数字证书就是互联网通讯(xùn)中标志通讯各方身(shēn)份信(xìn)息(xī)的(de)一串数字(zì),提供了一(yī)种在(zài)Internet上验(yàn)证通信实体身份的方式,数字证书不(bú)是数字身份证,而是身份认(rèn)证机构盖在(zài)数字身份证上的一个章或印(或者说加在数(shù)字身份证上的一(yī)个签(qiān)名(míng))。
上面官方的解释看起来就头大。其实它(tā)就是一段信息(xī)。
数字证书内容大体如(rú)下:
签发证书的(de)机构(gòu)
鲍勃的加密算法
鲍勃所(suǒ)使用的(de)Hash算法
鲍勃的公钥
证书到期时间
等等
数字证书(shū)是由权威机构——CA机构统一来进行发行,我们绝对信任这个机构,至于CA机构的(de)安全(quán)性…反正99.99%之下都是安(ān)全的。
为(wéi)了防止中间(jiān)有人对证(zhèng)书(shū)内容进行更改,有(yǒu)了一(yī)个数(shù)字签名的概念,所谓的数字签名就(jiù)是把以上所有的内(nèi)容做一个Hash操作(zuò),得到一个固定(dìng)长度然后再(zài)传(chuán)给鲍勃。然而如果别人截(jié)取了(le)这个证书然后更改内容,同时生(shēng)成了新的Hash值那怎么办?处(chù)于这个考虑,CA机构在(zài)颁发这个证书的时候(hòu)会用自己(jǐ)的私钥将Hash值加密,从(cóng)而防(fáng)止(zhǐ)了数字证书被篡改。
好,我们(men)来梳理下整个过程(chéng):
第一步:首(shǒu)先,当爱丽丝开启一(yī)个(gè)新的浏览器第一次去访问鲍勃的时候,会先让(ràng)爱丽丝(sī)安装一(yī)个数字证书,这(zhè)个(gè)数字证书(shū)里包含的主要信(xìn)息(xī)就是CA机(jī)构的(de)公钥。
第二步:鲍勃发送来了CA机(jī)构(gòu)颁发给自(zì)己的数字证书,爱(ài)丽(lì)丝通过第一步中已经得(dé)到(dào)的公(gōng)钥(yào)解(jiě)密CA用私钥加密的(de)Hash-a(这个过程(chéng)就是非对(duì)称加(jiā)密(mì)),然后再用传(chuán)递过来的(de)HASH算法(fǎ)生成一(yī)个(gè)Hash-b,如果Hash-a === Hash-b就说明(míng)认(rèn)证通过,确实是鲍勃发(fā)过来的。
如上(shàng),是整(zhěng)个数字证书的使(shǐ)用过程就是(shì)这样的。
多说一(yī)句,非对称加密(mì)实际应(yīng)用的例子除了SSL还有很多,比(bǐ)如SSH、电子签名等(děng);
如上提到的,非对称加(jiā)密计算量很大,效率不如(rú)对称加密(mì),我(wǒ)们打开网页最注重的是啥(shá)?是速度!是速度!是速度!???
这点SSL就玩的很巧妙(miào)了,通信双(shuāng)方通过对称(chēng)加密来加密密文,然(rán)后使(shǐ)用非对(duì)称加密的方式来传递对称加密所使用的密钥。这(zhè)样效率和安全就(jiù)都能保证了。
版权申(shēn)明:本内容来自于(yú)互联网,属第三方汇集推荐平台。本文的版权归(guī)原作者所(suǒ)有,文章言论不代表链门户的观点(diǎn),链(liàn)门户不承(chéng)担任何法(fǎ)律责任。如有侵(qīn)权请联系QQ:3341927519进行(háng)反馈。
