數字證書學習筆記

Pki

公共密鑰基礎結構，加密方法標準

應用：例：https://

加密技術：

對稱加密：

加密密鑰與解密密鑰是同一個密鑰（key），不適合在網絡中使用，因為密鑰必須由加密方發給解密方，有可能被截獲。

密鑰維護量大，因為任意兩個通訊對象都需要一個密鑰。N*(n-1)/2

優勢是加密效率高。

非對稱加密：

公鑰、私鑰成對使用，一方加密，另一方解密。公鑰推導不出私鑰，但在數學上是有關聯的，它們由一個隨機數利用不同的函數公式計算生成。

每個用戶僅需要一個密鑰對，適合互聯網使用

缺點是加密效率低。

安全性由密鑰長度決定的

56位密鑰破解需3.5或21分鐘

128位密鑰破解需5.4*10 18次方式年

安全標準：

1.       成本標準：成本高于收益

2.       時間有效期：數據失效后被破解

非對稱加密細節：

發送方：

用對稱密鑰加密文件數據（效率高），用公鑰加密對稱密鑰。一并發送給接收方。

接收方：

用私鑰解密對稱密鑰，用對稱密鑰解密文件數據。

優勢：效率高，安全性好

數字簽名：

作用：防止簽名者抵賴，接收方確信信息來源，信息內容不能更改

細節：私鑰簽名，公鑰確認

      對要傳輸的文件進行哈希計算，得到一固定散列值（也稱“摘要”），或稱作該文件的“指紋”，發送方用自己的私鑰對“摘要”加密（簽名），把加密后的摘要、公鑰、文件數據三者一并發給接收方（不保證信息加密，但能保確認信息是由誰發出的）。

     接受方收到后，用哈希算法得到所接收文件的“摘要”，用收到的公鑰解密收到的已經加密的摘要，兩者對照，如果一致說明接收的文件確是發送方發送的且內容沒有被篡改。

如果有對方的公鑰，才可以向對方發送加密文件（用對方的公鑰加密）。沒有則不可以。

只有有私鑰時，才可以進行數字簽名。數字簽名目的不是使文件內容保密，只是為了驗證發送方是誰、發送內容不能更改、不能否認

既簽名又加密：

把加密后的摘要、自己的公鑰、文件數據三者用對方（接收方）的公鑰加密

摘要用自己的私鑰加密，起到數字簽名的作用。三者用對方的公鑰加密，達到了加密的目的。

證書頒發機構CA：身份公立，不參與商業組織，不以盈利為目的，它有自已的公鑰和私鑰

在計算機中非對稱密鑰是以數字證書的形式存在的。

單位可以用自己的資料向該CA機構發出申請，CA機構對單位資料進行真實性核實。確認無誤后，CA機構向申請單位發送由CA機構簽名的數字證書（公鑰私鑰）。此時申請單位的公鑰和私鑰中總是保存有CA機構的數字簽名。當它用自己的私鑰加密文件或摘要時，總攜帶有CA機構的數字簽名。接受方通過持有的CA機構的公鑰就可以驗證發送方的公鑰是否真實合法。

所以用CA的公鑰驗證發送方的公鑰中CA的私鑰簽名（以此來確定發送方的公鑰是否真實）是信任發送方的大前提。

數字證書

內容

CRL分發點：是吊銷證書列表，客戶端可以訪問該機構的吊銷證書列表，以確定發送方的證書是否已經被聲明吊銷（作廢），如果已經吊銷，則不再信任發送端！

主題：是使用者的信息

通俗地講：頒證機構頒發給用戶的是密鑰對及附加在其上的CA機構簽名，并且CA機構在互聯網上是可查的。

CA種類：

企業CA:在域環境中為域中的用戶和計算機頒發證書。不需要管理員頒發。頒發者在線！

獨立CA:為互聯網上的用戶和企業頒證，開放式。根頒發機構可以離線。提供證書吊銷列表的CA必須在線.

根CA:一般給子CA發證

子CA:給用戶發證。

企業中如何使用PKI技術實現安全：

企業CA可以做為獨立CA的子CA,(企業向獨立CA申請發證)，企業CA再向企業內部部門頒發證書，只要部門信任獨立CA就可以了，部門也可以此CA向企業外的部門發送數據，企業外部門信任獨立CA即可。

強制刷新組策略：

運行  gpupdate /force

只能用申請數字證書時綁定的郵箱發送簽名和加密的郵件。否則無法簽名或加密。

數字證書導出時，必須導出私鑰，防止機器重新安裝系統或損壞導致證書丟失！