数字证书的原理是什么(数字证书的定义和作用)
.png)
数字证书的原理是什么,数字证书的定义和作用
内容导航:
一、数字证书的工作原理
数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。在公开密钥密码体制中,常用的一种是RSA体制。其数学原理是将一个大数分解成两个质数的乘积,加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥(公开密钥),想要推导出解密密钥(私密密钥),在计算上是不可能的。按当下计算机技术水平,要破解1024位RSA密钥,需要上千年的计算时间。公开密钥技术解决了密钥发布的管理问题,商户可以公开其公开密钥,而保留其私有密钥。购物者可以用人人皆知的公开密钥对发送的信息进行加密,安全地传送给商户,然后由商户用自己的私有密钥进行解密。用户也可以采用自己的私钥对信息加以处理,由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。采用数字签名,能够确认以下两点:保证信息是由签名者自己签名发送的,签名者不能否认或难以否认。保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。
二、数字证书的原理是什么
有哪些应用?一、数字证书的原理:数字证书采用公钥密码体制,即利用一对互相匹配的密钥进行加密、解密。
每个用户拥有一把仅为本人所掌握的私有密钥(私钥),用它进行解密和签名;同时拥有一把公共密钥(公钥)并可以对外公开,用于加密和验证签名。
当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样,信息就可以安全无误地到达目的地了,即使被第三方截获,由于没有相应的私钥,也无法进行解密。
通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。
在公开密钥密码体制中,常用的一种是RSA体制。
用户也可以采用自己的私钥对信息加以处理,由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。
采用数字签名,能够确认以下两点:
- (1)保证信息是由签名者自己签名发送的,签名者不能否认或难以否认;
(2)保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。
数字证书的作用数字证书可用于发送安全电子邮件、访问安全站点、网上证券、网上招标采购、网上签约、网上办公、网上缴费、网上税务等网上安全电子事务处理和安全电子交易活动。
数字证书的格式一般采用X.509国际标准。
二、数字证书的功能信息保密性交易中的商务信息均有保密的要求。
如信用卡的帐号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。
而CA中心颁发的数字安全证书保证了电子商务的信息传播中信息的保密。身份确定性网上交易的双方很可能素昧平生,相隔千里。
要使交易成功首先要能确认对方的身份,对商家要考虑 客户端不能是骗子,而客户也会担心网上的商店不是一个玩弄欺诈的黑店。
因此能方便而可靠地确认对方身份是交易的前提。
对于为顾客或用户开展服务的银行、信用卡公司和销售商店,为了做到安全、保密、可靠地开展服务活动,都要进行身份认证的工作。
而CA中心颁发的电子签名可保证网上交易双方的身份,银行和信用卡公司可以通过CA认证确认身份,放心的开展网上业务。不可否认性由于商情的千变万化,交易一旦达成是不能被否认的。
否则必然会损害一方的利益。
例如订购黄金, 订货时金价较低,但收到订单后,金价上涨了,如收单方能否认受到订单的实际时间,甚至否认收到订单的事实,则订货方就会蒙受损失。
因此CA中心颁发的数字安全证书确保了电子交易通信过程的各个环节的不可否认性,使交易双方的利益不受到损害。不可篡改性交易的文件是不可被修改的,如上例所举的订购黄金。
供货单位在收到订单后,发现金价大幅上涨了,如其能改动文件内容,将订购数1吨改为1克,则可大幅受益,那么订货单位可能就会因此而蒙受损失。
因此CA中心颁发的数字安全证书也确保了电子交易文件的不可修改性,以保障交易的严肃和公正。
数字证书认证中心(certficate authority,ca)就是一个负责发放和管理数字证书的权威机构。
对于一个大型的应用环境,认证中心往往采用一种多层次的分级结构,各级的认证中心类似于各级行政机关,上级认证中心负责签发和管理下级认证中心的证书,最下一级的认证中心直接面向最终用户。
数字安全证书利用一对互相匹配的密钥进行加密、解密。
每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。
当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。
通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。
在公开密钥密码体制中,常用的一种是rsa体制。
其数学原理是将一个大数分解成两个质数的乘积,加密和解密用的是两个不同的密钥。
即使已知明文、密文和加密密钥(公开密钥),想要推导出解密密钥(私密密钥),在计算上是不可能的。
按现在的计算机技术水平,要破解目前采用的1024位rsa密钥,需要上千年的计算时间。
公开密钥技术解决了密钥发布的管理问题,商户可以公开其公开密钥,而保留其私有密钥。
购物者可以用人人皆知的公开密钥对发送的信息进行加密,安全地传送以商户,然后由商户用自己的私有密钥进行解密。
用户也可以采用自己的私钥对信息加以处理,由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。
采用数字签名,能够确认以下两点: (1) 保证信息是由签名者自己签名发送的,签名者不能否认或难以否认; (2)
保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。
三、数字证书工作原理是什么
答:数字证书工作原理编辑数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密
四、数字证书的基本原理是什么
egates问的是数字证书,而非数字签名,这两者经常相关联,但不是一个概念。
数字证书是数字形式的标识,与护照或驾驶员执照十分相似。
数字证书是数字凭据,它提供有关实体标识的信息以及其他支持信息。
数字证书是由成为证书颁发机构(CA)的权威机构颁发的。
由于数字证书有证书权威机构颁发,因此由该权威机构担保证书信息的有效性。
此外,数字证书只在特定的时间段内有效。
数字证书包含证书中所标识的实体的公钥(就是说你的证书里有你的公钥),由于证书将公钥与特定的个人匹配,并且该证书的真实性由颁发机构保证(就是说可以让大家相信你的证书是真的),因此,数字证书为如何找到用户的公钥并知道它是否有效这一问题提供了解决方案。
至于这个公钥有何用则属于另一个主题:公钥加密。
也解释一下吧。
公钥加密属于“非对称密钥”加密,为了解释得更清楚,先说下“对称密钥”加密。
举个例子,如果发件人希望加密邮件,那么发件人需要知道纯文本中的字母 A 的每个实例都将被密钥更改为密码中的字母 D;纯文本中的字母 B
的每个实例都将更改为密码中的字母 E,依此类推。
使用此密钥(采用“将字母前移三位”的算法),纯文本中的单词“help”将加密为“khos”密码。
当收件人收到密码邮件时,需要将它重新转换为纯文本,方法是使用密钥来解密信息,在本例中即是将字母后移三位,从而撤消更改。
在本例中,发件人和收件人必须将密钥保存在隐秘的地方,因为任何知道密钥的人都可以使用它来解密并阅读邮件。
密钥丢失会使得加密变得毫无价值。
此外,算法的强度也很重要。
未经授权的一方可以获取加密后的密码,并通过根据密码来确定密钥的方法,设法破解加密。
请注意,发件人和收件人使用的是相同的密钥。
此类加密称为“对称密钥”加密,因为双方使用相同的密钥。
注意这个示例中,算法强度相当小。
我们所说的“公钥加密”是使用两个密钥,而不是使用一个共享的密钥。
一个密钥(称为“私钥”)是保密的。
它只能由一方保存,而不能各方共享。
第二个密钥(称为“公钥”)不是保密的,可以广泛共享。
这两个密钥(称为“密钥对”)在加密和解密操作中配合使用。
密钥对具有特殊的互补关系,从而使每个密钥都只能与密钥对中的另一个密钥配合使用。
这一关系将密钥对中的密钥彼此唯一地联系在一起:公钥与其对应的私钥组成一对,并且与其他任何密钥都不关联。
由于公钥和私钥的算法之间存在特殊的数学关系,从而使得这种配对成为可能。
密钥对在数学上彼此相关,例如,配合使用密钥对可以实现两次使用对称密钥的效果。
密钥必须配合使用:不能使用每个单独的密钥来撤消它自己的操作。
这意味着每个单独密钥的操作都是单向操作:不能使用一个密钥来撤消它的操作。
此外,设计两个密钥使用的算法时,特意设计无法使用一个密钥确定密钥对中的另一个密钥。
因此,不能根据公钥确定出私钥。
但是,使得密钥对成为可能的数学原理也使得密钥对具有对称密钥所不具有的一个缺点。
这就是,所使用的算法必须足够强大,才能使人们无法通过强行尝试,使用已知的公钥来解密通过它加密的信息。
公钥利用数学复杂性以及它的单向特性来弥补它是众所周知的这样一个事实,以防止人们成功地破解使用它编码的信息。
如果将此概念应用于前面的示例,则发件人将使用公钥将纯文本加密成密码。
然后,收件人将使用私钥将密码重新解密成纯文本。
由于密钥对中的私钥和公钥之间所存在的特殊关系,因此一个人可以在与许多人交往时使用相同的密钥对,而不必与每个人分别使用不同的密钥。
只要私钥是保密的,就可以随意分发公钥,并让人们放心地使用它。
使许多人使用同一个密钥对代表着密码学上的一个重大突破,因为它显著降低了密钥管理的需求,大大提高了密码学的可用性。
用户可以与任意数目的人员共享一个密钥对,而不必为每个人单独设立一个密钥。
(等待3点的球赛,无聊中)pki数字签名采用了双重加密的方法来实现防伪、防赖。
其原理为:(1) 被发送文件用SHA编码加密产生128bit的数字摘要(见上节)。
(2) 发送方用自己的私用密钥对摘要再加密,这就形成了数字签名。
(3) 将原文和加密的摘要同时传给对方。
(4) 对方用发送方的公共密钥对摘要解密,同时对收到的文件用SHA编码加密产生又一摘要。
(5) 将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互对比。
如两者一致,则说明传送过程中信息没有被破坏或篡改过。
否则不然。
所谓”数字签名”就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名,来代替书写签名或印章,对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证而无法比拟的。
“数字签名”是目前电子商务、电子政务中应用最普遍、技术最成熟的、可操作性最强的一种电子签名方法。
它采用了规范化的程序和科学化的方法,用于鉴定签名人的身份以及对一项电子数据内容的认可。
它还能验证出文件的原文在传输过程中有无变动,确保传输电子文件的完整性、真实性和不可抵赖性。
数字签名在ISO7498-2标准中定义为:”附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)进行伪造”。
美国电子签名标准(DSS,FIPS186-2)对数字签名作了如下解释:”利用一套规则和一个参数对数据计算所得的结果,用此结果能够确认签名者的身份和数据的完整性”。
按上述定义PKI(Public Key Infrastructino
公钥基础设施)提供可以提供数据单元的密码变换,并能使接收者判断数据来源及对数据进行验证。
PKI的核心执行机构是电子认证服务提供者,即通称为认证机构CA(Certificate Authority),PKI签名的核心元素是由CA签发的数字证书。
它所提供的PKI服务就是认证、数据完整性、数据保密性和不可否认性。
它的作法就是利用证书公钥和与之对应的私钥进行加/解密,并产生对数字电文的签名及验证签名。
数字签名是利用公钥密码技术和其他密码算法生成一系列符号及代码组成电子密码进行签名,来代替书写签名和印章;这种电子式的签名还可进行技术验证,其验证的准确度是在物理世界中对手工签名和图章的验证是无法比拟的。
这种签名方法可在很大的可信PKI域人群中进行认证,或在多个可信的PKI域中进行交叉认证,它特别适用于互联网和广域网上的安全认证和传输。
参考资料:/resource/R08/什么是数字签名?数字签名与电子签名是不是一回事?
电子签名和数字签名的内涵并不一样,数字签名是电子签名技术中的一种,不过两者的关系也很密切,目前电子签名法中提到的签名,一般指的就是”数字签名”。
电子签名 要理解什么是电子签名,需要从传统手工签名或盖印章谈起。
在传统商务活动中,为了保证交易的安全与真实,一份书面合同或公文要由当事人或其负责人签字、盖章,以便让交易双方识别是谁签的合同,保证签字或盖章的人认可合同的内容,在法律上才能承认这份合同是有效的。
而在电子商务的虚拟世界中,合同或文件是以电子文件的形式表现和传递的。
在电子文件上,传统的手写签名和盖章是无法进行的,这就必须依技术手段来替代。
能够在电子文件中识别双方交易人的真实身份,保证交易的安全性和真实性以及不可抵懒性,起到与手写签名或者盖章同等作用的签名的电子技术手段,称之为电子签名。
从法律上讲,签名有两个功能:即标识签名人和表示签名人对文件内容的认可。
联合国贸发会的《电子签名示范法》中对电子签名作如下定义:”指在数据电文中以电子形式所含、所附或在逻辑上与数据电文有联系的数据它可用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所含信息”;在欧盟的《电子签名共同框架指令》中就规定?quot;以电子形式所附或在逻辑上与其他电子数据相关的数据,作为一种判别的方法”称电子签名。
实现电子签名的技术手段有很多种,但目前比较成熟的,世界先进国家普遍使用的电子签名技术还是”数字签名”技术。
由于保持技术中立性是制订法律的一个基本原则,目前还没有任何理由说明公钥密码理论是制作签名的唯一技术,因此有必要规定一个更一般化的概念以适应今后技术的发展。
但是,目前电子签名法中提到的签名,一般指的就是”数字签名”。
数字签名
所谓”数字签名”就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名,来代替书写签名或印章,对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证而无法比拟的。
“数字签名”是目前电子商务、电子政务中应用最普遍、技术最成熟的、可操作性最强的一种电子签名方法。
它采用了规范化的程序和科学化的方法,用于鉴定签名人的身份以及对一项电子数据内容的认可。
它还能验证出文件的原文在传输过程中有无变动,确保传输电子文件的完整性、真实性和不可抵赖性。
数字签名在ISO7498-2标准中定义为:”附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)进行伪造”。
美国电子签名标准(DSS,FIPS186-2)对数字签名作了如下解释:”利用一套规则和一个参数对数据计算所得的结果,用此结果能够确认签名者的身份和数据的完整性”。
按上述定义PKI(Public Key Infrastructino
公钥基础设施)提供可以提供数据单元的密码变换,并能使接收者判断数据来源及对数据进行验证。
PKI的核心执行机构是电子认证服务提供者,即通称为认证机构CA(Certificate Authority),PKI签名的核心元素是由CA签发的数字证书。
它所提供的PKI服务就是认证、数据完整性、数据保密性和不可否认性。
它的作法就是利用证书公钥和与之对应的私钥进行加/解密,并产生对数字电文的签名及验证签名。
数字签名是利用公钥密码技术和其他密码算法生成一系列符号及代码组成电子密码进行签名,来代替书写签名和印章;这种电子式的签名还可进行技术验证,其验证的准确度是在物理世界中对手工签名和图章的验证是无法比拟的。
这种签名方法可在很大的可信PKI域人群中进行认证,或在多个可信的PKI域中进行交认证,它特别适用于互联网和广域网上的安全认证和传输。
“数字签名”与普通文本签名的最大区别在于,它可以使用个性鲜明的图形文件,你只要利用扫描仪或作图工具将你的个性签名、印章甚至相片等,制作成BMP文件,就可以当做“数字签名”的素材。
目前可以提供“数字签名”功能的软件很多,用法和原理都大同小异,其中比较常用的有“ OnSign”。
安装“OnSign”后,在Word、Outlook等程序的工具栏上,就会出现,“OnSign”的快捷按钮,每次使用时,需输入自己的密码,以确保他人无法盗用。
对于使用了“OnSign”寄出的文件,收件人也需要安装“OnSign”或“OnSign Viewer”,这样才具备了识别“数字签名”的功能。
根据“OnSign”的设计,任何文件内容的窜改与拦截,都会让签名失效。
因此当对方识别出你的“数字签名”,就能确定这份文件是由你本人所发出的,并且中途没有被窜改或拦截过。
当然如果收件人还不放心,也可以单击“数字签名”上的蓝色问号,“OnSign”就会再次自动检查,如果文件有问题,“数字签名”上就会出现红色的警告标志。
在电子邮件使用频繁的网络时代,使用好“数字签名”,就像传统信件中的“挂号信”,无疑为网络传输文件的安全又增加了一道保护屏障。
回答者:gufanyy – 魔法师 四级 12-4 15:00
数字签名可以用来验证文档的真实性和完整性,数字签名使用强大的加密技术和公钥基础结构,以更好地保证文档的真实性、完整性和受认可性。
该流程非常安全,一些政府已经立法赋予数字签名法律效力。
在与包括 Entrust 和 VeriSign 在内的一流安全供应商的合作中,Adobe 使所有行业都可以将数字签名嵌入到 Adobe? 便携式文档格式
(PDF) 文件中。
使用 Adobe 解决方案,您可以: 将数字签名结合到往返工作流程中 在防火墙内外安全地发送已签名的文档 验证签名人的数字身份
通过在发送之前进行数字签名来认证电子文档 核实文档没有被欺骗性地更改 降低成本并加速批准流程
.png)
.png)