行的，那麼與之俱來的安全問題就顯得非常重要。同時很多安全保障機制都是基於pki的，如果你因為各種原因（考試？提案？好奇？）想知道各種pki是什麼。那麼通過這篇文章，絕對讓你5分鐘知道什麼是pki。

pki不好理解的原因是，這個概念包括了很多不同的技術和知識，同時又因為這個概念很龐大，讓人感覺無從下手。但是，這個概念其實沒有看起來那麼複雜，讓我們開始說明吧！

pki的主要目的是用來發行「身份證明書」，網路上因為大家不能見面，所以偽造身份是非常容易的事情。因為要在網路上驗明正身，所以這個網路身份證明書就變得很重要了。

相互通訊的時候，如果能相互確認身份證明書，那麼我們就知道自己是在跟對的人通訊。

但是，自己做的身份證明書是不能拿來作為證明的，就像生活中，如果公民身份證可以私人合法製作的話，那麼身份證也就沒啥可信度了。網路世界中，我們需要乙個信得過的發證機關來發行身份證明書，同時自己要好好保管自己的身份證明書，就像派出所給你發了公民身份證，自己要好好保管一樣。

pki的世界裡，這個身份證明書，被叫做「證明書」。發行「證明書」的機關叫做「認證機關」。還有乙個就是統一管理證明書的證書「檔案庫」。這三個東西加起來，就是pki的主要構成要素。

就像之前提到的，一般來說，構成pki的主要要素就是下面三個概念

證明書認證機關

證書庫說到底，pki指的是證明書的製作和分發的一種機制。在這個機制的保障前提下，進行可信賴的網路通訊。即安全的網路通訊保障機制。

實際上，證明書是被存放在硬碟或者ic卡裡面的。證明書的檔案構造是一種叫做 x.509 的協議規定的。另一方面，認證機關也其實就是乙個網路應用程式。

一旦利用了證明書確認了身份的同時，通訊的加密也就可以實現了。為什麼呢？證明書裡面包含了用來加密的金鑰。

比如說，你要和乙個自稱比爾的男人通訊。這個自稱比爾的男人，會在通訊的最開始，通過網路將證明書發給你，那麼通過這個證明書，就證實了他就是比爾。

然後，你用這個「證明書中的金鑰」，將你要傳送給比爾的內容進行加密，然後傳送給比爾。

用「證明書中的金鑰」加密過的內容，只能用比爾自己才有的另乙個「私人的金鑰」才能解密。這樣的話，如果你傳送給比爾的內容被他人竊取的話，他人也無法解密。

只要比爾自己好好保管好自己才有的「私人的金鑰」，那麼如果有人拿著比爾的「證明書中的金鑰」想要胡作非為的話，那就是不可能的。因為用「證明書中的金鑰」加密過的內容，只有比爾自己才有的「私人的金鑰」才能解密。

所以這麼一來，pki提供的證明書可以用來身份確認和通訊加密。同時實現了這兩個重要的功能。

對於比爾來說，只要保證本人的那個「私人的金鑰」不被盜走，包含在「證明書裡的金鑰」給多少人都沒有關係。也就是說，想跟比爾通訊的人，必須要有比爾的證明書，要用比爾「證明書裡的金鑰」對通訊內容進行加密。為了能讓其他人可以方便的獲取比爾的證明書，證書庫就顯得有必要了。

在pki機制中，放在「證明書裡面的金鑰」可以被任意自由分發，這裡的「證明書裡的金鑰」被叫做「公開金鑰（public key）」。與此相對，本人保管的那個「私人的金鑰」就要做「私有金鑰（private key）」。

先前說到，用包含在證明書裡的公開金鑰去給通訊內容加密，這個過程大家已經知道。但是pki提供的證明書真的可以被信任嗎？說到底，證明書也就是普通的檔案而已。不像貨幣那樣，本身有著特殊的材質或者物理上的防偽措施。

這麼想是完全對的，因為實際上，認證機關所用的證書生成器說到底也就是乙個軟體而已，如果搞到這個軟體，誰都可以發行證明書。所以說，在技術上，偽造證明書是非常簡單的。所謂假的證明書，比如說有乙個所謂的「比爾的證明書」，但是裡面含有的公開金鑰是史提芬的公開金鑰。那麼，別人發給比爾的資訊，史蒂芬可以解密，反而比爾自己不能解密。

這樣看來，這個認證機關就至關重要了，認證機關的可信度，直接與證書的可信度掛鉤，也就是與整個pki機制的可信度息息相關。

關於認證機關的權威性和可信度的問題，其實是乙個社會基礎設施建設的話題了。

在很多國家認證機關都是由**在主導建設，常常被視作乙個社會性基礎設施的乙個環節。如同建設各種社會機構，比如醫院，銀行，學校等等。

5分鐘讓你知道什麼是PKI

5分鐘讓你的牙齒blingbling讓牙齒

五分鐘告訴你什麼是爬蟲？

5分鐘搞懂什麼是深度學習

5分鐘讓你知道什麼是PKI

5分鐘讓你的牙齒blingbling讓牙齒

五分鐘告訴你什麼是爬蟲？

5分鐘搞懂什麼是深度學習

相關推薦