密码学之数字证书详解

在讲数字证书之前要先了解两个概念：对称加密算法和非对称加密算法

1、对称加密算法

在对称加密算法中，加密使用的密钥和解密使用的密钥是相同的。例如对abcdefg的明文进行加密，密钥为12345678，明文和密钥都转化为二进制数，然后进行异或操作，再生成新的二进制数，再转化为字符串，便得到了密文，如果想得到明文，就必须用一样的密钥对密文进行解密。因此对称加密算法要保证安全性的话，密钥需要做好保密，不能让其他人知道，否则信息就泄露了。

2、非对称加密算法

在非对称加密算法中，加密使用的密钥和解密使用的密钥是不相同的，例如RSA算法就是非对称加密。RSA密码体制是一种公钥密码体制，公钥公开，私钥保密，它的加密解密算法是公开的。 由公钥加密的内容可以并且只能由私钥进行解密，并且由私钥加密的内容可以并且只能由公钥进行解密。

3、数字证书

3.1 证书的原理

数字证书是身份鉴别的一种方式，人们可以在网上用它来识别对方的身份。因此，数字证书又被称为数字标识，它就像人的身份证一样，是由权威机构发布的来证明你身份的一种标识。数字证书使用的就是非对称加密的算法，由认证者生成密钥对，公钥和私钥，公钥和个人信息提交给认证机构，私钥自己保留。当用户要证明“你就是你”的时候，认证者将内容用私钥加密，如果用户可以用公钥解密，则证明了“你就是你”的问题。而为什么需要通过权威机构来认证呢，因为黑客自己也可以生成密钥对，如果黑客模仿服务器向用户发送信息，用户依然无法识别对方的身份，依然无法判断这个公钥到底是谁的，因此数字证书的出现就解决了这个问题，用户可以通过数字证书鉴别公钥的归属。

3.2 权威机构的构成

PKI：公钥基础设施的简称，利用公开密钥技术建立的提供信息安全服务的在线基础设施。它利用加密、数字签名、数字证书来保护应用、通信或事务处理的安全。

CA：PKI的核心，主要职责是签发证书、更新证书、管理证书（撤销、查询、审计、统计）、验证数字证书、黑名单认证、在线认证。

RA：受理用户的数字证书申请，提供证书生命期的维护工作。

证书库：证书存放管理，信息的存储库，提供了证书的保存，修改，删除和获取的能力。