第十五章 PKI
1.PKI名称,作用及组成
名称:Public Key Infrastructure 公钥基础设施
作用:通过加密技术和数字签名保证信息的安全
组成:公钥加密技术,数字证书,CA,RA
2.信息安全三要素
机密性
完整性
身份验证/操作的不可否认性
3.用到PKI的IT领域
1)SSL/HTTPS
2)IPsecVPN
3)部分远程访问VPN
4.公钥加密技术
作用:实现对信息加密,数字签名等安全保障
加密算法:
1)对称加密算法
加解密的密钥一致
DES 3 DES AES
x+5=y(对称加密算法)
x是原数据/原文
y是密文
5是密钥
2)非对称加密算法
通信双方各自产生需要一对公私钥
双方各自交换公钥
公钥和私钥为互相加密关系
公私钥不可互相逆推
RSA DH
3)哈希算法(不可逆算法,验证完整性)
主要用MD5,SHA
非对称加密算法中会实现将未加密密文进行hash算出hash值后再将其放在加密的密文后一同发出,解密也是要先去拿出后面的hash值然后再解密,解密后进行hash,如果拿出的hash值与解密后hash的hash值一样说明文件没被篡改。后升级直接对密文hash。
存在的威胁是:如果在传输过程中被别人改了密文,并且删了后面的hash值,根据该的密文重新hash放入尾部,那么接收方会认为这份密文并没有被篡改
升级:对生成的hash值再次进行加密,如上图对hash值用RSA和大傻的私钥cba再次加密放于尾部,然后二傻利用拿到的公钥(abc)解密hash值
5.数字签名
对密文hash后用自己的私钥加密算法对hash值进行加密,这便是数字签名
6.CA与RA
. CA用于签发一个证书,而RA用于验证申请主体的身份, 只有一个验明正身的主体,CA才能为其签发证书 。. 简单的DV证书可能只需要验证域名所有权即可,而EV/OV证书还需要验证主体的身份(比如身份证、营业执照之类的)。. 因此验证主体的工作是非常繁琐,困难,无法自动化的,因此才单独需要划分出RA出来承担这个复杂的工作。. 从实际结构上,可能一个CA对应多个RA此时许多RA完成主体验证之后,将证书签发请求交给CA生成证书。. 更简单的情况也可能是由CA自己承担验证的功能,此时他即是CA,也是RA
在大傻与二傻的信息传输中,两者间右CA的介入。