数字证书详解要点
数字证书dn 详解
数字证书dn 详解数字证书(DN)是一种用于加密和验证网络通信的安全工具。
在计算机和网络领域,数字证书扮演着非常重要的角色,用于保护用户的隐私和数据安全。
本文将对数字证书的基本概念、结构和功能进行详解,并探讨数字证书在网络安全中的应用。
1. 数字证书的基本概念数字证书是一个由权威机构颁发的电子文件,用于验证用户的身份信息和证明其公钥的合法性。
它的作用类似于身份证,在网络通信中确保通信双方的身份真实可信。
2. 数字证书的结构数字证书由几个关键部分组成,包括证书持有人的身份信息、公钥、证书颁发机构(CA)的签名和有效期等。
其中,身份信息包括持有人的名称、电子邮件地址和机构信息等,公钥是用于加密和验证数字签名的重要元素。
3. 数字证书的功能数字证书的主要功能包括身份验证、数字签名和数据加密。
通过数字证书验证,可以确保通信双方的身份真实可信,防止身份伪造和欺骗;数字签名可对数据进行签名,验证数据的完整性和可信性;而数据加密则可保护数据在传输过程中的安全性,防止被未授权的人窃取或篡改。
4. 数字证书的应用数字证书广泛应用于各个领域,特别是在网络通信和电子商务中。
在HTTPS协议中,数字证书用于验证网站的真实身份,以确保用户与网站之间的通信安全;在电子邮件中,数字证书可以实现电子签名和加密,确保邮件的机密性和完整性;在电子政务和电子银行等领域,数字证书用于用户身份验证和信息保护。
5. 数字证书的颁发和验证数字证书的颁发需要依赖权威的证书颁发机构(CA),CA对证书持有人的身份进行验证,并使用其私钥对证书信息进行签名。
而在验证数字证书的过程中,主要通过检查证书有效期、签名是否合法和证书吊销列表等信息来判断证书的真实性和可信度。
6. 数字证书的更新和吊销由于数字证书的有效期限,证书持有人在证书过期前需要通过更新机制进行证书的续期。
同时,如果证书持有人的私钥泄露或者存在其他安全问题,CA可以将该证书列入吊销列表,告知用户该证书不再可信。
数字证书格式详解(一)
数字证书格式详解(一)数字证书格式详解什么是数字证书?•数字证书是一种为了验证和证明网络通信数据的完整性、安全性和真实性的电子文件。
•数字证书可以被用于认证个人身份、数字签名、加密通信等目的。
数字证书的格式有哪些?1.证书格式–证书是最常见的数字证书格式,广泛应用于公钥基础设施(PKI)系统。
–证书使用(抽象语法标记)来描述证书的结构。
–证书包含了公钥、证书持有者的身份信息以及数字签名等。
2.PKCS#7格式–PKCS#7格式也是一种常见的数字证书格式,主要用于数字签名和加密通信。
–PKCS#7格式可以包含一个或多个证书、签名数据、摘要等信息。
3.PKCS#12格式–PKCS#12格式是一种将私钥和证书打包在一起的格式,通常用于证书的导出和备份。
–PKCS#12格式的文件通常具有扩展名.pfx或.p12。
4.SSL/TLS证书格式–SSL/TLS证书是用于保护网络通信的安全协议的一部分,常见的格式有PEM、DER等。
–PEM格式使用Base64编码,可以包含证书、私钥以及其他相关信息。
如何生成和使用数字证书?1.生成私钥–使用工具如OpenSSL生成私钥文件,格式可以是PEM或DER。
–私钥应该妥善保管,不可泄露给他人。
2.生成证书签名请求(CSR)–使用私钥生成CSR文件,包含证书请求者的身份信息和公钥。
–CSR文件通常由证书颁发机构(CA)用于生成数字证书。
3.颁发数字证书–将CSR文件提交给CA,CA将根据身份验证的结果颁发数字证书。
–数字证书通常包括公钥、证书持有者的身份信息和数字签名。
4.安装和使用数字证书–将颁发的数字证书文件安装到服务器、操作系统或应用程序中。
–使用数字证书进行加密通信、身份认证、数字签名等操作。
总结•数字证书是验证和证明网络通信数据的一种电子文件。
•常见的数字证书格式有、PKCS#7、PKCS#12和SSL/TLS。
•生成和使用数字证书需要生成私钥、CSR文件,颁发数字证书后进行安装和使用。
ca证书详解
ca证书详解ca证书详解一、什么是CA证书?CA证书,全称为数字证书认证机构(Certification Authority Certificate),是一种用于确保网络通信安全的数字证书。
CA证书由数字证书认证机构(Certification Authority,简称CA)颁发,用于对网络通信中的数据进行加密和解密、身份鉴别和数字签名等操作。
CA证书是保护网络安全的基石,广泛应用于互联网、电子商务、移动支付等领域。
二、CA证书的作用1. 建立安全连接:通过TLS/SSL技术,CA证书可以确保网络通信的机密性和完整性,防止数据在传输过程中被窃听和篡改。
只有拥有有效CA证书的服务器,才能与客户端建立安全的HTTPS连接。
2. 验证身份:CA证书可以验证服务器和客户端的身份,确保通信双方的真实性。
拥有CA证书的服务器能够向客户端证明其合法性和可信度,有效防止中间人攻击和网络欺诈。
3. 数字签名:通过对数据进行数字签名,CA证书可以验证数据的完整性和真实性。
当发送方对数据进行签名后,接收方可以通过验证CA证书的有效性来判断数据是否被篡改。
4. 信任管理:CA证书是建立数字信任链的重要组成部分,通过对CA证书的信任管理,可以构建安全可靠的松散耦合网络环境,并实现互联网各方之间的可信互通。
三、CA证书的组成一个标准的CA证书通常包含以下要素:1. 序列号:用于唯一标识该证书的序号,确保证书的唯一性。
2. 主体:证书的拥有者,可以是个人、组织或服务器的身份信息。
3. 颁发者:颁发该证书的CA机构的身份信息。
4. 有效期:证书的生效和失效日期,超出有效期的证书将被认为无效。
5. 公钥:证书中包含了用于加密和身份验证的公钥。
6. 数字签名:用于验证证书的完整性和真实性,由颁发者使用私钥生成。
四、CA证书的分类根据使用场景和信任级别的不同,CA证书可以分为以下几种类型:1. 根证书:根证书是CA体系中最高层次的信任证书,可以用于签发其他证书的权威机构。
数字证书培训
6.点击:“完成”出现如右图:
PPT文档演模板
数字证书培训
7、点击: “是(Y)”出现如下图:
8、点击: “确定”。CA数字证书成功导入到您的机器中,为 USBKEY的使用建立了应用环境。
注意: 2个证书均需导入成功。
PPT文档演模板
数字证书培训
2.3 安装完成后注意事项
§ 1.当第一次插入USBKey会出现如下图,初始密码见信封 正面:
PPT文档演模板
数字证书培训
1.2 USBKEY的特点
§ ·身份标志: 存储与您身份唯一指定的CA数字证书。 § ·安全性高: 仅允许指定的CA证书存入,证书不能导
出、不能进行复制。 § ·多重保护: 使用时需要PIN码(PIN码是你的
USBKEY的个人标识号 )验证。 § ·使用方便: 操作简单、便于携带、便于保管。
PPT文档演模板
数字证书培训
3.数字证书相关设置
§3.1 修改数字证书PIN码 §3.2 修改USBKey名称
PPT文档演模板
数字证书培训
3.1 修改数字证书PIN码
1.点击:“开始”>>“程序”>>“EnterSafe” >>“ePass3003_GFA” >>“管理工具”如下图:
PPT文档演模板
§ 数字证书是由一个由权威机构-----CA机构, 又称为 证书授权(Certificate Authority)中心发行的。
§ 学信网数字证书 = CA数字证书(软件) +USBKEY(硬件)
PPT文档演模板
数字证书培训
§ 国富安电子商务安全认证中心是国家部委首 家获得工业和信息化部颁发的电子认证服务 许可资质的第三方电子认证服务机构。是一 个典型的CA机构。
第5章 数字证书
2013-8-4
17
2.主体密钥标识符
该字段用于区分由同一数字证书主体使用的不同密钥。例如, 主体可能会定期地更换其密钥对,该字段用以指出按顺序哪 个公钥应在某一给定的数字证书中被认证。
3.密钥用途
该字段用以说明密钥的用途,如数字签名、不可否认、密钥 加密、数据加密。Diffie-Hellman密钥协议、数字证书签名、 CRL签名、加密或解密等。 该字段允许利用在其他标准中(或私下)注册的对象标识符 来重新定义密钥的用途。例如,一个数字证书可能包含一个 对象标识符,以指示仅用于SSL/TSL服务器密钥数字证书。 该字段指明了用于数字签名的公钥所对应的私钥的授权使用 期限。使用该字段可以减少由于私钥泄露所造成的影响。
这些算法标识符是需要注册的对象类的一个实例,也就 是对惟一对象标识符的一个赋值。 用于算法标识符和其他很多与电子商务相关的对象类的 对象注册系统是一个对象标识符机制,该机制由国际标 准指定,并受一系列国际对象注册机构的支持。
2013-8-4 11
二、X.509版本3数字证书格式
从1993、1994年开始,X.509数字证书开始尝试
使用显式密钥标识符。 使用指向另一数字证书的指针。在该指针所指向的数字证书中,发放数字 证书的认证机构的公钥是由另一认证机构认证的(指针所指的数字证书是 由其数字证书发放者名称和数字证书序列号确定的)。 同时使用显式密钥标识符和数字证书指针。假设,作为密钥生命周期管理 的一部分,很多认证机构需定期地更新它们的密钥对,该字段可以帮助数 字证书使用系统有效地寻找认证路径,帮助系统沿可信任的根数字证书方 向寻找认证路径的下一数字证书。
19
2.政策映射
ca证书详解(一)
ca证书详解(一)详解CA证书什么是CA证书?CA证书(Certificate Authority),也称为数字证书,是一种用于验证和确认网络通信中信息的合法性和完整性的安全工具。
它基于公钥加密技术,由可信任的第三方机构——证书颁发机构(CA)签发并加密。
CA证书包含了包括公钥、数字签名、证书持有者的身份信息等内容。
CA证书的作用CA证书在网络通信中起到了至关重要的作用:1.身份验证:CA证书可以验证通信方的身份。
使用CA证书签发者可以确认通信方是可信任的,确保信息的发送和接收方是合法的。
2.数据完整性:CA证书通过数字签名来保证信息的完整性,任何篡改信息的行为都会导致数字签名的校验失败,从而保证数据不被篡改。
3.数据加密:CA证书可以用来加密通信的数据,通过为通信双方提供公钥和私钥,保障通信过程中的数据安全。
CA证书的结构一个完整的CA证书通常包含以下几个部分:1.证书持有者信息:包括证书持有者的名称、电子邮件地址等信息,用于确认通信方的身份。
2.证书公钥:用于对数据进行加密和解密。
3.数字签名:由CA机构用其私钥对证书进行签名,用来确保证书的完整性和来源的可信性。
4.证书颁发机构信息:包括证书颁发机构的名称、电子邮件地址等信息,用于确认CA机构的可信度。
5.有效期:证书的颁发和过期日期,过期后不再可信。
CA证书的获取与使用获取和使用CA证书通常需要以下步骤:1.选择信任的CA机构:选择一个可信任的CA机构,可以从CA机构的官方网站获取CA证书。
2.申请证书:在CA机构的官方网站上申请CA证书,填写相关的身份信息。
3.进行身份验证:CA机构会对申请者进行身份验证,确保申请者的身份信息的真实性。
4.获取证书:通过邮件或下载方式获取CA证书。
5.安装证书:将CA证书安装到相关的系统或应用中,例如浏览器、服务器等。
6.使用证书:在网络通信过程中,使用所安装的CA证书进行身份验证、数据加密和数据完整性的保护。
数字证书知识点总结
数字证书知识点总结-柳总结一,定义在因特网上,用来标志和证明网络通信双方身份的数字信息文件。
网上的身份证。
二,基本简介a)数字证书必须由一个权威CA机构颁发,目前我国经国家工业和信息化部批准的可信的权威可信的CA机构有30家左右。
b)有了数字证书,人们可以在网上用它来识别对方的身份。
c)数字证书包含证书拥有者信息以及其公开密钥的文件,同时还附有认证中心的签名信息。
三,颁发过程a)用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心。
b)认证中心在核实c)认证中心发给用户一个数字证书。
d)数字证书各不相同,每种证书可提供不同级别的可信度。
四,作用a)数字证书,通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统,从而保证:i.信息除发送方和接收方外不被其它人窃取;ii.信息在传输过程中不被篡改;iii.发送方能够通过数字证书来确认接收方的身份;iv.发送方对于自己的信息不能抵赖。
五,工作原理a)数字证书采取非对称密钥体制私钥+公钥。
其中公钥公开。
b)当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。
c)也可以采用自己的私钥对信息加以处理,由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。
采用数字签名,能够确认以下两点:i.保证信息是由签名者自己签名发送的,签名者不能否认或难以否认。
ii.保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。
d)六,数字签名a)将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要。
只要改动报文中任何一位,重新计算出的报文摘要值就会与原先的值不相符,保证报文与摘要一一对应。
b)报文摘要值用发送者的私人密钥加密,而产生的报文即称数字签名。
c)发送者将数字签名连同原报文一起发送给接收者。
d)接收方收到原报文和数字签名后,用同样的HASH算法对原报文计算摘要值。
数字证书的原理和应用
数字证书的原理和应用数字证书是一种用于验证和加密网络通信的加密技术。
它在当今信息时代扮演了重要的角色,促进了网络安全和数据保护。
本文将详细介绍数字证书的原理和应用,并分解为以下几个步骤进行阐述:1. 什么是数字证书?- 数字证书是一种由第三方机构(证书颁发机构,或CA)生成和签名的电子文件,用于证明与其相关联的实体(例如网站、服务器等)的身份和合法性。
- 数字证书包含了公钥和与其相关联的元数据信息,用于验证和加密网络通信。
2. 数字证书的原理- 对于一个实体(例如网站)来说,它需要生成一对密钥:公钥和私钥,用于加密和解密数据。
- 实体将公钥发送给CA,并向CA申请证书。
- CA使用自己的私钥对实体的公钥和相关信息进行签名生成数字证书。
- 数字证书发布到可信的共享库(例如浏览器或操作系统)中,用户的设备通过这些共享库来验证证书的有效性。
3. 数字证书的应用- 网络通信安全:数字证书可用于确保网络通信的机密性和完整性。
通过验证对方的数字证书,可以确保通信双方的身份和合法性。
这在网购、在线银行等场景中尤为重要。
- 网站身份验证:数字证书可以用来验证网站的身份,以防止钓鱼网站和网络攻击。
浏览器会检查网站的数字证书,并确保其有效性和信任。
- 数字签名:数字证书也可用于数字签名,用于确保文件或电子邮件的真实性和完整性。
数字签名使用私钥来生成,然后使用相关的公钥验证。
4. 验证数字证书的步骤- 设备(例如浏览器)收到网站的数字证书,开始验证过程。
- 首先,设备将检查数字证书中的签名是否有效。
它会使用证书颁发机构(CA)的公钥来验证签名是否成功。
如果验证失败,通信将中断或警示用户。
- 其次,设备会检查证书的有效期是否过期。
如果证书已过期,设备将警示用户并阻止通信。
- 再次,设备会检查证书中的域名是否与用户访问的域名匹配。
这有助于防止钓鱼网站和欺诈行为。
- 最后,设备会检查证书是否被吊销。
证书吊销是指CA撤销了证书的信任。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
数字证书一. 什么是数字证书?数字证书就是网络通讯中标志通讯各方身份信息的一系列数据,其作用类似于现实生活中的身份证。
它是由一个权威机构发行的,人们可以在互联网上用它来识别对方的身份。
最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。
一般情况下证书中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息,证书的格式遵循ITUT X.509国际标准。
一个标准的X.509数字证书包含以下一些内容:证书的版本信息;证书的序列号,每个证书都有一个唯一的证书序列号;证书所使用的签名算法;证书的发行机构名称,命名规则一般采用X.500格式;证书的有效期,现在通用的证书一般采用UTC时间格式,它的计时范围为1950-2049;证书所有人的名称,命名规则一般采用X.500格式;证书所有人的公开密钥;证书发行者对证书的签名。
使用数字证书,通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统,从而保证:信息除发送方和接收方外不被其它人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己的信息不能抵赖。
二. 为什么要使用数字证书?基于Internet网的电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险。
买方和卖方都必须对于在因特网上进行的一切金融交易运作都是真实可靠的,并且要使顾客、商家和企业等交易各方都具有绝对的信心,因而因特网(Internet)电子商务系统必须保证具有十分可靠的安全保密技术,也就是说,必须保证网络安全的四大要素,即信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性。
1、信息的保密性交易中的商务信息均有保密的要求。
如信用卡账号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。
因此在电子商务的信息传播中一般均有加密的要求。
2、交易者身份的确定性网上交易的双方很可能素昧平生,相隔千里。
要使交易成功首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个玩弄欺诈的黑店。
因此能方便而可靠地确认对方身份是交易的前提。
对于为顾客或用户开展服务的银行、信用卡公司和销售商店,为了做到安全、保密、可靠地开展服务活动,都要进行身份认证的工作。
对有关的销售商店来说,他们对顾客所用的信用卡的号码是不知道的,商店只能把信用卡的确认工作完全交给银行来完成。
银行和信用卡公司可以采用各种保密与识别方法,确认顾客的身份是否合法,同时还要防止发生拒付款问题以及确认订货和订货收据信息等。
3、不可否认性由于商情的千变万化,交易一旦达成是不能被否认的。
否则必然会损害一方的利益。
例如订购黄金,订货时金价较低,但收到订单后,金价上涨了,如收单方能否认受到订单的实际时间,甚至否认收到订单的事实,则订货方就会蒙受损失。
因此电子交易通信过程的各个环节都必须是不可否认的。
4、不可修改性交易的文件是不可被修改的,如上例所举的订购黄金。
供货单位在收到订单后,发现金价大幅上涨了,如其能改动文件内容,将订购数1吨改为1克,则可大幅受益,那么订货单位可能就会因此而蒙受损失。
因此电子交易文件也要能做到不可修改,以保障交易的严肃和公正。
人们在感叹电子商务的巨大潜力的同时,不得不冷静地思考,在人与人互不见面的计算机互联网上进行交易和作业时,怎么才能保证交易的公正性和安全性,保证交易双方身份的真实性。
国际上已经有比较成熟的安全解决方案,那就是建立安全证书体系结构。
数字安全证书提供了一种在网上验证身份的方式。
安全证书体制主要采用了公开密钥体制,其它还包括对称密钥加密、数字签名、数字信封等技术。
我们可以使用数字证书,通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统,从而保证:信息除发送方和接收方外不被其它人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己的信息不能抵赖。
三.数字证书原理?1.密码学在密码学中,有一个五元组:{明文、密文、密钥、加密算法、解密算法},对应的加密方案称为密码体制(或密码)。
明文:是作为加密输入的原始信息,即消息的原始形式所有可能明文的有限集称为明文空间。
密文:是明文经加密变换后的结果,即消息被加密处理后的形式,所有可能密文的有限集称为密文空间。
密钥:是参与密码变换的参数,一切可能的密钥构成的有限集称为密钥空间。
加密算法:是将明文变换为密文的变换函数,相应的变换过程称为加密,即编码的过程。
解密算法:是将密文恢复为明文的变换函数,相应的变换过程称为解密,即解码的过程。
现代密码学算法:对称算法:➢加密和解密使用同一密钥➢主要算法包括:DES、3DES、RC2、RC4➢加/解密速度快,但密钥分发问题严重非对称算法:➢不需要首先共享秘密➢两个密钥同时产生:一把密钥(公钥)是公开的,任何人都可以得到。
另一把密钥(私人密钥)只有密钥的拥有者知道。
➢用其中一把密钥(公钥或者是私钥)加密的信息,只能用另一把打开。
➢RSA算法,ECC(椭圆曲线)算法➢由已知的公钥几乎不可能推导出私钥➢强度依赖于密钥的长度➢很慢-不适合加密大数据➢公钥可以广泛地、开放地分发➢用于加密,签名/校验,密钥交换➢主要算法包括:RSA,ECC,Diffie-Hellman,DSA数字摘要:➢把可变输入长度串转换成固定长度输出串的一种函数。
称输出串为输入串的指纹,或者数字摘要;➢不同明文的摘要相同的概要是非常非常小的;而同样明文其摘要必定一致;➢ 明文的长度不固定,摘要的长度固定。
➢ 没有密钥 ➢ 不可回溯➢ 典型算法:MD5, SHA-1 ➢ 用于完整性检测,产生数字签名最好的解决方案:➢ 使用对称算法加密大的数据–每次加密先产生新的随机密钥➢ 使用非对称算法交换随机产生的密钥➢ 用非对称算法做数字签名(对散列值即摘要做数字签名) ➢ 四条基本规则– 先签名,然后加密 – 加密之前先压缩 – 用你自己的私钥做签名 –用接收者的公钥做加密加密:密钥打包重要文件重要文件密文数字信封随机对称密钥接收者公钥怎样解决4个通讯安全需求?–私密性加密–完整性?–不可否认性?–身份认证?问题:如何解决以上三个问题?2.数字签名数字签名采用公钥体制(PKI),即利用一对互相匹配的密钥进行加密、解密。
每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。
当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。
通过这种手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。
在公开密钥密码体制中,常用的一种是RSA体制。
其数学原理是将一个大数分解成两个质数的乘积,加密和解密用的是两个不同的密钥。
即使已知明文、密文和加密密钥(公开密钥),想要推导出解密密钥(私密密钥),在计算上是不可能的。
按现在的计算机技术水平,要破解目前采用的1024位RSA密钥,需要上千年的计算时间。
公开密钥技术解决了密钥发布的管理问题,商户可以公开其公开密钥,而保留其私有密钥。
购物者可以用人人皆知的公开密钥对发送的信息进行加密,安全地传送给商户,然后由商户用自己的私有密钥进行解密。
用户也可以采用自己的私钥对信息加以处理,由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。
采用数字签名,能够确认以下两点:(1)保证信息是由签名者自己签名发送的,签名者不能否认或难以否认;(2)保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。
数字签名具体做法是:(1)将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要。
在数学上保证:只要改动报文中任何一位,重新计算出的报文摘要值就会与原先的值不相符。
这样就保证了报文的不可更改性。
(2)将该报文摘要值用发送者的私人密钥加密,然后连同原报文一起发送给接收者,而产生的报文即称数字签名。
这样就保证了签发者不可否认性。
(3)接收方收到数字签名后,用同样的HASH算法对报文计算摘要值,然后与用发送者的公开密钥进行解密解开的报文摘要值相比较。
如相等则说明报文确实来自所称的发送者。
四. 数字证书是如何生成的?数字证书是数字证书在一个身份和该身份的持有者所拥有的公/私钥对之间建立了一种联系,由认证中心(CA )或者认证中心的下级认证中心颁发的。
根证书是认证中心与用户建立信任关系的基础。
在用户使用数字证书之前必须首先下载和安装。
认证中心是一家能向用户签发数字证书以确认用户身份的管理机构。
为了防止数字凭证的伪造,认证中心的公共密钥必须是可靠的,认证中心必须公布其公共密钥或由更高级别的认证中心提供一个电子凭证来证明其公共密钥的有效性,后一种方法导致了多级别认证中心的出现。
数字证书颁发过程如下:用户产生了自己的密钥对,并将公共密钥及部分个人身份信息(称作P10请求)传送给一家认证中心。
认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内附了用户和他的密钥等信息,同时还附有对认证中心公共密钥加以确认的数字证书。
当用户想证明其公开密钥的合法性时,就可以提供这一数字证书。
三级CA 证书用户证书用户证书证书的产生:认证中心把用户证书的基本信息做哈希算法,然后用自己的私钥对哈希值进行加密。
五.数字证书是如何分发的?CA将证书分发给用户的途径有多种。
第一种途径是带外分发(Out-of-band Distribution),即离线方式。
例如,密钥对是由软件运营商代替客户生成,证书也是由运营商代替客户从CA下载,然后把私钥和下载的证书一起储存在软盘里,再交给用户的。
这样做的好处是免去了用户上网下载证书的麻烦。
第二种途径是带内分发(In-band distribution),即用户从网上下载数字证书到自己的电脑中。
下载时,用户要向CA出示“参考号”和“授权码”,以向CA证明自己的身份。
这样做成本较低,但对使用计算机不太熟悉的用户来说,可能在下载时会碰到一些麻烦。
除了以上两种方式外,CA还把证书集中放置在公共的数据库中公布,用户可以随用随查询随调用。
六.数字证书是如何存储的?数字证书和私钥储存的介质有多种,大致分为硬证书和软证书。
可以存储在计算机硬盘、软盘、智能卡或USB key里。
1、关于私钥的唯一性严格地讲,私钥既然是世上唯一且只由主体本身持有,它就必须由主体的计算机程序来生成。
因为如果在别处生成将会有被拷贝的机会。