PKI/CA与数字证书学习笔记

1. 现代密码学设计时，一般总假定密码系统的结构是公开的，或者至少为敌人所知。这一假设被称为科考夫原则（Kerckhoff's Principle）。
2. 密码系统的结构被称作密码算法，进行加密或解密操作所需的关键参数被称为密钥。
3. 现代密码学的安全性主要取决于密钥的设计和使用。
4. 密钥管理主要包括：密钥产生、密钥传输、密钥验证、密钥更新、密钥存储、密钥备份、密钥销毁、密钥有效期、密钥使用等。
5. 对称密钥管理技术和非对称密钥管理技术都可分为两种：无中心模式和有中心模式。
6. 非对称密管理的有中心模式已经成为主流。无中心模式 成熟的应用是PGP模式。
7. 非对称密管理虽然解决了密钥协商或分配时密钥容易泄露的问题，但并没有解决好密钥与用户映射关系容易被篡改的问题。
8. PKI的本质是将非对称密钥管理标准化。
9. PKI通过引入CA、数字证书、LDAP、CRL、OCSP等技术并制定相应标准，有效地解决了公钥与用户的映射关系、集中服务性能瓶颈、脱机状态查询等问题；同时为了促进和提高证书应用的规范性，还制定了很多与证书应用相关的各种标准。
10. CA为证书权威，也称为CA中心或证书认证中心，负责给用户签发数字证书。
11. 数字证书是一种特殊格式的文件，包含用户公钥、身份信息和CA中心的签名。
12. 数字证书实际上是把用户公钥、公钥与用户的绑定关系公开发布，供大规模用户使用。
13. LDAP是轻量级目录访问协议，对外提供证书查询和下载服务。它比数据库的查询服务更加高效。
14. CA通过CRL（证书作废列表）定期提供脱机证书失效验证功能，通过OCSP（在线证书状态协议）提供实时证书状态查询服务。
15. PKI是Public Key Infrastructure的缩写，主要功能是：数字证书