數(shù)字證書學(xué)習(xí)筆記

Pki

公共密鑰基礎(chǔ)結(jié)構(gòu)，加密方法標(biāo)準(zhǔn)

應(yīng)用：例：https://

加密技術(shù)：

對(duì)稱加密：

加密密鑰與解密密鑰是同一個(gè)密鑰（key），不適合在網(wǎng)絡(luò)中使用，因?yàn)槊荑€必須由加密方發(fā)給解密方，有可能被截獲。

密鑰維護(hù)量大，因?yàn)槿我鈨蓚€(gè)通訊對(duì)象都需要一個(gè)密鑰。N*(n-1)/2

優(yōu)勢是加密效率高。

非對(duì)稱加密：

公鑰、私鑰成對(duì)使用，一方加密，另一方解密。公鑰推導(dǎo)不出私鑰，但在數(shù)學(xué)上是有關(guān)聯(lián)的，它們由一個(gè)隨機(jī)數(shù)利用不同的函數(shù)公式計(jì)算生成。

每個(gè)用戶僅需要一個(gè)密鑰對(duì)，適合互聯(lián)網(wǎng)使用

缺點(diǎn)是加密效率低。

安全性由密鑰長度決定的

56位密鑰破解需3.5或21分鐘

128位密鑰破解需5.4*10 18次方式年

安全標(biāo)準(zhǔn)：

1.       成本標(biāo)準(zhǔn)：成本高于收益

2.       時(shí)間有效期：數(shù)據(jù)失效后被破解

非對(duì)稱加密細(xì)節(jié)：

發(fā)送方：

用對(duì)稱密鑰加密文件數(shù)據(jù)（效率高），用公鑰加密對(duì)稱密鑰。一并發(fā)送給接收方。

接收方：

用私鑰解密對(duì)稱密鑰，用對(duì)稱密鑰解密文件數(shù)據(jù)。

優(yōu)勢：效率高，安全性好

數(shù)字簽名：

作用：防止簽名者抵賴，接收方確信信息來源，信息內(nèi)容不能更改

細(xì)節(jié)：私鑰簽名，公鑰確認(rèn)

      對(duì)要傳輸?shù)奈募M(jìn)行哈希計(jì)算，得到一固定散列值（也稱“摘要”），或稱作該文件的“指紋”，發(fā)送方用自己的私鑰對(duì)“摘要”加密（簽名），把加密后的摘要、公鑰、文件數(shù)據(jù)三者一并發(fā)給接收方（不保證信息加密，但能保確認(rèn)信息是由誰發(fā)出的）。

     接受方收到后，用哈希算法得到所接收文件的“摘要”，用收到的公鑰解密收到的已經(jīng)加密的摘要，兩者對(duì)照，如果一致說明接收的文件確是發(fā)送方發(fā)送的且內(nèi)容沒有被篡改。

如果有對(duì)方的公鑰，才可以向?qū)Ψ桨l(fā)送加密文件（用對(duì)方的公鑰加密）。沒有則不可以。

只有有私鑰時(shí)，才可以進(jìn)行數(shù)字簽名。數(shù)字簽名目的不是使文件內(nèi)容保密，只是為了驗(yàn)證發(fā)送方是誰、發(fā)送內(nèi)容不能更改、不能否認(rèn)

既簽名又加密：

把加密后的摘要、自己的公鑰、文件數(shù)據(jù)三者用對(duì)方（接收方）的公鑰加密

摘要用自己的私鑰加密，起到數(shù)字簽名的作用。三者用對(duì)方的公鑰加密，達(dá)到了加密的目的。

證書頒發(fā)機(jī)構(gòu)CA：身份公立，不參與商業(yè)組織，不以盈利為目的，它有自已的公鑰和私鑰

在計(jì)算機(jī)中非對(duì)稱密鑰是以數(shù)字證書的形式存在的。

單位可以用自己的資料向該CA機(jī)構(gòu)發(fā)出申請(qǐng)，CA機(jī)構(gòu)對(duì)單位資料進(jìn)行真實(shí)性核實(shí)。確認(rèn)無誤后，CA機(jī)構(gòu)向申請(qǐng)單位發(fā)送由CA機(jī)構(gòu)簽名的數(shù)字證書（公鑰私鑰）。此時(shí)申請(qǐng)單位的公鑰和私鑰中總是保存有CA機(jī)構(gòu)的數(shù)字簽名。當(dāng)它用自己的私鑰加密文件或摘要時(shí)，總攜帶有CA機(jī)構(gòu)的數(shù)字簽名。接受方通過持有的CA機(jī)構(gòu)的公鑰就可以驗(yàn)證發(fā)送方的公鑰是否真實(shí)合法。

所以用CA的公鑰驗(yàn)證發(fā)送方的公鑰中CA的私鑰簽名（以此來確定發(fā)送方的公鑰是否真實(shí)）是信任發(fā)送方的大前提。

數(shù)字證書

內(nèi)容

CRL分發(fā)點(diǎn)：是吊銷證書列表，客戶端可以訪問該機(jī)構(gòu)的吊銷證書列表，以確定發(fā)送方的證書是否已經(jīng)被聲明吊銷（作廢），如果已經(jīng)吊銷，則不再信任發(fā)送端！

主題：是使用者的信息

通俗地講：頒證機(jī)構(gòu)頒發(fā)給用戶的是密鑰對(duì)及附加在其上的CA機(jī)構(gòu)簽名，并且CA機(jī)構(gòu)在互聯(lián)網(wǎng)上是可查的。

CA種類：

企業(yè)CA:在域環(huán)境中為域中的用戶和計(jì)算機(jī)頒發(fā)證書。不需要管理員頒發(fā)。頒發(fā)者在線！

獨(dú)立CA:為互聯(lián)網(wǎng)上的用戶和企業(yè)頒證，開放式。根頒發(fā)機(jī)構(gòu)可以離線。提供證書吊銷列表的CA必須在線.

根CA:一般給子CA發(fā)證

子CA:給用戶發(fā)證。

企業(yè)中如何使用PKI技術(shù)實(shí)現(xiàn)安全：

企業(yè)CA可以做為獨(dú)立CA的子CA,(企業(yè)向獨(dú)立CA申請(qǐng)發(fā)證)，企業(yè)CA再向企業(yè)內(nèi)部部門頒發(fā)證書，只要部門信任獨(dú)立CA就可以了，部門也可以此CA向企業(yè)外的部門發(fā)送數(shù)據(jù)，企業(yè)外部門信任獨(dú)立CA即可。

強(qiáng)制刷新組策略：

運(yùn)行  gpupdate /force

只能用申請(qǐng)數(shù)字證書時(shí)綁定的郵箱發(fā)送簽名和加密的郵件。否則無法簽名或加密。

數(shù)字證書導(dǎo)出時(shí)，必須導(dǎo)出私鑰，防止機(jī)器重新安裝系統(tǒng)或損壞導(dǎo)致證書丟失！