浅谈数字证书(Certificate)

概念

数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书中心的数字签名。数字证书还有一个重要的特征就是只在特定的时间段内有效。

数字证书是一种权威性的电子文档,可以由权威公正的第三方机构(CA)签发的证书,可可以由企业级CA系统进行签发。它以数字证书为核心的加密技术(加密传输、数字签名、数字信封等安全技术)可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性及交易的不可抵赖性。使用了数字证书,即使您发送的信息在网上被他人截获,甚至您丢失了个人的账户、密码等信息,仍可以保证您的账户、资金安全。

工作原理

数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地。通过数字的手段保证加密过程是不可逆过程,即只用私有密钥才能解密。

在公开密钥密码体制中,常用的一种是RSA体制。其数字原理是将大数分解成两个质数的乘积,加密和解密用的是两个不同的密钥。即使用已知明文、密文和加密密钥(公开密钥),想要推导出解密密钥(私密密钥),在计算上是不可能的。

数字签名

由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。采用数字签名能够确认以下两点:

  • 保证信息是由签名者自己签名发送的,签名者不能否认或者难以否认。
  • 保证信息自签发后到收到为止未曾做过任何修改,签发的文件是真实文件

将报文(数据内容)按双方约定的Hash算法计算得到一个固定位的报文摘要。在数学上保证:只要改动报文中任何一位,重新计算出的报文摘要值就会与原先的值不相符。这样就保证了报文的不可更改性。将该报文摘要值用发送者的私钥加密,然后连同原报文一起发给接收者,而“加密”后的报文即称为数字签名。

接收方收到数字签名后,用同样的Hash算法对原报文计算出报文摘要值,然后与用发送者的公开密钥对数字签名进行解密(原先已经把签名加密,在解密就能还原)得到的报文摘要值相比较。如相等则说明报文确实来自所称的发送者。

证书分类

基于数字证书的应用角度分类,数字证书可以分为以下几类:

  • 服务器证书。服务器证书被安装在服务器设备上,用来证明服务器的身份和进行通信加密。它可以用来防止欺诈钓鱼站点。
  • 电子邮件证书。电子邮件证书可以用来证明电子邮件发件人的真实性,它并不是证明数字证书所有者姓名的真实性,只是证明邮件地址的真实性。同时可以用来发送加密邮件和签名邮件。
  • 个人证书。客户端证书主要被用来进行身份验证和电子签名。

本文参考:

http://baike.baidu.com/item/%E6%95%B0%E5%AD%97%E8%AF%81%E4%B9%A6

http://www.youdzone.com/signature.html

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s