PKI基础知识(数字信封与数字签名过程,对称密钥与非对称密钥)

1.数字信封

关于对称密码术和非对称密码:前者具有加密速度快、运行时占用资源少等特点,后者可以用于密钥交换。一般来说,并不直接使用非对称加密算法加密明文,而仅用它保护实际加密明文的对称密钥,来减少运算量,即所谓的数字信封(Digital Envelope)技术。举例说明,若A向B发送保密信息,下图是PKI中数字信封技术图解:

数字信封过程

数字信封过程
1.A生成一随机的对称密钥,即会话密钥。

2.A用会话密钥加密明文。

3.A用B的公钥加密会话密钥。

4.A将密文及加密后的会话密钥传递给B。

5.B使用自己的私钥解密会话密钥。

6.B使用会话密钥解密密文,得到明文

2.数字签名

结合散列函数和非对称加密算法,可以实现数字签名。数字签名是一个加密的信息摘要,附在消息后面,以确认发送者的身份和该信息的完整性。下图是PKI中签名技术图解:

数字签名过程

数字签名过程
1.A利用散列函数计算原消息的摘要。

2.A用自己的私钥加密摘要,并将加密摘要附在原消息的后面,发送给B。

3.B将消息中的原消息及其加密后的摘要分离出来。

4.B使用A的公钥将加密后的摘要解密。

5.B利用散列函数重新计算原消息的摘要。

6.B将解密后的摘要和自己用相同散列算法生成的摘要进行比较,若两者相等,说明消息在传递过程中没有被篡改,否则,消息不可信。

3.密钥算法

1.散列(哈希、hash、摘要)算法:MD5(产生一个128位的散列值), SHA1(产生一个160位的散列值),SM3(国密算法、产生一个256位的散列值)

2.对称密钥算法:SSF33、SM1、SM4(国密算法)、DES、2DES、3DES、RC2、RC4

3.非对称密钥算法:RSA(密钥长度512、768、1024、2048) 、ECC-ECDSA(国际标准)、ECC-SM2(国密算法)、

4.签名算法:SHA1WithRSA、SHA1WithECDSA(ECC国际标准)、SHA1WithSM2、SM3WithSM2(ECC国密算法)

5.编码解码算法:B64

4.对称、非对称算法优缺点

对称算法的优点:

1.加密速度快;

缺点:

1.加密强度相对较低

2.密钥交换不方便、不安全;

3.在多人之间交换信息所需要的密钥对数量大;

4.不具有签名的功能;

非对称算法的优点:

1.加密强度高;

2.公钥对外公布,无需密钥交换;

3.能够实现完整性、一致性和防抵赖功能;

缺点

1.加密速度慢

5.名词解释

PKI:Public Key Infrastructure公钥基础设施,是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书安全并负责验证数字证书持有者身份的一种体系。

KM:密钥管理系统,提供对加密证书密钥进行全过程管理的功能。

CA:Certificate Authority证书管理系统,也称认证中心,具备有限的政策制定功能,担任具体的用户公钥证书的签发、生成和发布及CRL生成及发布职能。

RA:Register Authority 用户注册系统,负责管理用户信息,执行用户与证书相关的操作。

SSL:Security Socket Layer 安全套接层协议,由Netscape(网景)公司开发,是一种因特网上最普遍使用的安全通讯协议,保障网站服务器及浏览器之间的数据传输的安全性。

LDAP(Lightweight Directory Access Protocol)(轻量目录访问协议)是一种轻量级的目录存取协定,提供客户从各个角落连接到目录服务器中。本手册中专指CA用于发布证书及黑名单的LDAP服务。

CRL(China Resources Land Limited ) 证书吊销列表 :因时间或者安全原因被废除的证书列表,一般发布在LDAP上。

Published by

风君子

独自遨游何稽首 揭天掀地慰生平

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注