什么是數(shù)字證書(shū)？

¤是由證書(shū)簽證機(jī)關(guān)（CA）簽發(fā)的對(duì)用戶的公鑰的認(rèn)證。因此，證書(shū)的內(nèi)容應(yīng)包括CA的信息、用戶信息、用戶公鑰及CA簽發(fā)時(shí)間及有效期等內(nèi)容。目前國(guó)際上對(duì)證書(shū)的格式及認(rèn)證方法遵從X.509體系標(biāo)準(zhǔn)。

¤數(shù)字證書(shū)實(shí)際上是一份電子文檔

¤數(shù)字證書(shū)是一段包含用戶身份信息、用戶公鑰信息以及身份驗(yàn)證機(jī)構(gòu)數(shù)字簽名的數(shù)據(jù)。身份驗(yàn)證機(jī)構(gòu)的數(shù)字簽名可以確保證書(shū)信息的真實(shí)性。證書(shū)格式及證書(shū)內(nèi)容遵循X.509標(biāo)準(zhǔn)。

¤數(shù)字證書(shū)又稱為數(shù)字標(biāo)識(shí)（Digital Certificate，Digital ID）。它提供了一種在Internet上身份驗(yàn)證的方式，是用來(lái)標(biāo)志和證明網(wǎng)絡(luò)通信雙方身份的數(shù)字信息文件，與司機(jī)駕照或日常生活中的身份證相似。在網(wǎng)上進(jìn)行電子商務(wù)活動(dòng)時(shí)，交易雙方需要使用數(shù)字證書(shū)來(lái)表明自己的身份，并使用數(shù)字證書(shū)來(lái)進(jìn)行有關(guān)的交易操作。通俗地講，數(shù)字證書(shū)就是個(gè)人或單位在Internet的身份證。數(shù)字證書(shū)主要包括三方面的內(nèi)容：證書(shū)所有者的信息、證書(shū)所有者的公開(kāi)密鑰和證書(shū)頒發(fā)機(jī)構(gòu)的簽名。

證書(shū)里包含了什么？

¤一個(gè)標(biāo)準(zhǔn)的X.509數(shù)字證書(shū)包含以下一些內(nèi)容：

證書(shū)的版本信息；

證書(shū)的序列號(hào)，每個(gè)證書(shū)都有一個(gè)唯一的證書(shū)序列號(hào)；

證書(shū)所使用的簽名算法； 

證書(shū)的發(fā)行機(jī)構(gòu)名稱，命名規(guī)則一般采用X.500格式； 

證書(shū)的有效期，現(xiàn)在通用的證書(shū)一般采用UTC時(shí)間格式，它的計(jì)時(shí)范圍為1950-2049; 

證書(shū)所有人的名稱，命名規(guī)則一般采用X.500格式；

證書(shū)所有人的公開(kāi)密鑰； 

證書(shū)發(fā)行者對(duì)證書(shū)的簽名。

數(shù)字證書(shū)能解決什么問(wèn)題？

在使用數(shù)字證書(shū)的過(guò)程中應(yīng)用公開(kāi)密鑰加密技術(shù)，建立起一套嚴(yán)密的身份認(rèn)證系統(tǒng)，它能夠保證： 

信息除發(fā)送方和接受方外不被其他人竊??；

信息在傳輸過(guò)程中不被篡改；

接收方能夠通過(guò)數(shù)字證書(shū)來(lái)確認(rèn)發(fā)送方的身份；

發(fā)送方對(duì)于自己發(fā)送的信息不能抵賴。

以電子郵件為例，數(shù)字證書(shū)主要可以解決：

保密性：通過(guò)使用發(fā)件人的數(shù)字證書(shū)對(duì)電子郵件加密，只有收件人才能閱讀加密的郵件，這樣保證在Internet上傳遞的電子郵件信息不會(huì)被他人竊取，即使發(fā)錯(cuò)郵件，收件人由于無(wú)法解密而不能夠看到郵件內(nèi)容。

完整性：利用發(fā)件人數(shù)字證書(shū)在傳送前對(duì)電子郵件進(jìn)行數(shù)字簽名不僅可確定發(fā)件人身份，而且可以判斷發(fā)送的信息在傳遞的過(guò)程中是否被篡改過(guò)。

身份認(rèn)證：在Internet上傳遞電子郵件的雙方互相不能見(jiàn)面，所以必須有方法確定對(duì)方的身份。利用發(fā)件人數(shù)字證書(shū)在傳送前對(duì)電子郵件進(jìn)行數(shù)字簽名即可確定發(fā)件人身份，而不是他人冒充的。

不可否認(rèn)性：發(fā)件人的數(shù)字證書(shū)只有發(fā)件人唯一擁有，故發(fā)件人利用其數(shù)字證書(shū)在傳送前對(duì)電子郵件進(jìn)行數(shù)字簽名后，發(fā)件人就無(wú)法否認(rèn)發(fā)送過(guò)此電子郵件。

數(shù)字證書(shū)的原理是什么？

數(shù)字證書(shū)采用PKI（Public Key Infrastructure）公開(kāi)密鑰基礎(chǔ)架構(gòu)技術(shù)，利用一對(duì)互相匹配的密鑰進(jìn)行加密和解密。每個(gè)用戶自己設(shè)定一把特定的僅為本人所知的私有密鑰（私鑰），用它進(jìn)行解密和簽名；同時(shí)設(shè)定一把公共密鑰（公鑰），由本人公開(kāi)，為一組用戶所共享，用于加密和驗(yàn)證簽名。當(dāng)發(fā)送一份保密文件時(shí)，發(fā)送方使用接收方的公鑰對(duì)數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，通過(guò)數(shù)字的手段保證加解密過(guò)程是一個(gè)不可逆過(guò)程，即只有用私有密鑰才能解密，這樣保證信息安全無(wú)誤地到達(dá)目的地。用戶也可以采用自己的私鑰對(duì)發(fā)送信息加以處理，形成數(shù)字簽名。由于私鑰為本人所獨(dú)有，這樣可以確定發(fā)送者的身份，防止發(fā)送者對(duì)發(fā)送信息的抵賴性。接收方通過(guò)驗(yàn)證簽名還可以判斷信息是否被篡改過(guò)。在公開(kāi)密鑰基礎(chǔ)架構(gòu)技術(shù)中，最常用一種算法是RSA算法，其數(shù)學(xué)原理是將一個(gè)大數(shù)分解成兩個(gè)質(zhì)數(shù)的乘積，加密和解密用的是兩個(gè)不同的密鑰。即使已知明文、密文和加密密鑰（公開(kāi)密鑰），想要推導(dǎo)出解密密鑰（私密密鑰），在計(jì)算上是不可能的。按現(xiàn)在的計(jì)算機(jī)技術(shù)水平，要破解目前采用的1024位RSA密鑰，需要上千年的計(jì)算時(shí)間。

數(shù)字證書(shū)的應(yīng)用

現(xiàn)有持證人甲向持證人乙傳送數(shù)字信息，為了保證信息傳送的真實(shí)性、完整性和不可否認(rèn)性，需要對(duì)要傳送的信息進(jìn)行數(shù)字加密和數(shù)字簽名，其傳送過(guò)程如下：

（1） 甲準(zhǔn)備好要傳送的數(shù)字信息（明文）。

（2） 甲對(duì)數(shù)字信息進(jìn)行哈希（hash）運(yùn)算，得到一個(gè)信息摘要。

（3） 甲用自己的私鑰（SK）對(duì)信息摘要進(jìn)行加密得到甲的數(shù)字簽名，并將其附在數(shù)字信息上。

（4） 甲隨機(jī)產(chǎn)生一個(gè)加密密鑰（DES密鑰），并用此密鑰對(duì)要發(fā)送的信息進(jìn)行加密，形成密文。

（5） 甲用乙的公鑰（PK）對(duì)剛才隨機(jī)產(chǎn)生的加密密鑰進(jìn)行加密，將加密后的DES密鑰連同密文一起傳送給乙。

（6） 乙收到甲傳送過(guò)來(lái)的密文和加過(guò)密的DES密鑰，先用自己的私鑰（SK）對(duì)加密的DES密鑰進(jìn)行解密，得到DES密鑰。

（7） 乙然后用DES密鑰對(duì)收到的密文進(jìn)行解密，得到明文的數(shù)字信息，然后將DES密鑰拋棄（即DES密鑰作廢）。

（8） 乙用甲的公鑰（PK）對(duì)甲的數(shù)字簽名進(jìn)行解密，得到信息摘要。

（9） 乙用相同的hash算法對(duì)收到的明文再進(jìn)行一次hash運(yùn)算，得到一個(gè)新的信息摘要。

（10）乙將收到的信息摘要和新產(chǎn)生的信息摘要進(jìn)行比較，如果一致，說(shuō)明收到的信息沒(méi)有被修改過(guò)。 



在（5）處用到的PK，是否來(lái)自乙所持有的的數(shù)字證書(shū)？若是，從何處得到該數(shù)字證書(shū)？關(guān)于此過(guò)程的加密解密，是怎樣實(shí)現(xiàn)？

Ａ 如何獲得通訊對(duì)方的公鑰并且相信此公鑰是由某個(gè)身份確定的人擁有的，這就要用到電子證書(shū)。電子證書(shū)是由大家共同信任的第三方---認(rèn)證中心（Certificate Authority，CA）來(lái)頒發(fā)的，有某人的身份信息、公鑰和CA的數(shù)字簽名。任何一個(gè)信任CA的通訊一方，都可以通過(guò)驗(yàn)證對(duì)方電子證書(shū)上的CA數(shù)字簽名來(lái)建立起和對(duì)方的信任，并且獲得對(duì)方的公鑰以備使用。

數(shù)字證書(shū)的使用

每一個(gè)用戶有一個(gè)各不相同的名字，一個(gè)可信的證書(shū)認(rèn)證中心（CA）給每個(gè)用戶分配一個(gè)唯一的名字并簽發(fā)一個(gè)包含名字和用戶公開(kāi)密鑰的證書(shū)。

如果甲想和乙通信，他首先必須從數(shù)據(jù)庫(kù)中取得乙的證書(shū)，然后對(duì)它進(jìn)行驗(yàn)證。如果他們使用相同的CA，事情就很簡(jiǎn)單。甲只需驗(yàn)證乙證書(shū)上CA的簽名；如果他們使用不同的CA，問(wèn)題就復(fù)雜了。甲必須從CA的樹(shù)形結(jié)構(gòu)底部開(kāi)始，從底層CA往上層CA查詢，一直追蹤到同一個(gè)CA為止，找出共同的信任CA。

證書(shū)可以存儲(chǔ)在網(wǎng)絡(luò)中的數(shù)據(jù)庫(kù)中。用戶可以利用網(wǎng)絡(luò)彼此交換證書(shū)。當(dāng)證書(shū)撤銷(xiāo)后，它將從證書(shū)目錄中刪除，然而簽發(fā)此證書(shū)的CA仍保留此證書(shū)的副本，以備日后解決可能引起的糾紛。

如果用戶的密鑰或CA的密鑰被破壞，從而導(dǎo)致證書(shū)的撤銷(xiāo)。每一個(gè)CA必須保留一個(gè)已經(jīng)撤銷(xiāo)但還沒(méi)有過(guò)期的證書(shū)廢止列表（CRL）。當(dāng)甲收到一個(gè)新證書(shū)時(shí)，首先應(yīng)該從證書(shū)廢止列表（CRL）中檢查證書(shū)是否已經(jīng)被撤銷(xiāo)。

數(shù)字證書(shū)由誰(shuí)來(lái)頒發(fā)，如何頒發(fā)？

數(shù)字證書(shū)是由認(rèn)證中心頒發(fā)的。

認(rèn)證中心是一家能向用戶簽發(fā)數(shù)字證書(shū)以確認(rèn)用戶身份的管理機(jī)構(gòu)。為了防止數(shù)字憑證的偽造，認(rèn)證中心的公共密鑰必須是可靠的，認(rèn)證中心必須公布其公共密鑰或由更高級(jí)別的認(rèn)證中心提供一個(gè)電子憑證來(lái)證明其公共密鑰的有效性，后一種方法導(dǎo)致了多級(jí)別認(rèn)證中心的出現(xiàn)。

數(shù)字證書(shū)頒發(fā)過(guò)程如下：用戶首先產(chǎn)生自己的密鑰對(duì)，并將公共密鑰及部分個(gè)人身份信息傳送給認(rèn)證中心。認(rèn)證中心在核實(shí)身份后，將執(zhí)行一些必要的步驟，以確信請(qǐng)求確實(shí)由用戶發(fā)送而來(lái)，然后，認(rèn)證中心將發(fā)給用戶一個(gè)數(shù)字證書(shū)，該證書(shū)內(nèi)包含用戶的個(gè)人信息和他的公鑰信息，同時(shí)還附有認(rèn)證中心的簽名信息。用戶就可以使用自己的數(shù)字證書(shū)進(jìn)行相關(guān)的各種活動(dòng)。

最新評(píng)論