如何保護數字證書和私鑰

2021-07-11 15:19:48 字數 1253 閱讀 6946

一、關於私鑰的唯一性

嚴格地講,私鑰既然是世上唯一且只由主體本身持有,它就必須由主體的電腦程式來生成。因為如果在別處生成將會有被拷貝的機會。然而在實際應用上並非如此,出於某些特殊需要(例如,如果只有乙份私鑰,單位的加密檔案就會因為離職員工帶走私鑰而無法解密。)加密用的公/私鑰對會要求在可信的第三方儲存其備份。這樣,加密用的私鑰可能並不唯一。然而簽名用的私鑰則必須保持唯一,否則就無法保證被簽名資訊的不可否認性。

在生成使用者的金鑰對時,用於加密的公/私鑰對可以由ca、ra產生,也可以在使用者終端的機器上用專用的程式(如瀏覽器程式或認證軟體)來產生。用於數字簽名的金鑰對原則上只能由使用者終端的程式自行產生,才能保證私鑰資訊的私密性以及通訊資訊的不可否認性。

我們常常聽到有人說:保管好你的軟盤,保管好你的key,不要讓別人盜用你的證書。有些教科書上也這樣講。應該說,這句話是有毛病的。數字證書可以在網上公開,並不怕別人盜用和篡改。因為證書的盜用者在沒有掌握相應的私鑰的情況下,盜用別人的證書既不能完成加密通訊,又不能實現數字簽名,沒有任何實際用處。而且,由於有ca對證書內容進行了數字簽名,在網上公開的證書也不怕黑客篡改。我們說,更該得到保護的是儲存在介質中的私鑰。如果黑客同時盜走了證書和私鑰,危險就會降臨。

不同的儲存介質,安全性是不同的。如果證書和私鑰儲存在計算機的硬碟裡,計算機一旦受到黑客攻擊,(例如被埋置了木馬程式)證書和私鑰就可能被盜用。

使用軟盤或儲存型ic卡來儲存證書和私鑰,安全性要比硬碟好一些,因為這兩種介質僅僅在使用時才與電腦相連,用完後即被拔下,證書和私鑰被竊取的可能性有所降低。但是黑客還是有機會,由於軟盤和儲存型ic卡不具備計算能力,在進行加密運算時,使用者的私鑰必須被調出軟盤或ic卡進入外部的電腦,在這個過程中就會造成一定的安全隱患。

產生公私金鑰對的程式(指令集)是智慧卡生產者燒製在晶元中的rom中的,密碼演算法程式也是燒製在rom中。公私金鑰對在智慧卡中生成後,公鑰可以匯出到卡外,而私鑰則儲存於晶元中的金鑰區,不允許外部訪問。

usb key和智慧卡除了i/o物理介面不一樣以外,內部結構和技術是完全一樣的,其安全性也一樣。只不過智慧卡需要通過讀卡器接到電腦的序列介面上,而usb key通過電腦的通用序列匯流排(usb)介面直接與電腦相接。另外,usb介面的通訊速度要遠遠高於序列介面的通訊速度。現在出品的電腦已經把usb介面作為標準配置,而使用智慧卡則需要加配讀卡器。出於以上原因,各家ca都把usb key作為首選的證書和私鑰儲存介質而加以推廣。

為了防止usb key 不慎丟失而可能被他人盜用,不少證書應用系統在使用過程中還設定了口令認證機制。如口令輸入得不對,即使掌握了usb key,也不能登入進入應用系統。

公鑰,私鑰,數字證書

公鑰,私鑰,數字證書 本文簡單介紹公鑰,私鑰及數字證書原理及在實際生產中如何使用.一 公鑰,私鑰原理 公鑰和私鑰就是俗稱的不對稱加密方式,是從以前的對稱加密 使用使用者名稱與密碼 方式的提高。公 鑰成對出現,私鑰加的密用公鑰解,公解加的密用私鑰解密。公鑰一般用於加密,驗證簽名 私鑰一般用於簽名 簽名...

筆記 安全 公私鑰 數字證書

又接著前面在看關於 mirrors 的資料,看到 push mirroring 的時候,需要一些公 私鑰之類的配置。雖然暑假的時候工作室布置過一次相關的學習任務,但是當時沒怎麼深入了解,想趁這個時間把ssh,數字簽證 公私鑰非對稱加密 這些概念和原理給搞明白!下面記錄了我覺得比較合適的學習順序 均來...

公鑰,私鑰 和數字證書

公鑰,私鑰 和數字證書 公鑰和私鑰就是俗稱的不對稱加密方式,是從以前的對稱加密 使用使用者名稱與密碼 方式的提高。用電子郵件的方式說明一下原理。使用公鑰與私鑰的目的就是實現安全的電子郵件,必須實現如下目的 1.我傳送給你的內容必須加密,在郵件的傳輸過程中不能被別人看到。2.必須保證是我傳送的郵件,不...