参考链接:https://www.cnblogs.com/xdyixia/p/11610102.html
证书链
CA组织
除了end-user之外,证书被分为root Certificates和intermediates Certificates。相应地,CA也分了两种类型:root CAs 和 intermediates CAs。首先,CA的组织结构是一个树结构,一个root CAs下面包含多个intermediates CAs,而intermediates又可以包含多个intermediates CAs。root CAs 和 intermediates CAs都可以颁发证书给用户,颁发的证书分别是root Certificates和intermediates Certificates,最终用户用来认证公钥的证书则被称为end-user Certificates。
end-user certificates & intermediates certificates
我们使用end-user certificates来确保加密传输数据的公钥(public key)不被篡改,而又如何确保end-user certificates的合法性呢?这个认证过程跟公钥的认证过程类似,首先获取颁布end-user certificates的CA的证书,然后验证end-user certificates的signature。一般来说,root CAs不会直接颁布end-user certificates的,而是授权给多个二级CA,而二级CA又可以授权给多个三级CA,这些中间的CA就是intermediates CAs,它们才会颁布end-user certificates。
但是intermediates certificates的可靠性又如何保证呢?这就是涉及到证书链,Certificate Chain ,链式向上验证证书,直到Root Certificates,如下图:
根证书(root certificates)
那Root Certificates又是如何来的呢?根据 https://support.dnsimple.com/articles/what-is-ssl-certificate-chain/ 这篇文章的说法,除了可以下载安装之外,device(例如浏览器,操作系统)都会内置一些root certificates,称之为trusted root certificates,https://support.apple.com/en-us/HT202858 ,在Apple的官网上可以看到这个列表,有各个操作版本直接内置的Root Certificates。
最后一个问题,为什么需要证书链这么麻烦的流程?Root CA为什么不直接版本证书,而是要搞那么多中间层级呢?找了一下,godaddy官方给了一个答案,为了确保root certificates的绝对安全性,https://sg.godaddy.com/en/help/what-is-an-intermediate-certificate-868 ,将根证书隔离地越严格越好。
硬件相关
密码控件:
密码控件主要是为了保护用户密码不被黑客或者其他攻击手段进行获取,所以密码控件需要在驱动层进行防护,保障密码的安全。
主要特点:低(位于驱动底层)、绕(绕开其他钩子的监听)、反(反扫描控件)、扰(扰乱其他控件监听的键盘输入)
签名控件:
签名控件主要是为了保护用户输入的信息在传输过程中被串改,一般签名是私钥加签、公钥验签;所以需要有私钥的存储是用UsbKey进行签名的。
UsbKey的功能是防护暴力破解私钥存储的秘钥库,如果通过暴力的方式获取,Usbkey会自动销毁。
UsbKey的功能就是内置了各种加密算法,主要是根据签名控件传递进去的参数进行选择,同时还根据内置的签名证书。
Ukey一般会内置国密SM2/SM4两张证书及RSA证书。其中RSA证书主要是用于建链。
签名摘要算法:
软件签名证书:主要是Windows对软件发布者会有一些提示的信息,在安装过程中一些安全软件会对没有签名的软件进行提示;
MacOs在安装的过程如果没有开发者账号,在安装过程中需要提示“在安全与提示中心”中放开软件的运行
1689
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
