数字签名与数字证书技术简介(三)

最新推荐文章于 2024-05-01 21:37:59 发布
最新推荐文章于 2024-05-01 21:37:59 发布
阅读量6.4k 收藏 31
点赞数 21
分类专栏: 知识分享 信息安全 文章标签: 技术 信息安全 标准 ca w-zrq
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014419512/article/details/26408177
版权

  数字证书

前两篇文章,分别介绍了非对称加密算法和数字签名技术:

http://blog.csdn.net/u014419512/article/details/26290821

http://blog.csdn.net/u014419512/article/details/26408029


基于非对称密钥算法,Bob生成了一对公私钥。Bob将公钥发布在公开的密钥库中。而Alice在向Bob发送加密文件或者验证Bob签名的文件时,均要从公钥库取到Bob的公钥。我们已经知道,一般来说公钥就是一段固定长度的字符串,并没有特定的含义。

为了让Alice能够方便的辨别公钥,我们可以考虑对给公钥附加一些信息,例如该公钥使用的算法,该公钥的所有者(主题),该公钥的有效期等一系列属性。这样的数据结构我们称作PKCS10数据包



公钥的主题我们采用唯一标示符(或称DN-distinguished name),以尽量唯一的标示公钥所有者。以下是基于抽象语法表示法所定义的PKCS10数据结构:

CertificationRequestInfo ::= SEQUENCE {  
		version          INTEGER { v1(0) } (v1,...), 
		subject          Name,  
		subjectPKInfo  SubjectPublicKeyInfo{{ PKInfoAlgorithms }},  
		attributes       [0] Attributes{{ CRIAttributes }}  
		}  
	SubjectPublicKeyInfo { ALGORITHM : IOSet} ::= SEQUENCE {  
		algorithm     AlgorithmIdentifier {{IOSet}}, 
		subjectPublicKey  BIT STRING  
		}  

	PKInfoAlgorithms ALGORITHM ::= {   
		...  -- add any locally defined algorithms here -- }  
	
	Attributes { ATTRIBUTE:IOSet } ::= SET OF Attribute{{ IOSet }}   
	
	CRIAttributes  ATTRIBUTE  ::= {  
		... -- add any locally defined attributes here -- }  

	Attribute { ATTRIBUTE:IOSet } ::= SEQUENCE {  
		type    ATTRIBUTE.&id({IOSet}),  
		values  SET SIZE(1..MAX) OF ATTRIBUTE.&Type({IOSet}{@type}) 
	}

我们已经有了PKCS10数据包,除了公钥信息外,还有公钥的持有者,公钥的版本号等信息。然而这样的数据结构其实并没有任何权威性。例如有一天一个叫做Richard的人想冒充Bob,也生成一对公私钥,并且使用了相同的公钥主题封装为P10数据结构。Alice其实并没有办法分辨哪个是真实Bob的公钥。

为了解决这个问题,就需要一个权威的第三方机构,对P10结构的数据进行认证。就如同对P10文件盖上一个权威的章,防止仿照。这样的权威机构,我们称作CA(Certificate Authority)数字证书认证中心。而CA如何为P10数据盖章呢?非常简单,就是我们前文已经提到的数字签名技术:


① 如上图所示,CA机构其实也持有一张私钥。一般来说,CA会对这份私钥进行特别的保护,严禁泄漏和盗用。

② Bob将自己的公钥附加上一系列信息后,形成了P10数据包(请求包),并发送给CA

③ CA机构通过其他一些手段,例如查看Bob的身份信息等方式,认可了Bob的身份。于是使用自己的私钥对P10请求进行签名。(也可能会先对数据进行一些简单修改,如修改有效期或主题等)

④ 这样的签名结果,我们就称作数字证书。

 

数字证书同样遵循一个格式标准,我们称作X509标准,我们一般提到的X509证书就是如此。以下是X509的格式:

[Certificate ::= SEQUENCE {
	tbsCertificate TBSCertificate,
	signatureAlgorithm AlgorithmIdentifier,
	signature BIT STRING
}

TBSCertificate ::= SEQUENCE {
	version [0] EXPLICIT Version DEFAULT v1,
	serialNumber CertificateSerialNumber,
	signature AlgorithmIdentifier,
	issuer Name,
	validity Validity,
	subject Name,
	subjectPublicKeyInfo SubjectPublicKeyInfo,
	issuerUniqueID [1] IMPLICIT UniqueIdentifier OPTIONAL,
	-- If present, version must be v2or v3
	subjectUniqueID [2] IMPLICIT UniqueIdentifier OPTIONAL,
	-- If present, version must be v2or v3
	extensions [3] EXPLICIT Extensions OPTIONAL
	-- If present, version must be v3
	}
Version ::= INTEGER {
	v1(0), v2(1), v3(2)
}

CertificateSerialNumber ::= INTEGER
	Validity ::= SEQUENCE {
	notBefore CertificateValidityDate,
	notAfter CertificateValidityDate
}

CertificateValidityDate ::= CHOICE {
	utcTime UTCTime,
	generalTime GeneralizedTime
}

UniqueIdentifier ::= BIT STRING
	SubjectPublicKeyInfo ::= SEQUENCE {
	algorithm AlgorithmIdentifier,
	subjectPublicKey BIT STRING
}

Extensions ::= SEQUENCE OF Extension
Extension ::= SEQUENCE {
	extnID OBJECT IDENTIFIER,
	critical BOOLEAN DEFAULT FALSE,
	extnValue OCTET STRING
}

基于数字证书,我们可以再来看看Bob如何给Alice发送一份不可否认、不可篡改的文件:


第一步:Bob除了对文件进行签名操作外,同时附加了自己的数字证书。一同发给Alice



第二步:Alice首先使用CA的公钥,对证书进行验证。如果验证成功,提取证书中的公钥,对Bob发来的文件进行验签。如果验证成功,则证明文件的不可否认和不可篡改。


可以看到,基于数字证书后,Alice不在需要一个公钥库维护Bob(或其他人)的公钥证书,只要持有CA的公钥即可。数字证书在电子商务,电子认证等方面使用非常广泛,就如同计算机世界的身份证,可以证明企业、个人、网站等实体的身份。同时基于数字证书,加密算法的技术也可以支持一些安全交互协议(如SSL)。下一篇文章,将为大家介绍SSL协议的原理。

小码哥BASE64
关注
  • 21
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
数字签名数字证书技术简介(二)
u014419512的专栏
05-20 6008
信息摘要、数字签名 基于上篇文章,我们介绍了的非对称密钥算法 我们可以继续我们的场景: 假设有一天,Alice收到了一份署名为Bob的文件。Alice希望能够确认这份文件一定是来自Bob;另外Alice希望能够确信,这份文件在传输过程中并没有被它人篡改。那么基于非对称密钥算法我们应该怎么做? 确认文件一定来自于Bob,其实就是Bob无法否认自己发送过这份文件。信息安全中称作不可
数字签名数字证书技术简单介绍(一)
weixin_33755649的博客
05-12 169
数字签名数字证书技术,是现代信息安全的核心技术,可谓使用面十分广泛。其基本理论本身并不复杂,本文希望通过深入浅出的介绍,可以让大家有一些基本了解。   对称加密、非对称加密 让我们通过一个样例開始:我们的主角各自是Alice和Bob。如今如果Alice要给Bob发送一份文件,文件内容很机密。Alice不希望文件在发送的过程中被人截取而泄密。 这个时候。自然想到的方法就是...
数字证书数字签名的区别
最新发布
很多时候犯错都是在不知情的情况下发生的
05-01 664
数字证书数字签名都是在互联网通讯中保证信息安全的重要工具,但它们有一些明显的区别:数字签名 就是使用个人私密和加密算法加密的摘要和报文,是私人性的。而数字证书是由CA中心派发的.总的来说,数字证书主要用于身份验证和信息加密,而数字签名则主要用于验证信息的真实性和完整性。两者共同协作,可以大大提高互联网通讯的安全性和可靠性3。请注意,涉及信息安全和加密的内容可能会随着技术的发展而不断更新和变化,因此在实际应用中,建议咨询相关领域的专家或查阅最新的技术文档。将按双方约定的HASH计算得到一个固定位数的。
数字签名数字证书
FYSGXFZ的博客
06-21 561
数字签名数字证书
数字证书
thinker
10-19 856
数字证书就是网络通讯中标志通讯各方身份信息的一系列数据,其作用类似于现实生活中的身份证。它是由一个权威机构发行的,人们可以在互联网上用它来识别对方的身份。 证书的格式遵循ITUTX.509国际标准 一个标准的X.509数字证书包含以下一些内容: 证书的版本信息; 证书的序列号,每个证书都有一个唯一的证书序列号; 证书所使用的签名算法; 证书的发行机构名称,命名规则一般采用X.500格式; 证书的有效期,现在通用的证书一般采用UTC时间格式,它的计时范围为1950-2049; 证书所有人的名称
数字证书的申请
09-27 1806
先到p10申请p10文件,成功后会得到p10文件,签名私钥,密码 之后拿着p10文件去CA申请数字证书 申请数字证书种方式。 单证 申请后会得到:签名证书 双证,双证又分为是否封装为数字信封 不封为数字信封:会得到签名证书,加密证书,加密私钥 封为数字信封:会得到签名证书,加密证书,对称算法,加密证书私钥,加密密钥 数字信封。而加密私钥就被封在了数字信封里,因此需
通俗易懂的数字证书原理
09-28
数字证书由可信赖的第方机构(通常是证书颁发机构,简称CA)签发,这些机构负责验证数字证书所有者的身份信息。数字证书的使用能够提高通信的安全性,防止中间人攻击等安全威胁。 ##### 3.1 数字证书的工作原理 ...
数字证书格式及应用201910.pptx
10-23
数字证书是一种在网络中验证身份的重要机制,它通过将用户的身份信息与对应的公钥结合,经过特定的编码规则,并由一个可信的第方机构(通常称为证书颁发机构,CA)进行数字签名来生成。国际上,数字证书遵循RFC...
网络通信中的数字签名
07-16
个人安全邮件证书是数字签名技术在电子邮件安全中的应用。这类证书包含了用户的公钥、电子邮件地址和证书颁发机构的签名,确保邮件内容的安全性、机密性、发件人身份的确认以及不可抵赖性。用户可以使用支持此类证书...
数字证书原理,公钥私钥加密原理1
08-08
数字证书原理与公钥私钥加密概述】 在信息技术领域,数据安全至关重要,尤其是在网络通信中。为了确保信息不被未经授权的用户访问或篡改,加密技术被广泛应用。本文将探讨数字证书的基本原理以及公钥私钥加密的...
验证数字签名的软件源码
04-09
在本案例中,“验证数字签名的软件源码”这一标题明确指出该代码片段旨在实现对数字签名的验证。 ### 2. VB语言及其API调用 #### 2.1 VB简介 Visual Basic(简称VB)是一种由微软开发的事件驱动的可视化程序设计...
数字签名数字证书技术简介(一)
u014419512的专栏
05-19 1万+
数字签名数字证书技术,是现代信息安全的核心技术,可谓使用面十分广泛。其基本理论本身并不复杂,本文希望通过深入浅出的介绍,能够让大家有一些基本了解。   一、对称加密、非对称加密 让我们通过一个例子开始:我们的主角分别是Alice和Bob。现在假设Alice要给Bob发送一份文件,文件内容非常机密。Alice不希望文件在发送的过程中被人截取而泄密。 这个时候,自然想到的方法就是对文件进行
关于数字证书数字签名的一些认识
持剑
09-22 4719
字签名,其实就是拿我们的私钥对想要签名的内容进行加密的过程。 为什么数字签名能够在互联网中发挥作用呢?这是基于其两个特性。 1)防篡改 比如小明现在用自己的私钥将内容加密之后(签名),然后传给小红,小红可以用小明的公钥进行解密,从而看到内容。 而在这个过程中,虽然其他人也有可能拿到小明的公钥去解密数据,然后看到数据的内容,但是其没有办法将数据修改之后,再重新加密,然后送给小红,因为没有小明的私钥。 所以小明签名过的内容传给小红,就一定还是那些内容,没法篡改。 2)防抵赖 第二个问题就是,你一旦签了名,你就不
证书格式
tsimgsong
12-19 7640
REF:http://zxjgoodboy.blog.sohu.com/71003540.html cer后缀的证书文件有两种编码-->DER二进制编码或者BASE64编码(也就是.pem)p7b一般是证书链,里面包括1到多个证书pfx是指以pkcs#12格式存储的证书和相应私钥。在Security编程中,有几种典型的密码交换信息文件格式:DER-encoded certifica
数字证书格式详细说明【转】
weixin_30510153的博客
09-28 601
数字证书格式 常见的数字证书格式   cer后缀的证书文件有两种编码 DER二进制编码 BASE64编码(也就是.pem) p7b一般是证书链,里面包括1到多个证书 pfx是指以pkcs#12格式存储的证书和相应私钥。 在Security编程中,有几种典型的密码交换信息文件格式:   DER-encoded certi...
【计算机网络】数字签名和数字认证
Free_Ya的博客
04-17 6707
写在前面 要不是学习https,咱可能也不会了解到这~ 大家可以先看下这篇加密方式👉常见的加密方式,不然可能对本文章充满疑惑~ 一、数字签名 1.介绍 签名是什么,是Signature(废话) 我们先把签名带入自己的日常生活中,签名用来保证所承诺的一些内容,在法律上,具有不可抵赖性~【一般是指签合同啦】 那么,网络中要什么签名??? 网络中签名主要保证数据的完整性,主要指的是给数据签名。 这个完整性,一般是指的你发送的报文是不能被修改的~ 2.如何实现签名 这就涉及到了加密技术,我们知道非对称加密是公钥
P10请求
热门推荐
CathyYang82的博客
02-27 1万+
1.   CSR:证书签发请求(Certificate Signing Request),或者叫做认证申请,是一个发送到CA的请求认证信息。       有两种格式,应用最广泛的是由PKCS#10定义的,另一个用的少的是由SPKAC定义的,主要应用于网景浏览器。 2.   在PKCS#10定义中,CSR有两种编码格式:二进制(ASN.1或DER (Distinguished Encodin
认证技术数字签名
爱学习的JackYang的博客
11-02 4228
一:认证技术种) (1)基于共享密钥认证 通信双方有一个共享的密钥,通信基于双方的信任中心,密钥分发中心(KDC),通信前一方A向KDC发送消息(消息中包括一个共享密钥,还有带有A的标志),消息为KA的公钥加密,KDC收到后用A的私钥解密,KDC再用KB的公钥加密,发送给另一方B,B收到以后用自己的私钥解密,得到信息里的共享密钥和A的标志(知道了这是A发来的消息),即Ks,双方用Ks加解密...
数字证书基本知识总结
Lynn_Blog
03-03 4400
本章用于普及证书基本知识,个人总结,如有不对欢迎指正。其他配套章节:OPENSSL证书及格式转换keystore或者JKS证书及转换开头普及一下证书知识,先说通俗的讲解,证书一般分为两种组成,私钥、公钥,这是一套数字证书,有人说证书通过后缀来判断,比如.pem,.cer.crt等,这是很不科学的。名字后缀也是名字,只是让你更清楚的知道这是什么类型的,可不是看到这种类型的就认为他是私钥或者公钥。当然...
"ArgusKeyMatrix602:手机银行数字签名解决方案
信安珞珈终端产品简介.docx 基于 ArgusKeyMatrix602 的解决方案将二维码技术数字签名技术相结合,为手机银行和互联网金融领域带来了创新的安全解决方案。该产品不仅能够提供安全的交易签名功能,还能有效防范钓鱼...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值