基础知识

待处理

openssl 命令集, CA,PKI 等图片上传

加密细节

  • 对称加密

  • 非对称加密

公私钥加密速度慢,对称加密快,所以可以首先对数据部分使用对称加密。 再进一步考虑,公钥大家都可以获取,若使用自己私钥加密,数据被截获后直接就被破解, 因此使用对方的公钥加密,又由于公钥加密速度慢,所以可以使用对方公钥对对称密钥部分进行加密

签名细节

在保证了数据的安全性后,还需要保证数据的完整性、一致性以及数据来源的可靠性。

对于数据的完整性和一致性,使用单向加密算法,通过hash函数计算出数据独一无二的校验码,这个校验码称为“信息摘要(Message Digest)”。 对于数据来源可靠性,使用自己的私钥加密即可验证身份, 因为获得数据后使用公钥不能解密的就证明数据不是配对私钥加密的。 但是私钥加密速度慢,所以只用私钥加密摘要信息,加密后的摘要信息称为“数字签名(Signature)”。

用户获得数字签名后的数据,首先使用数据来源方的公钥解密,这样获得了数据和信息摘要部分,并确认了数据来源的可靠性。由于这时候数据部分是没有被加密的,所以用户也可以使用同种单向加密算法计算出摘要信息,然后对比来源方的摘要信息和自己计算出的摘要信息,如果相等则证明数据完全未被修改过,是完整一致的。 因此只要使用数字签名就能保证数据来源的可靠性、数据的完整性和一致性。

CA、PKI及信任CA

数字证书类型和内容

  • PKI的两种实现方式TLS和SSL使用的证书格式都是x509

  • PKI的另一种实现方式GPG,它的证书使用的不是x509格式。

数字证书中包含的信息有:申请者的公钥,证书有效期,证书合法拥有人,证书如何被使用,CA的信息,CA对申请者信息的数字签名。