本文介紹 CA、數字證書和數字簽名的概念和原理。
數字簽名,又稱公鑰數字簽名、電子簽章,是使用公鑰加密技術實現的用於鑒別數字信息的方法。
壹套數字簽名通常定義兩個互補的運算,壹個用於生成簽名,另壹個用於驗證簽名。
對要傳輸的消息原文使用消息摘要算法(MD5 / SHA)生成消息摘要,發送方使用自己的私鑰對消息摘要進行加密後生成數字簽名。
數字簽名同摘要壹同傳送給接收方,接收方使用發送方的公鑰解密數字簽名還原消息摘要,並對消息原文使用相同的消息摘要算法(MD5 / SHA)計算出消息摘要,將這兩個消息摘要進行對比,如果不同則說明消息在傳輸過程中被篡改過。
數字簽名依賴於發送方公鑰的安全性,如何確保公鑰來自真實的發送方而非仿造?這就需要依賴於數字證書。
數字證書的生成和驗證:
接收方收到數字證書後使用 CA 中心的公鑰對簽名信息 S 進行解密得到摘要 H ,然後對證書原文 O 執行相同的 Hash 運算得到摘要 h ,通過 H 和 h 的對比可以判斷證書內容的真實性和完整性。如果證書原文中的公鑰和身份信息都是 CA 中心的,說明是 CA 自簽名。
證書的格式和驗證方法普遍遵循 X.509 國際標準。
公鑰基礎設施(Public Key Infrastructure,PKI),是壹組由硬件、軟件、參與者、管理政策與流程組成的基礎架構,其目的在於創造、管理、分配、使用、存儲以及撤銷數字證書。
公鑰基礎設施借助 數字證書認證機構(CA) 將用戶的個人身份跟公開密鑰鏈接在壹起。
數字證書認證機構(Certificate Authority,縮寫為CA),是負責發放和管理數字證書的權威機構,並作為受信任的第三方,承擔公鑰體系中 公鑰合法性檢驗 的責任。
CA 中心為每個使用公開密鑰的用戶發放壹個數字證書,數字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。
全球權威的 CA 中心的證書已被各軟件廠商設置為 可信任的根證書 。所謂 根證書 是指此證書是受信任的起始點,可以使用此證書來證明其它證書。這些證書被預置到軟件內的過程是未知的,這也是最關鍵的安全環節。
參考: /signature.html