数字证书 公私钥(数字证书中必须包括证书拥有者的私钥),本文通过数据整理汇集了数字证书 公私钥(数字证书中必须包括证书拥有者的私钥)相关信息,下面一起看看。

证书是什么?如何获取和使用数码证书?文章围绕数字证书的相关问题展开,欢迎感兴趣的童鞋阅读。

在现代密码学中,非对称密码算法的应用非常普遍。网络通信中使用的银行卡、u盾、https都使用了非对称密码算法技术。

与对称密码算法相比,非对称密码算法可以在一定程度上简化密钥管理问题。但是,由于非对称密码算法中的公钥在分发过程中可能被截获和篡改,接收方无法检查接收到的公钥对应的私钥持有人的身份,因此引入了数字证书。

1.什么是数字证书?

毕业时,学校颁发学位证书和学历证书;驾驶证通过后,交管局会发放机动车驾驶证.同样,个人身份认证通过后,数字证书颁发机构(CA)会颁发一个数字证书(也称为公钥证书)。

与学历证书和驾照类似,数字证书包含个人信息、联系信息和个人公钥等。其中,个人身份认证是获得数字证书的前提条件,个人身份认证由CA(或Registry Authority,简称RA)完成,专门向用户提供面对面的证书。CA机构根据CPS(认证实践声明)的要求完成用户的个人身份认证。

第二,数字证书的获取和使用

个人可以自己生成一对公钥和私钥,并将公钥发送给证书颁发机构CA。CA确认用户身份后,用自己的私钥对个人用户的身份信息和公钥信息进行加密(签名),形成数字证书。此时,个人用户获得个人数字证书。

数字证书可以建立公钥和用户之间的对应关系,通常用于验证单个用户的数字签名,以及加密私人信息。在应用层面,之所以引用数字证书而不是直接应用个人用户的公钥,是为了通过可信认证机构CA对用户身份的识别,使个人用户的数字签名合法化,同时第三方使用数字证书进行加密更安全,防止中间人篡改公钥。

第三,数字证书颁发机构CA

数字证书颁发机构(CA),也称为CA中心或证书认证中心,拥有自己的公钥和私钥,负责向用户颁发数字证书。常见的数字证书认证机构有国外的威瑞信、CFCA、BJCA、GDCA和中国的天威程心。

颁发CA数字证书的具体过程如下:

(1)将用户身份信息和用户公钥信息按照特定格式组合成数据d。

(2)使用哈希算法计算数据D以获得摘要值h

(3)用CA的私钥对摘要值H进行签名,得到数字签名s

(4)将用户的身份信息、用户的公钥信息和数字签名S按照特定的格式(如X.509)组合成一个数字证书。

CA不仅负责向用户颁发数字证书,还负责数字证书的全生命周期管理。CA的主要职责包括:

(1)签发和更新数字证书。向新用户颁发数字证书;必要时为老用户更新数字证书。

(2)数字证书状态的变更,包括撤销、挂失、注销等。撤销后,证书将失效,永远不能使用;挂失后证书会失效,但可以通过脱钩恢复到有效状态。

(3)数字证书的查询和下载。CA提供公共查询和下载服务,允许用户根据条件随时查询和下载证书。常见的服务模式是LDAP,是轻量级目录访问协议的缩写。CA通过LDAP机制发布所有证书和CRL。客户端可以通过LDAP协议访问LDAP服务器,按需下载符合要求的证书和CRL。

(4)数字证书状态查询。提供公共服务

如果用户的个人数字证书处于异常状态(过期、吊销、冻结等。),CA将通过CRL、OCSP等通知正在验证签名的第三方。

CRL是证书撤销列表的缩写,代表证书撤销列表。或者CA CRL发布者定期发布CRL,并在CRL中注明下一次发布的最晚时间。因为CRL是定期公布的,所以存在用户证书临时挂失,但CRL状态没有及时公布的情况。这个时候第三方还是可以通过签名验证的。

OCSP是在线证书状态协议的缩写,代表在线证书状态协议。CA通过OCSP机制为用户提供在线证书状态查询服务。客户端根据OCSP协议将待查询证书的序列号组织成OCSP请求包,然后将OCSP请求包发送给OCSP服务器,服务器查询数据库获得序列号对应的证书状态,组织成OCSP响应包返回给客户端。客户端在解析OCSP响应数据包后获得证书的当前状态。与CRL方法相比,OCSP可以更准确地查询数字证书状态。

SOCSP是简单在线证书状态协议的缩写,代表简化在线证书状态协议。因为OCSP请求包和响应包需要数字签名,所以执行效率不高。为了提高OCSP的响应速度,用MAC算法代替数字签名,形成简化版的OCSP。

动词(verb的缩写)双证

如果用户的私钥意外丢失,公钥加密的数据就无法解密。为了解决用户私钥的备份问题,CA使用KMC(Key Management Center,密钥管理中心)提供用户私钥的备份服务。用户可以选择对私钥进行安全备份,并在必要时恢复它。KMC还可以生成用户的公钥和私钥,然后KMC备份私钥并交给用户。

私钥备份存在以下矛盾:用户的私钥应该是唯一的,否则无法证明用户的身份是否被冒用;但如果没有私钥备份服务,用户的私钥会意外丢失,公钥加密的数据无法解密,可能造成重要信息的丢失。

为了解决上述矛盾,CA引入了双证书机制(签名证书和加密证书)。签名证书的私钥只用于签名,签名证书的公钥只用于检查签名,不用于加密信息。签名证书的公私钥对必须由用户自己生成,KMC不对签名私钥进行备份。加密证书的公钥只用于加密信息,加密证书的私钥只用于解密信息,不用于签名。加密证书的公钥-私钥对由KMC生成,KMC备份加密的私钥。

本文由@产品工具箱原创发布。每个人都是产品经理。未经许可,禁止复制。

来自Unsplash的图像,基于CC0协议。

更多数字证书 公私钥(数字证书中必须包括证书拥有者的私钥)相关信息请关注本站,本文仅仅做为展示!