面试官:讲一下「数字签名」和「数字证书」

已于 2024-02-22 22:46:53 修改
阅读量157 收藏
点赞数 1
文章标签: 网络安全 数字签名 数字证书 CA证书
于 2023-09-12 09:54:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YopenLang/article/details/132824623
版权

👨‍🏫 考点:数字签名,数字证书

⭐️ 数字签名的概念、原理

---
title: 明文传输
---

graph LR
  subgraph server ["【刘亦菲】"]
      B(["响应正文"])
  end
    subgraph browser ["【胡歌】"]
      A(["请求正文"])
  end
  browser -- 请求 --> server
	server -- 响应 --> browser

假设现在 【胡歌】 和 【刘亦菲】 互相通信,【胡歌】 会遇到这么几个问题:

问题一:请求正文被人偷看了怎么办?

问题二:如何确定响应正文是 【刘亦菲】 回复的,而不是第三人 【蔡徐坤】?

问题三:响应正文被第三人 【蔡徐坤】 篡改了怎么办?

这个时候就需要加密通信的内容了,非对称加密中,会有私钥和公钥,他们有如下特点:

  • 私钥加密的内容,只有公钥才能解开,同样地,公钥加密的内容,只有私钥才能解开
  • 公钥是公开的,任意人都可以拿到

现在 【胡歌】 持有公钥,【刘亦菲】 持有私钥:

---
title: 加密传输
---
graph LR
  subgraph server ["【刘亦菲】"]
      B(["私钥🔑 + 响应正文 → 加密内容"])
  end
  subgraph browser ["【胡歌】"]
      A(["公钥🔑 + 请求正文 → 加密内容"])
  end
  browser -- 请求 --> server
	server -- 响应 --> browser

😭 假设 【蔡徐坤】 截获 【胡歌】 请求的加密内容,由于没有私钥,所以无法确定解开内容。 问题一被解决 ❌

😈 但是,如果 【蔡徐坤】 截获 【刘亦菲】 响应的加密内容,【蔡徐坤】 持有公钥,就能解开并篡改该内容。问题二和问题三还没有被解决

此时 【刘亦菲】 需要给响应正文加上签名。

1️⃣ 响应正文 + Hash 算法 🚜 → 摘要

生成的摘要是一段短的乱码,比如:Hk9yfy1nGXdhi06EDvvTvd/Lq1xsFjxoSYkWm8MmAkkqYXZLraSEzyxxxu4c,只要正文不变,摘要也就不变

2️⃣ 摘要 + 私钥 🔑 → 签名

摘要本身很短,加密之后的签名也会更短

3️⃣ 签名 + 响应正文 → 返回给 【胡歌】

4️⃣ 【胡歌】 摘要 + 公钥 🔑 → 原摘要

5️⃣ 响应正文 + Hash 算法 🚜 → 新摘要

6️⃣ 对比 原摘要和新摘要

匹配成功,证明响应正文没有被篡改过,解决问题三 ❌

graph LR

subgraph 签名过程
    direction RL
    subgraph server ["【刘亦菲】"]
        direction TB
        A(["响应正文 + Hash 算法 🚜 → 摘要"])-->B
        B(["摘要 + 私钥 🔑 → 签名"]) --> C(["签名 + 响应正文"])
    end

    subgraph browser ["【胡歌】"]
        direction TB
        D(["【胡歌】 摘要 + 公钥 🔑"]) --> E
        E(["响应正文 + Hash 算法 🚜 → 新摘要"]) --> F(["对比 原摘要和新摘要"])
    end

    server -- 响应 --> browser
end

⭐️ 数字证书的概念、原理

可以看到,上述过程中,只解决了内容没有被篡改(即问题一和问题三),但是没有解决内容确实来自于 【刘亦菲】(问题二),因为 【蔡徐坤】 也可以自己生成一对私钥和公钥,让 【胡歌】 去验证整个解密过程。

如何确定响应正文来自于私钥拥有者,这就涉及到了数字证书:

1️⃣ 私钥拥有者,必然是公钥的拥有者,证明公钥拥有者,也就是间接证明了私钥拥有者

2️⃣ 【刘亦菲】 把公钥和个人信息发送给证书机构(Certification Authority)

3️⃣ CA 机构颁发一个证书,证书包含 【刘亦菲】 的公钥和个人信息

4️⃣ 【刘亦菲】 把证书分发到互联网上,也就是验证了 【刘亦菲】 公钥来源的可靠性

数字证书生成过程
发送
【刘亦菲】 的公钥 🔑 + 个人信息
【刘亦菲】 生成公钥🔑 + 私钥🔑
CA 机构生成数字证书,包含公钥🔑 + 【刘亦菲】个人信息
数字证书 🥇
【胡歌】 获取数字证书,证明 【刘亦菲】 可靠性

问题二解决 ❌

🌟 加分点 新的问题产生了,如何确定数字证书不是 【蔡徐坤】 伪造的?

首先 CA 机构也会维护自己的公钥 🔑 + 私钥 🔑

其次,证书上除了 【刘亦菲】 的公钥和个人信息,还有加上 CA 机构对其的数字签名。

【刘亦菲】 用 CA 机构的公钥就可以验证数字证书的可靠性

🌟 加分点 又是新的问题,如何证明 CA 机构公钥不是 【蔡徐坤】 伪造的?

这看起来又回到了原点,目前的方案是证书链+预装根证书

证书链: CA 机构证书是一个树形结构,下层证书的验证依靠上层。
根证书
证书
证书
证书
证书
证书
证书
...
...
...
...

预装根证书:一些操作系统、浏览器或者应用程序在出厂的时候,会预先安装根证书,这些证书会被认为是可信的,也就是信任的终点,走出验证的死循环。

🌟 加分点 真正的 HTTPS 通信

上述流程只是为了讲解简化,真正的 HTTPS 通信其实是这样的:

1️⃣ 客户端 Hello:【胡歌】 发送“Client Hello”,其中包括:

  • 【胡歌】 支持的 SSL/TLS 版本
  • 加密套件(按优先级排序)
  • 一个随机生成的数字(Client Random)

2️⃣ 服务端 Hello:【刘亦菲】 响应“Server Hello”

  • 【胡歌】、【刘亦菲】 共同支持的 SSL/TLS 版本、加密套件
  • 一个随机生成的数字(Server Random)

3️⃣ 服务器证书:【刘亦菲】 发送 CA 证书(其中包含公钥 + 【刘亦菲】 的信息)

4️⃣ 密钥交换:【胡歌】 验证 【刘亦菲】 的证书。如果有效,生成一个“预主密钥”(Pre-Master Secret)并用公钥加密,发送给 【刘亦菲】。

5️⃣ 会话密钥生成:【胡歌】、【刘亦菲】 通过 Pre-Master Secret +Client Random+Server Random,独立地计算出会话密钥

6️⃣ 加密通信:【胡歌】、【刘亦菲】 使用会话密钥进行对称性加密通话,而不是公钥 or 私钥。

🔗 文章地址:https://wukaipeng.com/technique/interview/digital-signature-and-ca

楷鹏 : )
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
程序员面试题之------数字签名工作原理
dong_dong222的博客
12-09 5631
数字签名工作过程包括: 1、报文加密 发送报文时,发送方用一个哈希函数从报文文本生成报文摘要,然后用自己的私人密钥对这个摘要进行加密; 2、报文发送 加密后的摘要将作为报文的数字签名和报文一起发送给接收方; 3、报文接收 接收方首先用与发送方一样的哈希函数从接收到的原始报文计算出报文摘要,接着再用发送方的公用密钥来对报文附加的数字签名进行解密,如果这两个摘要相同、那么接收方就能确认该数字签名是发送方的。 ...
面试 -- 数字签名数字证书
A08110123的博客
06-21 370
数字签名(Digital Signature): 数据在浏览器和服务器之间传输时,有可能在传输过程被冒充的盗贼把内容替换了,那么如何保证数据是真实服务器发送的而不被调包呢,同时如何保证传输的数据没有被人篡改呢,要解决这两个问题就必须用到数字签名数字签名就如同日常生活的的签名一样,一旦在合同书上落下了你的大名,从法律意义上就确定是你本人签的字儿,这是任何人都没法仿造的,因为这是你专...
计算机网络常问面试问题 3 —— 对称加密、非对称加密以及数字签名数字证书
JMW1407的博客
07-24 1501
对称加密、非对称加密以及数字签名数字证书1、对称加密、非对称加密1.1、对称加密(Symmetric Cryptography)1.1.1、定义1.1.2、特征1.2、非对称加密(Asymmetric Cryptography)1.2.1、定义1.2.2、特征1.3、对称加密和非对称加密区别1.4、非对称加密+对称加密的综合利用1.5、间人攻击2、数字签名数字证书2.1、数字签名(Digital Signature)2.1.1、定义2.1.2、作用2.2、数字证书(Digital Certificat
阿里面试官:请叙述一下HTTP和HTTPS的区别
Java码农那些事
09-25 160
1.HTTP 和 HTTPS 有什么区别? HTTPS 和 HTTP 的关系 协议 明文/安全 HTTPS 它把 HTTP 下层的传输协议由 TCP/IP 换成了 SSL/TLS,由「“HTTP over TCP/IP”」变成了「“HTTP over SSL/TLS”」,让 HTTP 运行在了安全的 SSL/TLS 协议上,收发报文不再使用「Socket API」,而是调用专门的「安全接口」。 HTTPS 是 为 HTTP 增加了「四大安全特性」;本身一个“非常简单”的协议,RFC 文档很小...
面试官:今天要不来聊聊HTTP吧?
分享Java技术知识,共同成长进步!
09-01 169
面试官:今天要不来聊聊HTTP吧? 候选者:嗯,HTTP「协议」是客户端和服务器「交互」的一种通迅的格式 候选者:所谓的「协议」实际上就是双方约定好的「格式」,让双方都能看得懂的东西而已 候选者:所谓的交互实际上就是「请求」和「响应」 面试官:那你知道HTTP各个版本之间的区别吗? 候选者:HTTP1.0默认是短连接,每次与服务器交互,都需要新开一个连接 候选者:HTTP1.1版本最主要的是「默认持久连接」。只要客户端服务端没有断开TCP连接,就一直保持连接,可以发送多次HTTP请求。 .
面试官:关于HTTPS/HTTP2/HTTP3你懂多少?
weixin_45727472的博客
05-06 971
https相对http的改动主要是下层多了一个ssltls层,加密的功能就是这层实现的。ssl是会话层协议,是信息安全领域里面的权威标准。由网景公司研发,发展到v3的时候改名为了tls。三个版本v1.1,v1.2,v1.3。现在用的大部分都是v1.2,主要分析的也是它。使用tls建立链接需要_选定一个加密套件进行安全通信*,同样*需要两端协商所以客户端会带上自己支持哪些加密套件clientsuites字段表示这些套件,serversuite是最终协商采用的加密套件。
腾讯面试官:说一下Java内存泄露的问题。。。(瞬间爆炸)
m0_50654102的博客
04-10 299
面试被问到爆炸的问题总结 (加上某次进了复试,一共五次面试答错、不知道的问题合集) 面试官:说一下继承和接口的区别 我:(内心瞬间爆炸,问的太泛了,好难说清楚。。)嘀咕了一两分钟,越说越不知道自己究竟在说啥。。。 纠正: 1.不同的关键字,即实现接口(implements),继承(extends); 2.在面向对象编程的时候只能是单继承,但是实现接口可以有多个,简单点说,就是实现接口可以有好多个,但是继承的父类只能只有一个,因为父亲只有一个,这说明了继承在Java具有单根性,子类只能去继承一个父类;
吊打面试官:Android高级面试题----终局之战(1)
2401_84123357的博客
05-02 338
其实Android开发的知识点就那么多,面试问来问去还是那么点东西。所以面试没有其他的诀窍,只看你对这些知识点准备的充分程度。so,出去面试时先看看自己复习到了哪个阶段就好。写到这里也结束了,在文章最后放上一个小小的福利,以下为小编自己在学习过程整理出的一个关于Flutter的学习思路及方向,从事互联网开发,最主要的是要学好技术,而学习技术是一条慢长而艰苦的道路,不能靠一时激情,也不是熬几天几夜就能学好的,必须养成平时努力学习的习惯,更加需要准确的学习方向达到有效的学习效果。
面试官:怎么设计大文件、大数据场景下的传输加密方案?
01-08
某年某月某一天,冷冽寒风,姚小毛走进了某家公司,开始了新一轮的面试。 一阵寒暄后。 面试官:“你好,看你的项目经验有做过数据加密的工作,你是使用什么...面试官:“那你使用的什么对称算法和非对称算法呢?”
面试官:RabbitMQ本身不支持延迟队列,那你给我实现一个?.zip
03-02
面试官:RabbitMQ本身不支持延迟队列,那你给我实现一个?.zip面试官:RabbitMQ本身不支持延迟队列,那你给我实现一个?.zip面试官:RabbitMQ本身不支持延迟队列,那你给我实现一个?.zip面试官:RabbitMQ本身不支持...
面试官:Spring 注解 @After,@Around,@Before 的执行顺序是?.zip
03-02
面试官:Spring 注解 @After,@Around,@Before 的执行顺序是?.zip 面试官:Spring 注解 @After,@Around,@Before 的执行顺序是?.zip 面试官:Spring 注解 @After,@Around,@Before 的执行顺序是?.zip 面试官:...
面试官:反射都不会,还敢说自己会Java?
01-20
  在程序运行状态,对于任意一个类或对象,都能够获取到这个类的所有属性和方法(包括私有属性和方法),这种动态获取信息以及动态调用对象方法的功能就称为反射机制。简单来,通过反射,类对我们是完全透明的...
数字IC设计笔试面试经典100题.pdf
04-17
数字IC设计笔试面试经典100题,推荐看,都是常问的一些问题,有参考答案
面试官:要不 Cookie、Session、Token、JWT之间的区别?
朱小厮的博客
06-27 1521
击上方“朱小厮的博客”,选择“设为星标”后台回复"加群",加入组织来源:22j.co/btPm什么是认证(Authentication)通俗地就是验证当前用户的身份,证...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8379
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
微信小程序设计淘宝客导购小程序 pangolin_tbk 2.0.8安装更新一体包源代码+部署教程完美运行版.7z
最新发布
08-11
经导师精心指导并认可、获 98 分的毕业设计项目!【项目资源】:微信小程序。【项目说明】:聚焦计算机相关专业毕设及实战操练,可作课程设计与期末大作业,含全部源码,能直用于毕设,经严格调试,运行有保障!【项目服务】:有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。 经导师精心指导并认可、获 98 分的毕业设计项目!【项目资源】:微信小程序。【项目说明】:聚焦计算机相关专业毕设及实战操练,可作课程设计与期末大作业,含全部源码,能直用于毕设,经严格调试,运行有保障!【项目服务】:有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。 经导师精心指导并认可、获 98 分的毕业设计项目!【项目资源】:微信小程序。【项目说明】:聚焦计算机相关专业毕设及实战操练,可作课程设计与期末大作业,含全部源码,能直用于毕设,经严格调试,运行有保障!【项目服务】:有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。 经导师精心指导并认可、获 98 分的毕业设计项目!【项目资源】:微信小程序。【项目说明】:聚焦计算机相关专业毕设及实战操练,可作课程设计与期末大作业,含全部源码,能直用于毕设,经严格调试,运行有保障!【项目服务】:有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。
光伏风电出力预测(Prediction of PV power and wind power oiutputs)+源代码+说明
08-11
<项目介绍> - python、Sk-learn、概率预测、光伏出力、风电出力 - 不懂运行,下载完可以私聊问,可远程教学 该资源内项目源码是个人的毕设,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。 --------
前端面试必备:13攻克回文数字算法与数据结构
回文数字,即正读反读都相同的数字,如121、12321等,是面试常用来测试逻辑思维和数据结构基础的一个经典问题。面试官通常会要求在1-10000范围内找出所有的回文数字,并可能要求考生分析不同解决方案的时间复杂度...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值