CA，證書，公鑰，私鑰，加密算法常識總結

數據傳輸安全要滿足的要求：

• 發送方能夠確定消息只有預期的接收方可以解密(不保證第三方無法獲得，但保證第三方無法解密)
• 接收方可以確定消息是由誰發送的（接收方可以確定消息的發送方）
• 接收方可以確定消息在途中沒有被篡改過（必須確認消息的完整性）

加密和認證

• 加密是將數據資料加密，使別人即使獲取加密數據，也無法獲取正確的資料內容，重點在於數據的安全性

通常發送者使用自己的私鑰進行加密，接收者使用發送者的公鑰進行解密

• 認證是是確定數據的真實發送方，使別人無法偽造或冒充，重點在於用戶的真實性

公鑰算法和私鑰算法

• 摘要算法(散列，無需密鑰)

      一般有MD5(128位)和SHA1（160位），不可逆

• 對稱加密算法（DES,AES）

      又稱 對稱加密算法，因為這種算法解密密鑰和加密密鑰是相同的。也正因為同一密鑰既用於加密又用於解密，所以這個密鑰是不能公開的

      但是密鑰不能手把手交給對方

• 非對稱加密算法（RSA,DSA）

      這種算法加密和解密的密鑰不一樣，一個是公鑰，另一個是私鑰，安全性最高，但加解密速度慢,通常比對稱加密算法慢1-2個數量級

　  利用的是兩個大質數相乘十分容易，而對其乘積進行因素分解十分困難。這樣就可以將乘積作為密鑰了

　  這個乘積為N值，根據兩個大質數選擇e和生成d,刪掉兩個大質數。這樣（N,e）為公鑰，（N,d）為私鑰

     公鑰無法破解出私鑰。由於非對稱加密的密鑰生成麻煩，所以無法做到一次一密，而且其加密速度很慢，無法對大量數據加密

     因此最常用的使用場景就是數字簽名和密碼傳輸，用作數字簽名時使用私鑰加密，公鑰解密；用作加密解密時，使用公鑰加密，私鑰解密。

     大部分情況都使用對稱加密，而對稱加密的密鑰交換時使用非對稱加密來保護密鑰的安全

公鑰和私鑰（密鑰對）

記住這句：公鑰加密，私鑰解密；私鑰簽名，公鑰驗簽。

必須實現如下目的：

• 發送方將數據加密，在數據傳輸過程中不能被別人看到真實數據內容
• 接收方能確定數據是發送方發送的數據，不是別人冒充

意義和作用：

• 公鑰：是公布出去給別人用的，可以被很多人獲取。用來加密和驗簽

• 私鑰：只能自己持有，並且不可以被其他人知道，用來解密和簽名

關系：

• 一個公鑰對應一個私鑰
• 密鑰對中，讓大家都知道的是公鑰，自己知道是私鑰
• 用公鑰加密的數據只有對應的私鑰可以解密
• 用私鑰加密的數據只有對應的公鑰可以解密
• 如果用其中一個密鑰加密數據，則只有對應的那個密鑰才能解密
• 如果用其中一個密鑰可以解密數據，則該數據必然由對應密鑰進行加密（最后兩個類似當且僅當，充分必要條件）

CA證書：

CA是證書的簽發機構，是公鑰基礎設施（Public Key Infrastructure，PKI）的核心。CA是負責簽發證書、認證證書、管理已頒發證書的機關。

CA 擁有一個證書（內含 公鑰和 私鑰）。網上的公眾用戶通過驗證 CA 的簽字從而信任 CA ，任何人都可以得到 CA 的證書（含公鑰），用以驗證它所簽發的證書。

證書主要內容：

• 電子簽證機關的信息

• 公鑰用戶信息

• 公鑰

• 權威機構的簽字

• 有效期

證書原理：

1、CA證書中包含公鑰，公鑰綁定的用戶信息，機構的簽名。（證書中心CA會用自己的私鑰對用戶的公鑰和相關信息加簽名，生成數字證書）

2、 密鑰對包含公鑰和 私鑰。公鑰公之於眾，誰都可以使用。私鑰只有自己知道

3、由公鑰加密的信息只能由與之相對應的私鑰解密

4、為確保只有某個人才能閱讀自己的信件，發送者要用收件人的公鑰加密信件；收件人用自己的私鑰解密信件

5、同樣，為證實發件人的身份，發送者要用自己的私鑰對信件進行簽名；收件人可使用發送者的公鑰對簽名進行驗證，以確認發送者的身份。

證書作用：

保密性 - 只有收件人才能閱讀信息。

認證性 - 確認信息發送者的身份。

完整性 - 信息在傳遞過程中不會被篡改。

不可抵賴性 - 發送者不能否認已發送的信息。

保證請求者與服務者的數據交換的安全性

根證書：

根證書是CA認證中心給自己頒發的證書,是信任鏈的起始點。安裝根證書意味着對這個CA認證中心的信任。
使用證書驗證需要先驗證該證書的真偽，這樣會構成一條證書鏈，證書鏈由根證書終結
根證書是一份特殊的證書，它的簽發者是它本身，下載根證書就表明您對該根證書以下所簽發的證書都表示信任，
而技術上則是建立起一個驗證證書信息的鏈條，證書的驗證追溯至根證書即為結束。
所以說用戶在使用自己的數字證書之前必須先下載根證書。