问题产生:
前面几章我对于公开钥加密的应用作了一定的阐述。但是,公开钥加密有一个不能不正视的问题,那就是你凭什么来判断你获得的public
key是真的。如果有人从一开始就伪造身份,让接受到公开钥的人以为这是另外需要发送消息的人的公开钥,并且用这个钥去验证伪造者发出的加密情报。后
果。。。。。我不说也知道了把,一直都是被虚假消息所欺骗,而且还误以为真。还有可能同时把自己真实的情报用假的公开钥加密后发送给伪造者。
解决:
怎么办?这时候我们需要的显然是一种可以判断公开钥所有者真实性的机制。于是两种主要的认证方式应运而生。
1。PGP模式
Pretty Good Privacy
比方说:
A同学想要取得C同学的公开钥。这时候有一位B同学和A同学,C同学都有着信赖关系。
然后B同学就把他所知道的正确的C同学的公开钥上面电子签名后传给A。
A同学和B同学由于有信赖关系,所以检查签名就知道数据没有问题,拿到的是真的C的公开钥
缺点:不宜在没有管理主体的大规模应用中推广
2。CA模式 Certification
Authority(认证机构)
这是一种由可信任的第三方机关(TTP: Trusted Third Party)来保证公开钥所有者的方法。
发行方法:
TTP首先对公开钥的所有者进行确认,然后发行证书(Certificate)。
在证书里面,有公开钥和关于公开钥所有者的证明情报。
为了防止恶意修改,附加上TTP的署名。
也就是说
证书Certificate = 公钥拥有者情报+公钥+认证机构的数字签名
发行证书的TTP,就是我们常说的CA认证机构。
认证方法: 公钥发行者向CA提出申请,CA确认该公钥发行者后然后签发证书。
公钥发行者把证书发给需要的人。接受者通过该证书和CA签名来确认真伪。
如果为真,得到需要的公开钥。
该技术的前提是CA必须是可信任的。对于CA来说,有公开的CPS: Certificate
Practice Statement文 档来确认,一般来说,CA都是由政府来负责推广认定的。
另外:
CA为了证明自己也需要证明书。但是,CA的证书里面是他自己的数字签名。
这样的证明书叫做自己签名证书。大型项目里面,也有CA的证明书是由别的CA来签名的情况。
关于CA模式下PKI的要素
1。证书所有者(Certificate Holder)
也就是秘钥的拥有者。又称为Subscriber(签署者)。
2。证书信赖者(Relying Party)
也就是一般使用者。
3。证书注册机构(RA : Registration Authority)
确认证书本人性的机构。对证书认证机构提出发行证书和证书失效的要求。
4。档案文件(Archive)
证明书长期保存和密钥的备份。
5。证书认证机构(CA : Certification Authority)
证书发行。证书失效队列发行。
6。仓库(Repository)
存放证书和失效证书队列。证书信赖者在这里查询并且取得证书和失效队列。
PKI模式的主要流程
1。证书所有者向证书注册机构提出申请。
2。证书注册机构对证书所有者的身份确认。
3。证书注册机构向证书认证机构提出发行申请。
4。证书认证机构对证明书所有者发行证明书。
5。证书认证机构在仓库里面公开发行的证明书和失效队列。
6。证书所有者和证书信赖者通信。
7。证书信赖者通过仓库来检验证书的有效性。然后利用证书就可以验证电子签名和进行数据加密。
真累啊,理解并且变成程序还要好长时间。下面终于就可以开始最重要的部份了。首先是X509,然后还有失效关联问题。明天继续,剩下的一点时间看看小说去了,强推 起点的随波逐流一代军师-〉 同好有么?
不愿意只呆在程序的世界,我的梦想有好多。不过真的工作起来我就忘了一切,也许有时候会想自己为了什么了,对于钱我也没有那么多的欲望。对于一个不是老板的人来说,我的年龄拿到我的钱我也满意了。可能只是想证明自己吧,每当我爬上一个高度,就发现前面还有目标,还有比我高的。不停的追逐也是是我人生的乐趣吧。认识很多人,尤其是这一行的,国人,日本人,美国人,德国人,英国人,真的是每个人有每个人的幸福,每个人也有每个人的人生。也许不必非要去理解吧,和朋友最近。。。也许很多时候是我要求太高了吧。或许人生也就是加密解密一样,有些人眼里神秘,有些人熟悉,有些人专注于,而有些人只是游戏把。
posted on 2006-03-21 21:08
Yama的家 阅读(1086)
评论(1) 编辑 收藏 引用 所属分类:
DRM, 网络安全,security