0


数字证书:签名证书&加密证书

数字证书:签名证书&加密证书

首先介绍一下基础技术铺垫

数字证书是基于认证机构(可信第三方)实现的,若不懂请复习PKI相关知识,我国为了加强对数据机密性的管控,采用双证书体系(签名证书&加密证书),签名密钥对由用户自己产生,而加密密钥对则是由KMC(密钥管理中心)生成。
——————————————————————————————————————————

这里可以复习一下数字签名和数字证书的知识

数字签名是为了实现不可否认性或者叫抗抵赖性的一种技术,是使用自己的私钥进行签名,验证方用发送方的公钥对其进行验证,来确认发送方的身份。
但这个过程存在一定问题,这个公钥怎么确定是发送方的呢?存在中间人攻击的问题。
那么数字证书的出现,就解决了这个问题,数字证书是基于认证机构(可信第三方)进行认证,也就是PKI体系,前提是这个第三方是可信的,第三方也有一对公私钥,用其私钥对发起认证方的基本信息及公钥进行签名,上述的验证方就可以使用认证机构的公钥进行验证,来确定这个发送方公钥来源的真实性。

进入正题:什么是加密证书和签名证书?

数字证书可分为签名证书和加密证书。
签名证书主要用于对用户信息进行签名,以保证信息的有效性和不可否认性;
加密证书主要用于对用户传送信息进行加密,以保证信息的保密性和完整性。
每个证书都包含一对密钥即签名公钥和签名私钥,加密公钥和加密私钥,将签名证书和加密证书的公钥公布于外。
签名时,用签名证书的私钥进行签名,其他用户可以利用公布于外网的签名公钥对签名进行验证。
加密时,用户B利用用户A公布于外网的加密公钥对信息进行加密传送给用户A,用户A利用自己的加密私钥对加密后的信
息进行解密得到完整的明文信息。

下面是引用其它文章对国内双证书的介绍

既然单证书可以搞定一切,为何要使用双证书?
原文链接:https://blog.csdn.net/slikel/article/details/84288936

逻辑上:
如果签名私钥遗失,大不了用户再产生一对,并无多大影响,因此签名密钥没必要交给CA;

如果加密密钥遗失,别人发过来的信息我就没办法解密了,必须从CA那里获取存根。

单证书的话,如果私钥丢了,你如何恢复之前得到的信息呢?

因此从道理上来说两个密钥具有不同的属性,逻辑上应该分开处理。

安全性上:

单证书增加了用户签名被伪造的风险

国家意志:

国家要保证必要的时候有能力对某些通讯进行监控,如果采用单证书,除了自己谁也无法解密(理论上啦),不利于国家安全。因此很多国家法律规定使用双证书。

双证书签发流程:

虽然是双密钥和双证书,从流程上来看,一遍流程即可搞定。

1,用户产生签名密钥对,发送证书请求给RA/CA(请求中包含1个公钥)

2,RA/CA向KMC请求加密密钥对

3,签发两张证书,连同加密密钥一起发送给用户(采用签名证书加密)

4,用户使用自己的签名私钥解密,获得两张证书+加密密钥。

标签: 安全

本文转载自: https://blog.csdn.net/weixin_44535758/article/details/124960703
版权归原作者 walle2.2 所有, 如有侵权,请联系我们删除。

“数字证书:签名证书&加密证书”的评论:

还没有评论