PKI

PKI概述

公钥基础设施(Public Key Infrastructure),通过加密技术和数字签名保证信息的安全,公钥加密技术,数字证书,CA,RA

  • 信息安全三要素: 机密性,完整性,身份验证/操作的不可否认性
  • 用到PKI的领域: SSL/HTTPS,IPsecVPN,部分远程访问VPN

公钥加密技术

实现对信息加密,数字签名等安全保障

  • 加密算法
  1. 对称加密算法

加解密的密钥一致,如DES,3DES,AES

  1. 非对称加密算法

通信双方各自产生一对公私钥,双方各自交换公钥,公钥和私钥为互相加解密关系,公私钥不可互相逆推,如RSA,DH

  • 数字签名

用自己的私钥对摘要加密得出的密文就是数字签名

证书

  • 证书用于保证公密的合法性
  • 证书格式遵循X.509标准
  • CA是权威证书颁发机构,为了公正"公钥"的合法性
  • 机密性: 使用对方的公钥加密
  • 身份验证/数字签名: 使用自己的私钥

数字证书包含信息

  1. 使用者的公钥值
  2. 使用者标识信息(如名称和电子邮件地址)
  3. 有效期(证书的有效时间)
  4. 颁发者标识信息
  5. 颁发者的数字签名
  6. 数字证书由权威公正的第三方机构即CA签发