PKI (Public Key Infrastructure):密钥
传统密码学的换位加密法,和替换加密法。
换位加密法,比如藏头诗、镜像法。
替换加密法,又有单表替换、多表替换。
第一次世界大战,方法没创新,难度有增加。
第二次世界大战,机器密码(机械密码)。
计算机出现后,产生了现代的密码学,很厉害。
现代密码学的结构(算法)是公开的,安全性取决于密钥的设计和使用。进行加密或解密操作所需要的关键参数就是密钥。
根据结构的区别,分为
- 对称算法。加密、解密用同样的密钥。传统密码学都是这种。
- 不对称算法。加密、解密用不一样的密钥。加密密钥公开,解密的密钥不公开。
- 摘要算法。没有密钥。
所以要破解有二种方式,一种是查找到算法结构的漏洞,算法结构是公开的,但是这个难度很大,不是一般人能做的。一种是想办法获取到密钥。
所以密钥的管理很重要。
对称密钥的管理技术,有一种是有中心模式,应用于银行的磁条卡密码应用体系。通过对区域(分行/网点)或终端(ATM/POS)分配对称密钥,实现银行卡交易过程中的数据安全。参考《商业银行密码技术应用》。
非对称密钥的出现,简化了密钥的管理,解决对称密钥在协商或分配时容易泄露并且难以发现的难题。
非对称密钥的管理技术,也有一种是有中心模式。这里有一些技术和标准。
-
CA和数字证书
解决密钥和用户的映射关系,就是怎么证明这个密钥是这个用户而不是那个用户的,也没有被篡改的。那显然,这个证明人是权威的,大家都相信它的私钥是不会泄露的,应该也是很能搞钱的。- CA:
Certificate Authority。CA中心、证书认证中心。它有自己的公钥和私钥,给用户签发数字证书:用自己的私钥给信息加密处理后(签名)生成。 - 数字证书。一个文件,包含:
用户身份信息、用户公钥、CA中心私钥的签名。 - 对数字证书的检查:CA中心的公钥能解密处理成功,说明未被篡改,因为是中心的私钥加密的。而CA中心的公钥公开,所以每个人都可以检查。
- 那怎么保证CA中心的公钥没被人掉包呢?CA中心给自己签发数字证书,包含CA中心公钥、中心身份信息、中心私钥签名。
- 那怎么保证CA中心给自己签发的数字证书没被人掉包呢?WOKAO…有完没完,没被钓鱼就是真的吧
- CA:
-
LDAP Light-weight Directory Access Protocol
中心通过LDAP方式对外提供证书查询和下载。不用传统的DBMS系统来做,因为LDAP查询比较快。 -
CRL 和 OCSP
CRL是Certificate Revocation List。证书作废列表、证书黑名单。用户密钥泄露了,或证书到期了,就要作废。这个定期生成,所以不是实时的,实时的就用OCSP来查询。OCSP是Online Certificate Status Protocol。
使用私钥对电子文档进行加密操作后的结果就是数字签名或电子签名,因为私钥是用户私有和专有,类似于手写签名。2005年4月1日《电子签名法》实施。
- 点赞
- 收藏
- 关注作者
评论(0)