數字證書的原理
數字證書採用公鑰體制,即利用一對互相匹配的金鑰進行加密、解密。每個使用者自己設定一把特定的僅為本人所知的私有金鑰(私鑰),用它進行解密和簽名;同時 設定一把公共金鑰(公鑰)並由本人公開,為一組使用者所共享,用於加密和驗證簽名。當傳送乙份保密檔案時,傳送方使用接收方的公鑰對資料加密,而接收方則使 用自己的私鑰解密,這樣資訊就可以安全無誤地到達目的地了。通過數字的手段保證加密過程是乙個不可逆過程,即只有用私有金鑰才能解密. 在公開金鑰密碼體制中,常用的一種是rsa體制。
使用者也可以採用自己的私鑰對資訊加以處理,由於金鑰僅為本人所有,這樣就產生了別人無法生成的檔案,也就形成了數字簽名。採用數字簽名,能夠確認以下兩點:
(1)保證資訊是由簽名者自己簽名傳送的,簽名者不能否認或難以否認;
(2)保證資訊自簽發後到收到為止未曾作過任何修改,簽發的檔案是真實檔案。
我的解釋:
每個使用者都有一對私鑰和公鑰。
私鑰用來進行解密和簽名,是給自己用的。
公鑰由本人公開,用於加密和驗證簽名,是給別人用的。
當該使用者傳送檔案時,用私鑰簽名,別人用他給的公鑰解密,可以保證該資訊是由他傳送的。即數字簽名。
當該使用者接受檔案時,別人用他的公鑰加密,他用私鑰解密,可以保證該資訊只能由他接收到。可以避免被其他人看到。
數字證書
是 數字形式的標識,與護照或駕駛員執照十分相似。數字證書是數字憑據,它提供有關實體標識的資訊以及其他支援資訊。數字證書是由成為證書頒發機構(ca)的 權威機構頒發的。由於數字證書有證書權威機構頒發,因此由該權威機構擔保證書資訊的有效性。此外,數字證書只在特定的時間段內有效。
數字證書包含證書中所標識的實體的公鑰(就是說你的證書裡有你的公鑰),由於證書將公鑰與特定的個人匹配,並且該證書的真實性由頒發機構保證(就是說可以讓大家相信你的證書是真的),因此,數字證書為如何找到使用者的公鑰並知道它是否有效這一問題提供了解決方案。
基於公開金鑰的加密過程
比如有兩個使用者alice和bob,alice想把一段明文通過雙鑰加密的技術傳送給bob,bob有一對公鑰和私鑰,那麼加密解密的過程如下:
bob將他的公開金鑰傳送給alice。
alice用bob的公開金鑰加密她的訊息,然後傳送給bob。
bob用他的私人金鑰解密alice的訊息。
alice使用bob的公鑰進行加密,bob用自己的私鑰進行解密。
基於公開金鑰的認證過程
身份認證和加密就不同了,主要使用者鑑別使用者的真偽。這裡我們只要能夠鑑別乙個使用者的私鑰是正確的,就可以鑑別這個使用者的真偽。
還是alice和bob這兩個使用者,alice想讓bob知道自己是真實的alice,而不是假冒的,因此alice只要使用公鑰密碼學對檔案簽名傳送給bob,bob使用alice的公鑰對檔案進行解密,如果可以解密成功,則證明alice的私鑰是正確的,因而就完成了對alice的身份鑑別。整個身份認證的過程如下:
alice用她的私人金鑰對檔案加密,從而對檔案簽名。
alice將簽名的檔案傳送給bob。
bob用alice的公鑰解密檔案,從而驗證簽名。
alice使用自己的私鑰加密,bob用alice的公鑰進行解密。
根證書
根證書是ca認證中心給自己頒發的證書,是信任鏈的起始點。安裝根證書意味著對這個ca認證中心的信任。
總結
根據非對稱密碼學的原理,每個證書持有人都有一對公鑰和私鑰,這兩把金鑰可以互為加解密。公鑰是公開的,不需要保密,而私鑰是由證書持人自己持有,並且必須妥善保管和注意保密。
可以這樣說,數字證書就是經過ca認證過的公鑰,而私鑰一般情況都是由證書持有者在自己本地生成的,由證書持有者自己負責保管。具體使用時,簽名操作是傳送方用私鑰進行簽名,接受方用傳送方證書來驗證簽名;加密操作則是用接受方的證書進行加密,接受方用自己的私鑰進行解密。
ssl我和我得好朋友x,要進行安全的通訊。這種通訊可以是qq聊天,很頻繁的。用我的公鑰加密資料就不行了,因為:
1,我的好朋友x沒有公私鑰對,我怎麼給他發加密的訊息啊? (注:實際情況中,可以雙方都有公私鑰對)
2,用公私鑰加密運算很費時間,很慢,影響qq效果。
好了,好朋友x,找了乙個數字3,用我的公鑰1,加密後發給我,說,我們以後就用這個數字來加密資訊吧。我解開後,得到了數字3。這樣,只有我們兩個人知道這個秘密的數字3,別的人都不知道,因為他們既不知x挑了乙個什麼數字,加密後的內容他們也無法解開,我們把這個秘密的數字叫做會話金鑰。
然後,我們選擇一種對稱金鑰演算法,比如des,(對稱演算法是說,加密過程和解密過程是對稱的,用乙個金鑰加密,可以用同乙個金鑰解密。使用公私鑰的演算法是非對稱加密演算法),來加密我們之間的通訊內容。別人因為不知道3是我們的會話金鑰,因而無法解密。
我的解釋:
數字證書用來使使用者找到該授信機構的公鑰。
mac訊息鑑別碼(message authentication code)也叫密碼校驗和(cryptographic checksum),鑑別函式的一種.
訊息鑑別碼實現鑑別的原理是,用公開函式和金鑰產生乙個固定長度的值作為認證標識,用這個標識鑑別訊息的完整性.使用乙個金鑰生成乙個固定大小的小資料塊,即mac,並將其加入到訊息中,然後傳輸.接收方利用與傳送方共享的金鑰進行鑑別認證等.
mac是與明文資訊m一同傳送給對方,目的方使用事先協商好的金鑰k對明文資訊m進行完整性認證,由於金鑰k僅通訊雙方知道,所以也可判定訊息是由對方傳送的(而不是攻擊者)。這是mac與傳統單向函式的區別。
訊息鑑別碼(mac)僅僅認證訊息m的完整性(不會被篡改)和可靠性(不會是虛假的訊息或偽造的訊息),並不負責資訊m是否被安全傳輸。之所以要放棄資訊的保密性(使用公鑰加密私鑰簽名的對稱密碼協議可以很好的保證資訊m的保密性、完整性和可靠性),是因為在某些場合(**部門公告、網路管理通知等)並不需要對資訊進行加密;或者是有些場合(例如廣播資訊等)需要長時間傳輸大量資訊。由於mac函式是單向函式,因此對明文m進行摘要計算的時間遠比使用對稱演算法或公開金鑰演算法對明文加密的時間要小。
例如:a要給b發信,a將明文m使用hash演算法進行摘要提取,提取結果為hash(m),之後用a的私鑰對摘要進行簽名sa[hash(m)],之後將m(當然m可以使用對稱演算法加密)和sa[hash(m)]一同發給b。其中sa[hash(m)]便可稱之為訊息鑑別碼(mac)。
公鑰與金鑰
b 核心思想 加密和解密採用不同的金鑰 b 一般傳送者和接收者擁有自己的公鑰和金鑰,公鑰是公開的,金鑰不公開。color blue 保密機制 color a向b傳送訊息時,首先用b的公鑰對訊息進行加密,生成密文傳送,b接收到密文後,用自己的金鑰進行解密,進而得到訊息原文。因為b公鑰加密過的訊息只有b...
公鑰和金鑰
公鑰和私鑰總結 金鑰分為兩種 對稱金鑰 對稱金鑰加密,又稱為私鑰加密,使用這種加密方式解密的金鑰和加密的金鑰是相同的。也正因為同一金鑰既用於加密又用於解密,所以這個金鑰是不能公開的。它的優勢是加密和解密速度快,適合於對大資料量進行加密,但金鑰管理困難。非對稱金鑰 非對稱金鑰加密,又稱公鑰金鑰加密,這...
非對稱加密演算法(公鑰與金鑰)
非對稱加密演算法傳送方使用公鑰,接收方使用私鑰。首先回顧一下非對稱加密演算法的相關知識,闡述一下自己的理解,再說明的原因。非對稱加密演算法 該演算法需要兩個金鑰 公開金鑰和私有金鑰。公開金鑰與私有金鑰是一對,如果用公開金鑰對資料進行加密,只有用對應的私有金鑰才能解密 如果用私有金鑰對資料進行加密,那...