數字簽名
數字簽名(又稱公鑰數字簽名、電子簽章)是一種類似寫在紙上的普通的物理簽名,可是使用了公鑰加密領域的技術實現。用於鑒別數字信息的方法。一套數字簽名通常定義兩種互補的運算。一個用於簽名,還有一個用於驗證。
簽名
•
簽名是非對稱加密的一種應用。使用私鑰加密數據,就是對數據的簽名
•
簽名是將數據通過運算后得到簽名信息,被簽名的數據發生不論什么改變哪怕這樣的改變很細微,也無法獲得相同的簽名信息。
驗簽名
•驗簽名的過程就是使用公鑰對私鑰加密的數據解密並驗證的過程
•驗簽名將被簽名數據用同樣的運算法則得到簽名信息后與原有簽名信息進行比較
散列算法/文摘算法/Hash
•就是把隨意長度的輸入(又叫做預映射),通過散列算法,變換成固定長度的輸出。該輸出就是散列值。這樣的轉換是一種壓縮映射。也就是。散列值的空間通常遠小於輸入的空間,不同的輸入可能會散列成同樣的輸出,而不可能從散列值來唯一的確定輸入值。簡單的說就是一種將隨意長度的消息壓縮到某一固定長度的消息摘要的函數。
經常使用算法
•SHA-1 , SHA-256、 MD5 , MD2特點
•無法反向運行散列算法恢復最初的明文
•得到的摘要不會告訴不論什么關於最初明文的信息
•同一明文用同一散列算法,生成后的值唯一
PKI
•
PKI
(
Public KeyInfrastructure
)即
”
公鑰基礎設施
”
,是一種遵循既定標准的密鑰管理平台
•簡單地說,PKI技術就是利用公鑰理論和技術建立的提供信息安全服務的基礎設施。
認證機構CA
•CA是PKI的核心運行機構。是PKI的主要組成部分,通常稱它為認證中心。
•從廣義上講。認證中心還應該包含證書申請注冊機構RA(Registration Authority),它是數字證書的申請注冊、證書簽發和管理機構。
密鑰備份及恢復
•密鑰備份及恢復是密鑰管理的主要內容,用戶因為某些原因將解密數據的密鑰丟失,從而使已被加密的密文無法解開。
•為避免這樣的情況的發生。PKI提供了密鑰備份與密鑰恢復機制:當用戶證書生成時,加密密鑰即被CA備份存儲(備份在KM)。當須要恢復時,用戶僅僅需向CA提出申請,CA就會為用戶自己主動進行恢復。
密鑰和證書的更新
•一個證書的有效期是有限的。這樣的規定在理論上是基於當前非對稱算法和密鑰長度的可破譯性分析,在實際應用中是因為長期使用同一個密鑰有被破譯的危急,因此,為了保證安全,證書和密鑰必須有一定的更換頻度。
•PKI對已發的證書必須有一個更換措施,這個過程稱為“密鑰更新或證書更新”。
證書歷史檔案
•從以上密鑰更新的過程,我們不難看出,經過一段時間后,每個用戶都會形成多個舊證書和至少一個當前新證書。
•這一系列舊證書和對應的私鑰就組成了用戶密鑰和證書的歷史檔案。記錄整個密鑰歷史是很重要的。比如,某用戶幾年前用自己的公鑰加密的數據或者其它人用自己的公鑰加密的數據無法用如今的私鑰解密,那么該用戶就必須從他的密鑰歷史檔案中,查找到幾年前的私鑰來解密數據。
client軟件
•為方便客戶操作。解決PKI的應用問題,在客戶裝有client軟件。以實現數字簽名、加密數據傳輸等功能。
•client軟件還負責在認證過程中,查詢證書和相關證書的撤消信息以及進行證書路徑處理、對特定文檔提供時間戳請求等。
交叉認證
•交叉認證就是多個PKI域之間實現互操作。
•交叉認證實現的方法有多種:一種方法是橋接CA。即用一個第三方CA作為橋,將多個CA連接起來。成為一個可信任的統一體。
•還有一種方法是多個CA的根CA(RCA)互相簽發根證書,這樣當不同PKI域中的終端用戶沿着不同的認證鏈檢驗認證到根時,就能達到互相信任的目的。