PKI(公鑰基礎設施)基礎知識筆記

2021-09-07 13:08:27 字數 1821 閱讀 8849

數字簽名(又稱公鑰數字簽名、電子簽章)是一種類似寫在紙上的普通的物理簽名,可是使用了公鑰加密領域的技術實現。用於鑑別數字資訊的方法。

一套數字簽名通常定義兩種互補的運算。乙個用於簽名,還有乙個用於驗證。

• 簽名是非對稱加密的一種應用。使用私鑰加密資料,就是對資料的簽名

•簽名是將資料通過運算後得到簽名資訊,被簽名的資料發生不論什麼改變哪怕這樣的改變很細微,也無法獲得相同的簽名資訊。

•驗簽名的過程就是使用公鑰對私鑰加密的資料解密並驗證的過程

•驗簽名將被簽名資料用同樣的運算法則得到簽名資訊後與原有簽名資訊進行比較

•就是把隨意長度的輸入(又叫做預對映),通過雜湊演算法,變換成固定長度的輸出。該輸出就是雜湊值。這樣的轉換是一種壓縮對映。也就是。雜湊值的空間通常遠小於輸入的空間,不同的輸入可能會雜湊成同樣的輸出,而不可能從雜湊值來唯一的確定輸入值。簡單的說就是一種將隨意長度的訊息壓縮到某一固定長度的訊息摘要的函式。

•sha-1 , sha-256

、 md5 , md2

•無法反向執行雜湊演算法恢復最初的明文

•得到的摘要不會告訴不論什麼關於最初明文的資訊

•同一明文用同一雜湊演算法,生成後的值唯一

•pki

(public keyinfrastructure)即」

公鑰基礎設施

」,是一種遵循既定標準的金鑰管理平台

•簡單地說,

pki技術就是利用公鑰理論和技術建立的提供資訊保安服務的基礎設施。

•ca是pki

的核心執行機構。是

pki的主要組成部分,通常稱它為認證中心。

•從廣義上講。認證中心還應該包含證書申請序號產生器構ra(

registration authority

),它是數字證書的申請註冊、證書簽發和管理機構。

•金鑰備份及恢復是金鑰管理的主要內容,使用者因為某些原因將解密資料的金鑰丟失,從而使已被加密的密文無法解開。

•為避免這樣的情況的發生。

pki提供了金鑰備份與金鑰恢復機制:當使用者證書生成時,加密金鑰即被

ca備份儲存(備份在

km)。當須要恢復時,使用者僅僅需向

ca提出申請,

ca就會為使用者自己主動進行恢復。

•乙個證書的有效期是有限的。這樣的規定在理論上是基於當前非對稱演算法和金鑰長度的可破譯性分析,在實際應用中是因為長期使用同乙個金鑰有被破譯的危急,因此,為了保證安全,證書和金鑰必須有一定的更換頻度。

•pki

對已發的證書必須有乙個更換措施,這個過程稱為「金鑰更新或證書更新」。

•從以上金鑰更新的過程,我們不難看出,經過一段時間後,每個使用者都會形成多個舊證書和至少乙個當前新證書。

•這一系列舊證書和對應的私鑰就組成了使用者金鑰和證書的歷史檔案。記錄整個金鑰歷史是很重要的。比如,某使用者幾年前用自己的公鑰加密的資料或者其它人用自己的公鑰加密的資料無法用如今的私鑰解密,那麼該使用者就必須從他的金鑰歷史檔案中,查詢到幾年前的私鑰來解密資料。

•為方便客戶操作。解決

pki的應用問題,在客戶裝有client軟體。以實現數字簽名、加密資料傳輸等功能。

•client軟體還負責在認證過程中,查詢證書和相關證書的撤消資訊以及進行證書路徑處理、對特定文件提供時間戳請求等。

•交叉認證就是多個

pki域之間實現互操作。

•交叉認證實現的方法有多種:一種方法是橋接

ca。即用乙個第三方

ca作為橋,將多個

ca連線起來。成為乙個可信任的統一體。

•還有一種方法是多個

ca的根ca(

rca)互相簽發根證書,這樣當不同

pki域中的終端使用者沿著不同的認證鏈檢驗認證到根時,就能達到互相信任的目的。

公鑰基礎設施PKI

為什麼需要pki pki的基本概念 pki的組成 數字證書 金鑰管理 信任模型 1 公鑰攻擊 公鑰調包 2 公鑰掉調包後 加密 後果 資訊洩露3 公鑰調包後 數字簽名 後果 資訊篡改和身份欺騙 4 如何發布自己的公鑰?1 公開發布 使用者分發自己的公鑰給接收者或廣播給通訊各方 缺點 偽造 任何人都可...

公鑰基礎設施(PKI)簡介

目錄 證書認證機構ca 證書廢除列表crl 金鑰管理 證書使用 公鑰基礎設施 public key infrastructure,簡稱pki 是目前網路安全建設的基礎與核心。pki採用證書進行公鑰管理,通過第三方的可信任機構 認證中心,即ca 把使用者的公鑰和使用者的其他標識資訊 在一起,其中包括使...

PKI公鑰基礎設施(二)

der二進位制編碼,base64編碼格式的檔案中只包含證書 字尾.cer pkcs12 格式的檔案中即包含證書又包含私鑰 字尾 pfx p12 pkcs7 格式的檔案中包含證書以及證書鏈中所有證書 字尾 p7b pkcs10,客戶端向ca申請數字證書的請求 其中包含使用者個人資訊以及使用者公鑰資訊,...