首先是對數字證書系統和密碼學掃下盲。
通常所說的數字證書系統,基本就是說的PKI體系。PKI全稱為公鑰基礎設施,是一個基於X.509標准證書管理系統。它能為所有網絡應用提供加密和數字簽名服務以及所必須的密鑰和證書管理。它的公鑰加密標准共有15項,部分標准已經撤銷或做了合並。
PKI組成一般有:認證中心(CA),數字證書庫(LDAP),密鑰備份與恢復系統,證書作廢系統,應用程序的API接口。其中認證中心包含了注冊服務器,注冊機構(RA),認證中心服務器。
數字證書保存在數字證書庫。它是網絡用戶的身份標示,包含了ID,公鑰,頒發機構的數字簽名等內容。其形式也分為好多種,主要有X.509公鑰證書,SPKI證書,PGP證書等。X.509證書是我們平時最常見的,所以我們俗稱的數字證書,通常是指X.509公鑰證書。可以結合【數字證書系統】思維導圖理解。
再談談密碼學,要說清楚密碼學,厚厚一本大書都可能說不清。這里只是提及幾個基本的密碼學常用術語與概念。
首先是加密/解密算法。加密/解密算法通俗講,就是對數據內容進行改變的一系列手段(復雜的分組,行列線性變換等操作)。首先我們將加密算法分成這樣兩類:一類是通過加密后,可以通過解密算法還原回來的。一類是通過加密后,我們無法再還原回原來的內容了。
我們通常把可以還原的加密叫做可逆加密,不可以還原的叫做單向加密或不可逆加密。單向加密一般用於驗證數據的完整性。如:MD5算法,SHA算法。
那么可逆的加密我們又分為了對稱加密與非對稱加密。我們可以根據它們使用的密鑰個數來區別。對稱加密中,無論是加密和解密用的都是一個密鑰。非對稱的加密中,加密和解密是分別使用不同的密鑰來進行的。我們稱之為:公鑰與私鑰。私鑰加密過的內容,可以用公鑰解密,反之亦然。公鑰一般是指公開發布的,任何人都可以拿到。私鑰是特定用戶私人持有的,需要嚴格保密。對稱加密還可以細分成流密碼加密,分組密碼加密。甚至還可以再往下分。這里就不繼續往下介紹了。有興趣的讀者可以自行查閱密碼學相關資料。
對稱加密的常用算法有:RC4,SEAL,DES,AES等。特點:效率高,安全級別相對低。
非對稱機密的常用最典型算法:RSA算法。特點:效率地,不適合大文件加密,安全級別相對高。
所以我們在實際的使用中,通常是把2種加密算法結合在一起使用的。
辦理過網銀的人,一般都會得到銀行給你一個U盤一樣的東東,這個東東就是銀行給你的數字證書。一般包含了用戶的私鑰與公鑰,還有hash算法,一個密鑰生產算法,ID,身份信息等。通常還會安裝一個軟件,里面包含了銀行機構的公鑰。下面我們講講這里面幾個東東的作用。
HASH算法是一個散列計算函數,是數字簽名的核心技術。通過某個散列函數,可以把用戶相關信息進行計算得到一串字符串。
用戶私鑰是用來對上一個步驟中生成的字符串進行加密用的。加密后的內容,就是我們通常說的數字簽名。你沒有看錯,它其實就是簽名。
密鑰生成算法或者叫密鑰生成器。它會在每次交易時候自動生成一個對稱密鑰。聰明的讀者應該知道,交易過程中的數據,是用它來進行加密的。
用戶公鑰,用戶一般不會使用它。是給對方使用的,用來解密用戶生成的數字簽名。
除了用戶有公鑰和私鑰,交易的對方也會有公鑰和私鑰。下面就以我們平時與銀行交易的這一過程為例子,說說數字證書在這一過程中是如何發揮作用的。
