-
让品牌有温度、有情感
专注品牌策划15年
数字证书的概念(数字证书的概念和作用)
发布时间:2023-04-06 11:50:07
稿源:
创意岭 阅读:
113
大家好!今天让小编来大家介绍下关于数字证书的概念的问题,以下是小编对此问题的归纳整理,让我们一起来看看吧。
创意岭作为行业内优秀的企业,服务客户遍布全球各地,相关业务请拨打电话:175-8598-2043,或添加微信:1454722008
文章目录列表:
.jpg)
一、数字证书和数字签名的关系
有了数字证书才能顺利安装并运行该软件,签名就是给了这个软件合法的身份,取得了系统权限。可以随手机启动。
1、数字证书:用自己的私钥签名对方用本方的公钥解密签名。
2、数字签名:用私钥加密哈希散列值,对方拿机主的公钥解密得到一个散列值后对方拿机主发送的消息执行哈希运算得到一个散列值,对方比较值是否相等。如果相等,证明这是机主发过去的文件。
扩展资料:
一、身份认证
通过数字证书,确认实体即为自己所声明的实体,从而鉴别身份真伪。依据身份认证的对象不同,数字证书可分为个人身份证书、企业或机构身份证书、服务器证书,分别证实其在网络活动中的身份,从而为网络上各实体间信息交换的安全性提供第一道防线。
二、保护数据的完整性
通过基于数字证书的数字签名技术,既可以提供实体认证,又可以保障被签名数据的完整性,即确认数据无论是在传输或是在存储过程中经过检查确认没有被修改。
其主要应用为代码签名证书,由CA签发给软件提供者(包括组织或个人),代码签名证书包含了软件提供者的身份信息、公钥及CA 的签名。
三、确保数据的保密性
在实际应用中,服务器和浏览器之间的信息通过HTTP协议在互联网上以明文方式进行传输,容易被非法第三方窃取或篡改。
服务器证书通过采用“数字信封”机制,将用户浏览器和服务器之间传输的信息加密,加密后的信息除了指定的实体外,其他未经授权的人不能读出或看懂该数据,从而保证了信息传输的私密性。
四、确保行为的不可否认性
用数字签名的方法,可以从技术上保证实体对其行为的诚实性,防止其对关键行为的否认。
通过附加在数据单元上的一些数据,或是对数据单元作密码变换,数字签名允许数据单元的接收者确认数据单元的来源。由于只有发送数据单元者拥有私钥,所以其无法否认发送过该数据单元,从而防止交易中的抵赖发生。
二、cfca数字证书是什么
中国金融认证中心(CFCA)是我国重要的金融信息安全基础设施之一,是经中国银行和国家信息安全管理局批准的国家级权威安全认证机构。
CFCA在《中华人民共和国电子签名法》颁布后,成为首批获得电子认证服务许可的电子认证服务机构之一。了解CFCA证书是什么之后,那么CFCA的职能是什么?中国金融认证中心的售后服务宗旨:“成为客户的技术支持伙伴,帮助客户确保系统的运行,并在客户需要时提供相应的服务”。CFCA的技术支持服务根据整个系统的情况和客户的需求,远远超出了传统的故障排除响应支持的概念,从系统预防性检查、支持客户的日常运行维护、系统功能升级到客户的培训服务,帮助用户更好地掌握系统维护知识和了解最新的相关技术。CFCA一直致力于创造高水平的基础设施条件和管理体系,作为中国一流的电子认证服务机构和信息安全集成解决方案提供商,竭诚为客户提供高质量的产品和一流的服务。为了创造一个可信的网络环境,建立一个稳定的网络信任体系,我们将不断努力,促进中国信息安全事业的繁荣和发展。CFCA的技术支持服务根据整个系统的情况和客户的需求,远远超出了传统的故障排除响应支持的概念,从系统预防性检查、支持客户的日常运行维护、系统功能升级到客户的培训服务,帮助用户更好地掌握系统维护知识和了解最新的相关技术。三、CA、数字证书、数字签名
本文介绍 CA、数字证书和数字签名的概念和原理。
数字签名,又称公钥数字签名、电子签章,是使用公钥加密技术实现的用于鉴别数字信息的方法。
一套数字签名通常定义两个互补的运算,一个用于生成签名,另一个用于验证签名。
对要传输的消息原文使用消息摘要算法(MD5 / SHA)生成消息摘要,发送方使用自己的私钥对消息摘要进行加密后生成数字签名。
数字签名同摘要一同传送给接收方,接收方使用发送方的公钥解密数字签名还原消息摘要,并对消息原文使用相同的消息摘要算法(MD5 / SHA)计算出消息摘要,将这两个消息摘要进行对比,如果不同则说明消息在传输过程中被篡改过。
数字签名依赖于发送方公钥的安全性,如何确保公钥来自真实的发送方而非仿造?这就需要依赖于数字证书。
数字证书的生成和验证:
接收方收到数字证书后使用 CA 中心的公钥对签名信息 S 进行解密得到摘要 H ,然后对证书原文 O 执行相同的 Hash 运算得到摘要 h ,通过 H 和 h 的对比可以判断证书内容的真实性和完整性。如果证书原文中的公钥和身份信息都是 CA 中心的,说明是 CA 自签名。
证书的格式和验证方法普遍遵循 X.509 国际标准。
公钥基础设施(Public Key Infrastructure,PKI),是一组由硬件、软件、参与者、管理政策与流程组成的基础架构,其目的在于创造、管理、分配、使用、存储以及撤销数字证书。
公钥基础设施借助 数字证书认证机构(CA) 将用户的个人身份跟公开密钥链接在一起。
数字证书认证机构(Certificate Authority,缩写为CA),是负责发放和管理数字证书的权威机构,并作为受信任的第三方,承担公钥体系中 公钥合法性检验 的责任。
CA 中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。
全球权威的 CA 中心的证书已被各软件厂商设置为 可信任的根证书 。所谓 根证书 是指此证书是受信任的起始点,可以使用此证书来证明其它证书。这些证书被预置到软件内的过程是未知的,这也是最关键的安全环节。
参考: http://www.youdzone.com/signature.html
四、对称加密、非对称加密、摘要、数字签名、数字证书
作为一个开发人员,或多或少都听说过对称加密、非对称加密、摘要、数字签名、数字证书这几个概念,它们是用来保证在互联网通信过程中数据传输安全的。有人可能会有疑惑,我给传输数据加个密不就安全了,为什么还要搞这么多花样出来?本文主要通过一个案例来讲解这几个概念的实际作用。
在此之前,我先简单介绍一下这几个概念。
对称加密是指用来加密和解密的是同一个秘钥。其特点是加密速度快,但是秘钥容易被黑客截获,所以安全性不高。常见的有AES、DES算法。
非对称加密是指用来加密和解密的是不同的秘钥,它们是成对出现的,称为公钥和私钥,知道其中一个秘钥是无法推导出另外一个秘钥的。用公钥加密的内容需要用私钥才能解密,用私钥加密的内容需要用公钥才能解密。非对称加密的特点是安全性高,缺点是加密速度慢。常见的有RSA算法。
所谓的摘要就是一段信息或者一个文件通过某个哈希算法(也叫摘要算法)而得到的一串字符。摘要算法的特点就是不同的文件计算出的摘要是不同的(也有可能相同,但是可能性非常非常低),比如一个1G的视频文件,哪怕只是改动其中一个字节,最后计算得到的摘要也是完全不同的,所以摘要算法通常是用来判断文件是否被篡改过。其还有一个特点就是通过摘要是无法推导出源文件的信息的。常用的摘要算法有MD5、SHA等。
数字签名就是一个文件的摘要加密后的信息。数字签名是和源文件一起发送给接收方的,接收方收到后对文件用摘要算法算出一个摘要,然后和数字签名中的摘要进行比对,两者不一致的话说明文件被篡改了。
数字证书是一个经证书授权中心生成的文件,数字证书里一般会包含公钥、公钥拥有者名称、CA的数字签名、有效期、授权中心名称、证书序列号等信息。其中CA的数字签名是验证证书是否被篡改的关键,它其实就是对证书里面除了CA的数字签名以外的内容进行摘要算法得到一个摘要,然后CA机构用他自己的私钥对这个摘要进行加密就生成了CA的数字签名,CA机构会公开它的公钥,验证证书时就是用这个公钥解密CA的数字签名,然后用来验证证书是否被篡改。
场景:
张三要找人装修一个房子,原则是谁的出价便宜就给谁装修,所以对于报价文件就是属于机密文件。下面我们来看下不同的方式传输报价文件都会有什么风险。
现在李四想接这个装修的活,他做了一份报价文件(文件名: lisi.txt ,文件内容: 报价50万 )。然后李四用一个对称秘钥 123 对这个文件进行加密。最后李四将这个秘钥和加密的文件发给张三,张三收到后用这个秘钥解密,知道了李四的报价是50万。
同时王五也想接这个装修的活,他本来是想报价55万的,但是又担心报价太高而丢掉这个活。恰巧王五是个黑客高手,于是他截获了李四发给张三的秘钥和加密文件,知道了李四报价是50万。最后王五将自己的报价改成了49万发给张三,结果王五接下了这个装修活。
结论:
用对称加密的话,一旦秘钥被黑客截获,加密就形同虚设,所以安全性比较低。
首先张三会生成一对秘钥,私钥是 zhangsan1 ,公钥是 zhangsan2 ,私钥张三自己保存,将公钥公布出去。
李四将报价文件 list.txt 用张三公布的公钥 zhangsan2 进行加密后传给张三,然后张三用私钥 zhangsan1 进行解密得到李四的报价是50万。
这个时候即使王五截获到了李四发给张三的报价文件,由于王五没有张三的私钥,所以他是无法解密文件的,也就无法知道李四的报价。最后王五因为报价55万而丢掉了这个装修的机会。
所以用非对称加密是可以保证数据传输安全的。不过这里说一句题外话,既然非对称加密安全性高,那为什么不淘汰掉对称加密呢?其实关键就在于加密速度,非对称加密计算量很大,所以加密速度是很慢的,如果发送消息非常频繁,使用非对称加密的话就会对性能造成很大影响。所以在实际开发过程中通常是对称加密和非对称加密结合使用的。也就是对称加密的秘钥是用非对称加密后发送的,这样能保证对称加密的秘钥不被黑客截获,然后在发送业务数据时就用对称加密。这样既保证了安全性也保证了加密速度。
结论:
非对称加密可以防止黑客截获加密后的内容,安全性高。
前面都说了非对称加密是安全的,那为什么还要数字签名呢?
设想一下,王五截获了李四的报价文件,王五虽然无法知道李四的实际报价,但是他完全可以伪造一份李四的报价(文件名: lisi.txt ,文件内容: 报价60万 ),然后将这份伪造文件用张三公布的公钥 zhangsan2 进行加密后替换原来的报价文件。张三收到后解密发现报价是60万,于是张三就以为李四报的价是60万,最后决定将装修的活给报价55万的王五来做。
发生这个问题的关键就在于张三无法知道报价文件是否被篡改过。要解决这个问题就需要用到数字签名。
首先李四需要自己生成一对非对称加密的秘钥,私钥 lisi1 自己保存,公钥 lisi2 发给张三。然后李四对自己的报价文件通过摘要算法得到一个摘要(假设摘要是 aaa ),再用自己的私钥 lisi1 加密这个摘要就得到了报价文件的数字签名,最后将加密的报价文件和数字签名一起发给张三,张三收到后先用李四发过来的公钥 lisi2 解密数字签名得到摘要 aaa ,然后用自己的私钥 zhangsan1 解密加密的文件得到报价源文件,然后对报价源文件进行摘要算法,看计算得到的结果是不是 aaa ,如果不是 aaa 的话就说明报价文件被篡改了。
在这种情况下,如果王五截获了李四发给张三的文件。王五是无法解密报价文件的。如果王五伪造一份报价文件的话,等张三收到后就会发现报价文件和数字签名不匹配。那王五能不能伪造报价文件的同时也伪造签名呢?因为王五没有李四的私钥,所以没法对伪造的报价文件的摘要进行加密,所以也就没法伪造签名。
结论:
非对称加密虽然能确保加密文件内容不被窃取,但不能保证文件不被篡改。数字签名就是用来验证文件是否被篡改过。
既然非对称加密可以保证文件内容的安全性,数字签名又可以保证文件不被篡改,那还要数字证书有什么用呢?
我们再来设想一下,王五自己也生成了一对用于非对称加密的秘钥,私钥是 wangwu1 ,公钥是 wangwu2 。前面李四将自己的公钥 lisi2 发给张三的过程中被王五给截获了,王五用自己的公钥 wangwu2 替换了李四的公钥 lisi2 ,所以张三最后收到的公钥实际上是王五的,但张三对这并不知情。后面李四发的数字签名和加密的报价文件都被王五截获,并且王五伪造了一份报价文件,同时用自己的私钥加密报价文件的摘要生成伪造的签名并发给张三,张三收到后进行验证发现数字签名和报价文件是匹配的,就以为这份报价文件是真实的。
出现这个问题的关键就在于张三没法确认收到的公钥到底是不是李四发的,这个时候数字证书就起到作用了。李四到权威的数字证书机构申请数字证书,证书里面包含了公钥( lisi2 )和公钥的拥有者( 李四 )等相关信息,然后李四将证书发给张三,张三通过证书里面的信息就可以知道公钥到底是不是李四的了。
那证书在发送过程中有没有可能被王五截获并篡改呢?要知道证书里面还包含CA的数字签名,这个签名是证书机构用他们自己的私钥对证书的摘要进行加密的,而公钥是公开的。所以即便王五截获并篡改了证书内容,他也无法伪造证书机构的签名,张三在收到证书后通过验证签名也会发现证书被篡改了。所以到这一步才能保证数据传输的真正安全。
以上就是小编对于数字证书的概念问题和相关问题的解答了,如有疑问,可拨打网站上的电话,或添加微信。
推荐阅读:
赣公网安备 50019002502384号
