PKI体系常见概念

对称密码学扼要重述：

1：在对称密码学中，同一个秘钥既用于加密也用于解密

2：对称加密速度快

3：对称加密是安全的

4：对称加密得到的密文是紧凑的

5：因为接受者需要得到对称秘钥，所以对称加密容易受到中途拦截窃听攻击

6：对称密码系统当中秘钥的个数大约是以参与者数目平方的速度增长，因此很难将它扩展到大范围人群中。

7：对称密码技术不适用于数字签名和不可否认性

非对称密码学扼要重述：

1：使用非对称密码技术时，用一个秘钥（公或私）加密的东西只能用另一个秘钥（私或公）来解密

2：非对称加密是安全的

3：因为不必发送秘钥给接受者，所以非对称加密不必担心秘钥被中途拦截的问题

4：需要分发的秘钥的数量与参与者的数目一样，这样，在参与者数目很大的情况下，非对称密码技术仍然会工作的很好

5：非对称密码技术没有复杂的秘钥分发问题

6：非对称密码技术不需要事先在各个参与方之间建立关系以交换秘钥

7：非对称密码技术支持数字签名和不可否认性

8：非对称加密速度相对较慢

9：非对称加密会导致得到的密文变长

将上述两个密码学的优点结合起来使用：

发送方用对称秘钥对文件加密，并用接收方公钥对对称秘钥进行加密，将加密后的秘钥放在密文后一同发送给接收方，接收方收到后先用接收方私钥对加密后的对称秘钥解密，再用对称秘钥对密文解密。

散列算法：

将明文数据进行处理，得到一个较小的数据。得到的数据被称为摘要。不能通过摘要恢复出明文，哪怕只有一点，如果对明文进行更改，哪怕只有一位，生成的摘要应该用很大区别。

数字证书：

保证特定的公钥和特定的人是相联系的。能够发放数字证书的只有权威机构。

密码学的扼要重述：

1：密码学最好的应用就是结合对称算法和非对称算法。各取所长

2：再结合使用对称和非对称密码技术时，对称秘钥通常是用一次后就丢弃，对称秘钥用来进行 大批量数据的加密

3：非对称秘钥通常被用来打包对称秘钥以便在传输中保护它们，非对称秘钥还被用来加密数据的摘要以生成数字签名

4：为了保护公钥不被篡改，公钥连同其拥有者身份都被编码到了数字证书当中

5：可信的权威机构对数字证书签名，大多数软件都包含了预先加载可信权威机构列表

6：如果想抗否认，数字签名需要再包含一个准确而可靠的时间戳。

为什么需要公钥基础设施（PKI）：

1：好秘钥的安全生成

2：初始身份的确认

3：证书的办法、更新和终止

4：证书有效性的检查

5：证书和相关信息的分发

6：秘钥安全存档和恢复

7：签名和时间戳的产生

8：信任关系的建立与管理

公钥基础设施组件：

1：认证机构（CA）

2：注册机构（RA）

3：证书服务器

4：证书库

5：证书验证

6：秘钥恢复服务

7：时间服务器

8：签名服务器