网络空间安全 渗透攻防9（PKI）

第十五章 PKI

1.PKI名称，作用及组成

名称：Public Key Infrastructure 公钥基础设施

作用：通过加密技术和数字签名保证信息的安全

组成：公钥加密技术，数字证书，CA,RA

2.信息安全三要素

机密性

完整性

身份验证/操作的不可否认性

3.用到PKI的IT领域

1）SSL/HTTPS

2)IPsecVPN

3)部分远程访问VPN

4.公钥加密技术

作用：实现对信息加密，数字签名等安全保障

加密算法：

1）对称加密算法

      加解密的密钥一致

        DES 3        DES         AES 

x+5=y（对称加密算法）

x是原数据/原文

y是密文

5是密钥

2）非对称加密算法

       通信双方各自产生需要一对公私钥 

        双方各自交换公钥

        公钥和私钥为互相加密关系

        公私钥不可互相逆推

        RSA        DH        

 3）哈希算法（不可逆算法,验证完整性）

        主要用MD5,SHA

 非对称加密算法中会实现将未加密密文进行hash算出hash值后再将其放在加密的密文后一同发出，解密也是要先去拿出后面的hash值然后再解密，解密后进行hash，如果拿出的hash值与解密后hash的hash值一样说明文件没被篡改。后升级直接对密文hash。

存在的威胁是：如果在传输过程中被别人改了密文，并且删了后面的hash值，根据该的密文重新hash放入尾部，那么接收方会认为这份密文并没有被篡改

升级：对生成的hash值再次进行加密，如上图对hash值用RSA和大傻的私钥cba再次加密放于尾部，然后二傻利用拿到的公钥（abc）解密hash值

 5.数字签名

        对密文hash后用自己的私钥加密算法对hash值进行加密，这便是数字签名

6.CA与RA

. CA用于签发一个证书，而RA用于验证申请主体的身份， 只有一个验明正身的主体，CA才能为其签发证书 。. 简单的DV证书可能只需要验证域名所有权即可，而EV/OV证书还需要验证主体的身份（比如身份证、营业执照之类的）。. 因此验证主体的工作是非常繁琐，困难，无法自动化的，因此才单独需要划分出RA出来承担这个复杂的工作。. 从实际结构上，可能一个CA对应多个RA此时许多RA完成主体验证之后，将证书签发请求交给CA生成证书。. 更简单的情况也可能是由CA自己承担验证的功能，此时他即是CA，也是RA

在大傻与二傻的信息传输中，两者间右CA的介入。