正文

數(shù)字證書的概念（數(shù)字證書的概念和作用）

發(fā)布時(shí)間：2023-04-06 11:50:07 稿源：創(chuàng)意嶺閱讀： 113

大家好！今天讓小編來大家介紹下關(guān)于數(shù)字證書的概念的問題，以下是小編對(duì)此問題的歸納整理，讓我們一起來看看吧。

創(chuàng)意嶺作為行業(yè)內(nèi)優(yōu)秀的企業(yè)，服務(wù)客戶遍布全球各地，相關(guān)業(yè)務(wù)請(qǐng)撥打電話：175-8598-2043，或添加微信：1454722008

文章目錄列表:

1、數(shù)字證書和數(shù)字簽名的關(guān)系
2、cfca數(shù)字證書是什么
3、CA、數(shù)字證書、數(shù)字簽名
4、對(duì)稱加密、非對(duì)稱加密、摘要、數(shù)字簽名、數(shù)字證書

數(shù)字證書的概念（數(shù)字證書的概念和作用）

一、數(shù)字證書和數(shù)字簽名的關(guān)系

有了數(shù)字證書才能順利安裝并運(yùn)行該軟件，簽名就是給了這個(gè)軟件合法的身份，取得了系統(tǒng)權(quán)限。可以隨手機(jī)啟動(dòng)。

1、數(shù)字證書：用自己的私鑰簽名對(duì)方用本方的公鑰解密簽名。

2、數(shù)字簽名：用私鑰加密哈希散列值，對(duì)方拿機(jī)主的公鑰解密得到一個(gè)散列值后對(duì)方拿機(jī)主發(fā)送的消息執(zhí)行哈希運(yùn)算得到一個(gè)散列值，對(duì)方比較值是否相等。如果相等，證明這是機(jī)主發(fā)過去的文件。

數(shù)字證書的概念（數(shù)字證書的概念和作用）

擴(kuò)展資料：

一、身份認(rèn)證

通過數(shù)字證書，確認(rèn)實(shí)體即為自己所聲明的實(shí)體，從而鑒別身份真?zhèn)?。依?jù)身份認(rèn)證的對(duì)象不同，數(shù)字證書可分為個(gè)人身份證書、企業(yè)或機(jī)構(gòu)身份證書、服務(wù)器證書，分別證實(shí)其在網(wǎng)絡(luò)活動(dòng)中的身份，從而為網(wǎng)絡(luò)上各實(shí)體間信息交換的安全性提供第一道防線。

二、保護(hù)數(shù)據(jù)的完整性

通過基于數(shù)字證書的數(shù)字簽名技術(shù)，既可以提供實(shí)體認(rèn)證，又可以保障被簽名數(shù)據(jù)的完整性，即確認(rèn)數(shù)據(jù)無論是在傳輸或是在存儲(chǔ)過程中經(jīng)過檢查確認(rèn)沒有被修改。

其主要應(yīng)用為代碼簽名證書，由CA簽發(fā)給軟件提供者（包括組織或個(gè)人），代碼簽名證書包含了軟件提供者的身份信息、公鑰及CA 的簽名。

三、確保數(shù)據(jù)的保密性

在實(shí)際應(yīng)用中，服務(wù)器和瀏覽器之間的信息通過HTTP協(xié)議在互聯(lián)網(wǎng)上以明文方式進(jìn)行傳輸，容易被非法第三方竊取或篡改。

服務(wù)器證書通過采用“數(shù)字信封”機(jī)制，將用戶瀏覽器和服務(wù)器之間傳輸?shù)男畔⒓用?，加密后的信息除了指定的?shí)體外，其他未經(jīng)授權(quán)的人不能讀出或看懂該數(shù)據(jù)，從而保證了信息傳輸?shù)乃矫苄浴?/p>

四、確保行為的不可否認(rèn)性

用數(shù)字簽名的方法，可以從技術(shù)上保證實(shí)體對(duì)其行為的誠實(shí)性，防止其對(duì)關(guān)鍵行為的否認(rèn)。

通過附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對(duì)數(shù)據(jù)單元作密碼變換，數(shù)字簽名允許數(shù)據(jù)單元的接收者確認(rèn)數(shù)據(jù)單元的來源。由于只有發(fā)送數(shù)據(jù)單元者擁有私鑰，所以其無法否認(rèn)發(fā)送過該數(shù)據(jù)單元，從而防止交易中的抵賴發(fā)生。

二、cfca數(shù)字證書是什么

中國金融認(rèn)證中心（CFCA）是我國重要的金融信息安全基礎(chǔ)設(shè)施之一，是經(jīng)中國銀行和國家信息安全管理局批準(zhǔn)的國家級(jí)權(quán)威安全認(rèn)證機(jī)構(gòu)。

CFCA在《中華人民共和國電子簽名法》頒布后，成為首批獲得電子認(rèn)證服務(wù)許可的電子認(rèn)證服務(wù)機(jī)構(gòu)之一。

了解CFCA證書是什么之后，那么CFCA的職能是什么？

中國金融認(rèn)證中心的售后服務(wù)宗旨：“成為客戶的技術(shù)支持伙伴，幫助客戶確保系統(tǒng)的運(yùn)行，并在客戶需要時(shí)提供相應(yīng)的服務(wù)”。

CFCA的技術(shù)支持服務(wù)根據(jù)整個(gè)系統(tǒng)的情況和客戶的需求，遠(yuǎn)遠(yuǎn)超出了傳統(tǒng)的故障排除響應(yīng)支持的概念，從系統(tǒng)預(yù)防性檢查、支持客戶的日常運(yùn)行維護(hù)、系統(tǒng)功能升級(jí)到客戶的培訓(xùn)服務(wù)，幫助用戶更好地掌握系統(tǒng)維護(hù)知識(shí)和了解最新的相關(guān)技術(shù)。

CFCA一直致力于創(chuàng)造高水平的基礎(chǔ)設(shè)施條件和管理體系，作為中國一流的電子認(rèn)證服務(wù)機(jī)構(gòu)和信息安全集成解決方案提供商，竭誠為客戶提供高質(zhì)量的產(chǎn)品和一流的服務(wù)。為了創(chuàng)造一個(gè)可信的網(wǎng)絡(luò)環(huán)境，建立一個(gè)穩(wěn)定的網(wǎng)絡(luò)信任體系，我們將不斷努力，促進(jìn)中國信息安全事業(yè)的繁榮和發(fā)展。

三、CA、數(shù)字證書、數(shù)字簽名

本文介紹 CA、數(shù)字證書和數(shù)字簽名的概念和原理。

數(shù)字簽名，又稱公鑰數(shù)字簽名、電子簽章，是使用公鑰加密技術(shù)實(shí)現(xiàn)的用于鑒別數(shù)字信息的方法。

一套數(shù)字簽名通常定義兩個(gè)互補(bǔ)的運(yùn)算，一個(gè)用于生成簽名，另一個(gè)用于驗(yàn)證簽名。

對(duì)要傳輸?shù)南⒃氖褂孟⒄惴ǎ∕D5 / SHA）生成消息摘要，發(fā)送方使用自己的私鑰對(duì)消息摘要進(jìn)行加密后生成數(shù)字簽名。

數(shù)字簽名同摘要一同傳送給接收方，接收方使用發(fā)送方的公鑰解密數(shù)字簽名還原消息摘要，并對(duì)消息原文使用相同的消息摘要算法（MD5 / SHA）計(jì)算出消息摘要，將這兩個(gè)消息摘要進(jìn)行對(duì)比，如果不同則說明消息在傳輸過程中被篡改過。

數(shù)字簽名依賴于發(fā)送方公鑰的安全性，如何確保公鑰來自真實(shí)的發(fā)送方而非仿造？這就需要依賴于數(shù)字證書。

數(shù)字證書的生成和驗(yàn)證：

接收方收到數(shù)字證書后使用 CA 中心的公鑰對(duì)簽名信息 S 進(jìn)行解密得到摘要 H ，然后對(duì)證書原文 O 執(zhí)行相同的 Hash 運(yùn)算得到摘要 h ，通過 H 和 h 的對(duì)比可以判斷證書內(nèi)容的真實(shí)性和完整性。如果證書原文中的公鑰和身份信息都是 CA 中心的，說明是 CA 自簽名。

證書的格式和驗(yàn)證方法普遍遵循 X.509 國際標(biāo)準(zhǔn)。

公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI），是一組由硬件、軟件、參與者、管理政策與流程組成的基礎(chǔ)架構(gòu)，其目的在于創(chuàng)造、管理、分配、使用、存儲(chǔ)以及撤銷數(shù)字證書。

公鑰基礎(chǔ)設(shè)施借助 數(shù)字證書認(rèn)證機(jī)構(gòu)（CA） 將用戶的個(gè)人身份跟公開密鑰鏈接在一起。

數(shù)字證書認(rèn)證機(jī)構(gòu)（Certificate Authority，縮寫為CA），是負(fù)責(zé)發(fā)放和管理數(shù)字證書的權(quán)威機(jī)構(gòu)，并作為受信任的第三方，承擔(dān)公鑰體系中 公鑰合法性檢驗(yàn) 的責(zé)任。

CA 中心為每個(gè)使用公開密鑰的用戶發(fā)放一個(gè)數(shù)字證書，數(shù)字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。

全球權(quán)威的 CA 中心的證書已被各軟件廠商設(shè)置為 可信任的根證書 。所謂 根證書 是指此證書是受信任的起始點(diǎn)，可以使用此證書來證明其它證書。這些證書被預(yù)置到軟件內(nèi)的過程是未知的，這也是最關(guān)鍵的安全環(huán)節(jié)。

參考： http://www.youdzone.com/signature.html

四、對(duì)稱加密、非對(duì)稱加密、摘要、數(shù)字簽名、數(shù)字證書

作為一個(gè)開發(fā)人員，或多或少都聽說過對(duì)稱加密、非對(duì)稱加密、摘要、數(shù)字簽名、數(shù)字證書這幾個(gè)概念，它們是用來保證在互聯(lián)網(wǎng)通信過程中數(shù)據(jù)傳輸安全的。有人可能會(huì)有疑惑，我給傳輸數(shù)據(jù)加個(gè)密不就安全了，為什么還要搞這么多花樣出來？本文主要通過一個(gè)案例來講解這幾個(gè)概念的實(shí)際作用。

在此之前，我先簡單介紹一下這幾個(gè)概念。

對(duì)稱加密是指用來加密和解密的是同一個(gè)秘鑰。其特點(diǎn)是加密速度快，但是秘鑰容易被黑客截獲，所以安全性不高。常見的有AES、DES算法。

非對(duì)稱加密是指用來加密和解密的是不同的秘鑰，它們是成對(duì)出現(xiàn)的，稱為公鑰和私鑰，知道其中一個(gè)秘鑰是無法推導(dǎo)出另外一個(gè)秘鑰的。用公鑰加密的內(nèi)容需要用私鑰才能解密，用私鑰加密的內(nèi)容需要用公鑰才能解密。非對(duì)稱加密的特點(diǎn)是安全性高，缺點(diǎn)是加密速度慢。常見的有RSA算法。

所謂的摘要就是一段信息或者一個(gè)文件通過某個(gè)哈希算法(也叫摘要算法)而得到的一串字符。摘要算法的特點(diǎn)就是不同的文件計(jì)算出的摘要是不同的(也有可能相同，但是可能性非常非常低)，比如一個(gè)1G的視頻文件，哪怕只是改動(dòng)其中一個(gè)字節(jié)，最后計(jì)算得到的摘要也是完全不同的，所以摘要算法通常是用來判斷文件是否被篡改過。其還有一個(gè)特點(diǎn)就是通過摘要是無法推導(dǎo)出源文件的信息的。常用的摘要算法有MD5、SHA等。

數(shù)字簽名就是一個(gè)文件的摘要加密后的信息。數(shù)字簽名是和源文件一起發(fā)送給接收方的，接收方收到后對(duì)文件用摘要算法算出一個(gè)摘要，然后和數(shù)字簽名中的摘要進(jìn)行比對(duì)，兩者不一致的話說明文件被篡改了。

數(shù)字證書是一個(gè)經(jīng)證書授權(quán)中心生成的文件，數(shù)字證書里一般會(huì)包含公鑰、公鑰擁有者名稱、CA的數(shù)字簽名、有效期、授權(quán)中心名稱、證書序列號(hào)等信息。其中CA的數(shù)字簽名是驗(yàn)證證書是否被篡改的關(guān)鍵，它其實(shí)就是對(duì)證書里面除了CA的數(shù)字簽名以外的內(nèi)容進(jìn)行摘要算法得到一個(gè)摘要，然后CA機(jī)構(gòu)用他自己的私鑰對(duì)這個(gè)摘要進(jìn)行加密就生成了CA的數(shù)字簽名，CA機(jī)構(gòu)會(huì)公開它的公鑰，驗(yàn)證證書時(shí)就是用這個(gè)公鑰解密CA的數(shù)字簽名，然后用來驗(yàn)證證書是否被篡改。

場(chǎng)景：

張三要找人裝修一個(gè)房子，原則是誰的出價(jià)便宜就給誰裝修，所以對(duì)于報(bào)價(jià)文件就是屬于機(jī)密文件。下面我們來看下不同的方式傳輸報(bào)價(jià)文件都會(huì)有什么風(fēng)險(xiǎn)。

現(xiàn)在李四想接這個(gè)裝修的活，他做了一份報(bào)價(jià)文件(文件名: lisi.txt ，文件內(nèi)容: 報(bào)價(jià)50萬 )。然后李四用一個(gè)對(duì)稱秘鑰 123 對(duì)這個(gè)文件進(jìn)行加密。最后李四將這個(gè)秘鑰和加密的文件發(fā)給張三，張三收到后用這個(gè)秘鑰解密，知道了李四的報(bào)價(jià)是50萬。

同時(shí)王五也想接這個(gè)裝修的活，他本來是想報(bào)價(jià)55萬的，但是又擔(dān)心報(bào)價(jià)太高而丟掉這個(gè)活。恰巧王五是個(gè)黑客高手，于是他截獲了李四發(fā)給張三的秘鑰和加密文件，知道了李四報(bào)價(jià)是50萬。最后王五將自己的報(bào)價(jià)改成了49萬發(fā)給張三，結(jié)果王五接下了這個(gè)裝修活。

結(jié)論：

用對(duì)稱加密的話，一旦秘鑰被黑客截獲，加密就形同虛設(shè)，所以安全性比較低。

首先張三會(huì)生成一對(duì)秘鑰，私鑰是 zhangsan1 ，公鑰是 zhangsan2 ，私鑰張三自己保存，將公鑰公布出去。

李四將報(bào)價(jià)文件 list.txt 用張三公布的公鑰 zhangsan2 進(jìn)行加密后傳給張三，然后張三用私鑰 zhangsan1 進(jìn)行解密得到李四的報(bào)價(jià)是50萬。

這個(gè)時(shí)候即使王五截獲到了李四發(fā)給張三的報(bào)價(jià)文件，由于王五沒有張三的私鑰，所以他是無法解密文件的，也就無法知道李四的報(bào)價(jià)。最后王五因?yàn)閳?bào)價(jià)55萬而丟掉了這個(gè)裝修的機(jī)會(huì)。

所以用非對(duì)稱加密是可以保證數(shù)據(jù)傳輸安全的。不過這里說一句題外話，既然非對(duì)稱加密安全性高，那為什么不淘汰掉對(duì)稱加密呢？其實(shí)關(guān)鍵就在于加密速度，非對(duì)稱加密計(jì)算量很大，所以加密速度是很慢的，如果發(fā)送消息非常頻繁，使用非對(duì)稱加密的話就會(huì)對(duì)性能造成很大影響。所以在實(shí)際開發(fā)過程中通常是對(duì)稱加密和非對(duì)稱加密結(jié)合使用的。也就是對(duì)稱加密的秘鑰是用非對(duì)稱加密后發(fā)送的，這樣能保證對(duì)稱加密的秘鑰不被黑客截獲，然后在發(fā)送業(yè)務(wù)數(shù)據(jù)時(shí)就用對(duì)稱加密。這樣既保證了安全性也保證了加密速度。

結(jié)論：

非對(duì)稱加密可以防止黑客截獲加密后的內(nèi)容，安全性高。

前面都說了非對(duì)稱加密是安全的，那為什么還要數(shù)字簽名呢？

設(shè)想一下，王五截獲了李四的報(bào)價(jià)文件，王五雖然無法知道李四的實(shí)際報(bào)價(jià)，但是他完全可以偽造一份李四的報(bào)價(jià)(文件名: lisi.txt ，文件內(nèi)容: 報(bào)價(jià)60萬 )，然后將這份偽造文件用張三公布的公鑰 zhangsan2 進(jìn)行加密后替換原來的報(bào)價(jià)文件。張三收到后解密發(fā)現(xiàn)報(bào)價(jià)是60萬，于是張三就以為李四報(bào)的價(jià)是60萬，最后決定將裝修的活給報(bào)價(jià)55萬的王五來做。

發(fā)生這個(gè)問題的關(guān)鍵就在于張三無法知道報(bào)價(jià)文件是否被篡改過。要解決這個(gè)問題就需要用到數(shù)字簽名。

首先李四需要自己生成一對(duì)非對(duì)稱加密的秘鑰，私鑰 lisi1 自己保存，公鑰 lisi2 發(fā)給張三。然后李四對(duì)自己的報(bào)價(jià)文件通過摘要算法得到一個(gè)摘要(假設(shè)摘要是 aaa )，再用自己的私鑰 lisi1 加密這個(gè)摘要就得到了報(bào)價(jià)文件的數(shù)字簽名，最后將加密的報(bào)價(jià)文件和數(shù)字簽名一起發(fā)給張三，張三收到后先用李四發(fā)過來的公鑰 lisi2 解密數(shù)字簽名得到摘要 aaa ，然后用自己的私鑰 zhangsan1 解密加密的文件得到報(bào)價(jià)源文件，然后對(duì)報(bào)價(jià)源文件進(jìn)行摘要算法，看計(jì)算得到的結(jié)果是不是 aaa ，如果不是 aaa 的話就說明報(bào)價(jià)文件被篡改了。

在這種情況下，如果王五截獲了李四發(fā)給張三的文件。王五是無法解密報(bào)價(jià)文件的。如果王五偽造一份報(bào)價(jià)文件的話，等張三收到后就會(huì)發(fā)現(xiàn)報(bào)價(jià)文件和數(shù)字簽名不匹配。那王五能不能偽造報(bào)價(jià)文件的同時(shí)也偽造簽名呢？因?yàn)橥跷鍥]有李四的私鑰，所以沒法對(duì)偽造的報(bào)價(jià)文件的摘要進(jìn)行加密，所以也就沒法偽造簽名。

結(jié)論：

非對(duì)稱加密雖然能確保加密文件內(nèi)容不被竊取，但不能保證文件不被篡改。數(shù)字簽名就是用來驗(yàn)證文件是否被篡改過。

既然非對(duì)稱加密可以保證文件內(nèi)容的安全性，數(shù)字簽名又可以保證文件不被篡改，那還要數(shù)字證書有什么用呢？

我們?cè)賮碓O(shè)想一下，王五自己也生成了一對(duì)用于非對(duì)稱加密的秘鑰，私鑰是 wangwu1 ，公鑰是 wangwu2 。前面李四將自己的公鑰 lisi2 發(fā)給張三的過程中被王五給截獲了，王五用自己的公鑰 wangwu2 替換了李四的公鑰 lisi2 ，所以張三最后收到的公鑰實(shí)際上是王五的，但張三對(duì)這并不知情。后面李四發(fā)的數(shù)字簽名和加密的報(bào)價(jià)文件都被王五截獲，并且王五偽造了一份報(bào)價(jià)文件，同時(shí)用自己的私鑰加密報(bào)價(jià)文件的摘要生成偽造的簽名并發(fā)給張三，張三收到后進(jìn)行驗(yàn)證發(fā)現(xiàn)數(shù)字簽名和報(bào)價(jià)文件是匹配的，就以為這份報(bào)價(jià)文件是真實(shí)的。

出現(xiàn)這個(gè)問題的關(guān)鍵就在于張三沒法確認(rèn)收到的公鑰到底是不是李四發(fā)的，這個(gè)時(shí)候數(shù)字證書就起到作用了。李四到權(quán)威的數(shù)字證書機(jī)構(gòu)申請(qǐng)數(shù)字證書，證書里面包含了公鑰( lisi2 )和公鑰的擁有者( 李四 )等相關(guān)信息，然后李四將證書發(fā)給張三，張三通過證書里面的信息就可以知道公鑰到底是不是李四的了。

那證書在發(fā)送過程中有沒有可能被王五截獲并篡改呢？要知道證書里面還包含CA的數(shù)字簽名，這個(gè)簽名是證書機(jī)構(gòu)用他們自己的私鑰對(duì)證書的摘要進(jìn)行加密的，而公鑰是公開的。所以即便王五截獲并篡改了證書內(nèi)容，他也無法偽造證書機(jī)構(gòu)的簽名，張三在收到證書后通過驗(yàn)證簽名也會(huì)發(fā)現(xiàn)證書被篡改了。所以到這一步才能保證數(shù)據(jù)傳輸?shù)恼嬲踩?/p>

以上就是小編對(duì)于數(shù)字證書的概念問題和相關(guān)問題的解答了，如有疑問，可撥打網(wǎng)站上的電話，或添加微信。