PKI那些不为人知秘密(吐血总结)
作者:互联网
前言
公钥基础设施(Public Key Infrastructure,简称PKI)是目前网络安全建设的基础与核心,是电子商务安全实施的基本保障,因 此,对PKI技术的研究和开发成为目前信息安全领域的热点。
PKI是以不对称加密技术为基础,以数据机密性、完整性、身份认证和行为不可抵抗性为安全目的,来实施和提供安全服务的具有普适性的安全基础设施。其安全基础之一是证书中的用户信息与真实用户一一对应。而密钥管理机制的不完善成为制约PKI系统发展的最大因素。常见的解决方法是将智能卡和PIN 认证技术相结合,利用PIN 码来保护私钥安全。
PKI 既不是一个协议,也不是一个软件,它是一个标准,在这个标准之下发展出的为了实现安全基础服务目的的技术统称为 PKI。
一、概念
- 所有提供公钥加密和数字签名服务的系统都可叫做PKI系统。
- 利用公钥理论和技术建立的提供安全服务
二、主要功能特点
1.引入库
- 保密性
- 真实性
- 完整性
- 抗抵赖
2.PKI组件
- 公钥证书
- 证书撤销列表(CRL)
- 认证机构(CA)
- 注册机构(RA)
- 证书管理机构(CMA)
- 证书存档库(Reposity)
- 署名用户(Subscriber)
- 依赖方(Relying party)
- 最终用户(End User)
2、PKI体系核心-CA
-
CA是具有权威性和公正性的第三方信任机构,负责发放和管理数字证书,其作用就像现实生活中办理证件的部门
-
CA的延伸部分-RA(RA是数字证书注册审批机构)
RA主要功能有:
填写用户注册信息
提交用户注册信息
审核:对用户申请进行审核,以决定批准还是拒绝
用户的证书申请
发送生成证书申请:向CA提交生成证书请求
发放证书:将用户证书和私钥发放给用户
登记黑名单:对过期证书和因各种原因而撤销的证书及时登记,并向CA发送 CRL管理
日志审计:维护RA的操作日志 自身安全保证
3、PKI提供的基础服务
-
认证(Authentication)
采用数字签名技术,签名作用于相应的数据之上
-
被认证的数据 —— 数据源认证服务
采用数字签名技术,签名作用于相应的数据之上
-
完整性(Integrity)
PKI采用了两种技术:
1.数字签名:既可以是实体认证,也可以是数据完整性
2.MAC(消息认证码):如DES-CBC-MAC或者HMAC-MD5
-
保密性(Confidentiality)
用公钥分发随机密钥,然后用随机密钥对数据加密
-
不可否认(Non-repudiation)
1.发送方不可否认-数字签名
2.接受方的不可否认 —— 收条(reception)+ 数字签名(digital signature)
4、数字证书的概念
- 常见证书的格式(X.509 v3)
- 版本号-->>标识书的版本(v1 v2 v3)
- 序列号-->>证书的唯一标识符
- 签名-->>签名算法标识符
- 颁发者-->>证书颁发者可识别名
- 有效期-->>证书有效时间段
- 主体-->>证书拥有者的可识别名
- 主体公钥信息-->>主体的公钥
- 颁发者唯-->>标识符-证书颁发者唯一标识符
- 主体唯-->>标识符
5、对称秘钥
加密Key=解密key
常用算法包括DES 3DES AES RC4 SM1 SM4(国产)
优点:加密速度快,便于实现和大规模生产
缺点:需要保障密钥安全,无法用来签名和抵抗依赖
分组密码:一次加密解密操作作用用于一个数据块,例如64位算法:DES 3DES
流密码:一次加密解密作用用于一位或一个字节算法:RC4
6、非对称密钥算法
公开密钥密码体制、双密钥密码体制 主流非对称算法:RSA Elgamal(离散对数) ECC(椭圆曲线)
特点:一个密钥公开,称公钥 一个密钥保密,称私钥 常用算法:RSA ECC Elgamal
优点:密钥分配,不必保持信道的保密、可以用来签名和防抵赖
在RSA加密算法,由于PANDING的不一致,会导致加密结果不一致:使用NoPadding加密结果一致,使用PKS1Padding加密结果不一致
==RSA签名结果每一次一致== ECC每次签名不一致
三、总结
关于PKI涉及到具体概念还有很多,这个笔者将会在后面的文章中陆续做出更新,敬请期待。
以上是笔者个人理解,如有不正确的地方,欢迎指教。
标签:加密,不为人知,证书,--,CA,吐血,密钥,PKI 来源: https://blog.csdn.net/qq_30456929/article/details/114012808