PKI
PKI概念
PKI(Public Key Infrastructure):公钥基础设施
PKI由公钥加密技术、数字证书、认证机构(CA)、注册机构(RA)、证书撤销列表(CRL)以及验证和密钥管理系统组成,
一般通过加密技术和数字签名来保证信息的安全。
信息安全三要素(CIA)
-
机密性:保证信息不泄露给未经授权的用户。
-
完整性:保证信息从真实的发信者传送到真实的收信者手中,传送过程中没有被非法用户添加、删除、替换等。
-
可用性:保证授权用户能对数据进行及时可靠的访问。
公钥加密技术
对称加密算法
原理:加密方与解密方使用同一钥匙(秘钥)。
问题之一:很难将秘钥传输给对方,容易泄露。
算法:DES、3DES、IDEA、AES、SM1、SM4。
非对称加密算法
特点:
-
公钥和私钥不可相互逆推。
-
公钥和私钥互为加解密关系。
个人理解:双方都有一对公钥和私钥(甲公、甲私、乙公、乙私)。公钥是公开的(私钥自己才有),因此甲公和乙公双方互相知道。甲将自己的信息用乙的公钥加密,传输给乙,乙用自己的私钥进行解密。
问题之一:复杂度高,生成的密文大
算法:RSA、DSA、ECC、DH。
联合应用之一:
使用非对称加密算法 加密 对称加密算法中的密钥,然后再使用对称加密算法对文件进行加密。
数字签名
数字签名:用自己的私钥对摘要加密得出的密文。
哈希算法
哈希算法可用于验证信息的完整性。
个人理解:
普通使用哈希算法:
将信息使用哈希算法计算出一个哈希值(摘要),对方收到信息后使用同样的哈希算法计算出一个哈希值(摘要),用以验证信息的完整性,一般不用于加密。
安全中的应用:
- 甲先用哈希函数生成信息的摘要,并用乙的公钥对信息进行加密。
- 甲用私钥把摘要加密(即生成数字签名)。
- 乙收到密文后,先用甲的公钥解密摘要(保证了信是甲发出的)。
- 再用自己的私钥打开信息。
- 最后对信息使用哈希函数计算哈希值,确保信息完整性。
然而还有问题。数字签名过程,以及前面的这个问题和接下来的数字证书可参考文章:aHR0cHM6Ly93d3cud29zaWduLmNvbS9OZXdzL25ld3NfMjAxODEwMTEwMS5odG0=
(网址呢?)
认证机构(CA)
CA(Certificate Authority):认证机构
证书中心用自己的私钥,对刚刚的甲的公钥和一些相关信息一起加密。生成数字证书。
数字证书
数字证书:Digital Certificate,由CA签发。
证书用于保证公密钥的合法性
证书格式遵循X.509标准
数字证书内容:
使用者的公钥值
使用者标识信息(如名称和电子邮件地址)
有效期(证书的有效时间)
颁发者标识信息
颁发者的数字签名
文章许多地方是自己理解的内容,如有错误,欢迎指出!