终于弄懂了什么是PKI技术,非对称加解密,证书,数字签名

最新推荐文章于 2024-02-06 22:52:38 发布
最新推荐文章于 2024-02-06 22:52:38 发布
阅读量239 收藏 1
点赞数
文章标签: 网络 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41401387/article/details/132747226
版权

PKI技术

1.概述

名称:公钥基础设施技术Public Key Infrastructure

作用:保证信息安全,通过数字签名+加密技术

组成:公钥加密技术,数字证书,CA(证书办法机构),RA(相当于CA的分部)

这四个组成来完成加密和数字签名来完成公钥基础设计技术,保证信息安全

2.信息安全三要素

2.1 机密性

不被其他人知道内容

2.2 完整性

不被别人修改,破坏

2.3 身份验证

不被其他人伪装

哪些领域用到

3.常见使用 领域

  • SSL/HTTPS
  • VPN

4.公钥加密技术

作用:给信息加密、数字签名等做安全保障

4.1 加密算法

举例X+5=Y,这就是一个简单的算法,其中

X是原文

Y是密文

5就是密钥

简单说算法就是给了原文,密钥,可以得到密文的一种机算方法

1)对称加密算法

加解密的密钥一致(密钥容易丢失,加解密双方使用的是同一个密钥,在相互协定密钥值或者密钥传输时就可能被监听到密钥内容)

常见的有DES(基础加密算法),3DES,AES(高级加密算法)

2)非对称加密算法

需要四个密钥,

  • 通信加解密双方各自需要(一对公私钥)
  • 双方各自交换公钥
  • 公钥和私钥为互相加解密的配对关系:用公钥加密的必须用私钥才能解开,用私钥加密的必须用公钥解开
  • 公私钥虽然时一对的,但是不能互相逆推(好神奇,但是不知道为什么)

常见的有RSA(比如https就是),DH算法

5.非对称加密算法原理

5.1 只能保证机密性的方案

  • 加解密双方互相持有对方的公钥。加密者用解密者公钥加密,并发送给解密者,解密者用自己的私钥解密即可

image-20230907175541531

5.2 能保证完整性的方案

这里的加密信息传递流程如上图

1.AB互相交换公钥,且约定用RSA加解密

2.A想给B发送一个信息,用B的公钥加密,得到密文文件

3.不直接密文文件发给B,而是将密文文件进行hash,得到一个数字签名,再用自己的私钥对数字签名加密

4.将密文文件和数字签名密文一起发给B

5.B收到后解密,先拿到密文签名,发现可以用A发送给自己的公钥解开,证明这个人是可信的

6.解析密文,将密文hash,发现得到的hash与收到的hash(这个hash是a用私钥加密过再用a的公钥解开的)一致。说明这个密文文件没有被篡改过

7.B放心的用自己的私钥解密,得到了明文信息

5.3 补充:hash算法

hash算法可以将无论多大的数据得到一个唯一的值,比如一个100G的文件,用hash之后,就得到一串唯一的字符串。hash值也叫摘要,且是不可逆算法,所以hash的作用只有一个就是验证完整性。比如很多大型文件下载的最后会做校验,这样如果有数据损坏了,会提示出来

最常用的hash算法有md5,sha,sha-128,sha-256,后面的数字是不同的长度

用md5sum +文件名,可以查看文件的md5值,要确定同名文件是不是同一个文件,可以用md5值进行比较,相同,则是同一个文件

md5sum ~/.bashrc   # linux查看文件md5值
certtuil -hashfile xxx.txt  md5    # win查看文件的md5值

image-20230907201911097

hash算法得到的值就是文件的数字签名,在加密内容里经常放在密文文件头里,做完整性校验

5.4 可能被拦截冒充

Q问题

如果在A,B交换公钥的时候,有一个人C,拦截了A的公钥,发送的是自己的公钥,那B就没办法知道了,这样就有了漏洞

等B收到信息的时候,发现用A的公钥yyy可以解密,他以为是A,因为信息是A的私钥加密的,殊不知,他最开始收到的就不是A的公钥,错误从一开始就埋下了!

image-20230907204441579

5.5 CA机构辅助身份验证

为了解决这个问题,就需要有一个第三方来证明发送消息的的确是A,这个机构就是CA

image-20230907213012847

流程如下:

1、A和B都信任CA这个证书颁发机构,在他们的电脑上有信任的机构列表

2、A要给B发信息了,先从CA注册申请一个证书,CA把A的信息,比如ip,公钥,姓名等收集起来,并且用自己的私钥999加密就得到了数字签名,把这个数字签名和信息放在一起,并且盖个章,说这个证书我公证过了,把证书颁发给A

3、A发送信息的时候,把公钥和这个证书一起发送给B,试图让B相信自己就是A,而不是别人冒充的

4、B收到信息之后,核对A的信息,拿到证书,去自己电脑看这个机构是不是合法的,然后用这个机构的公钥解开了信息,得到了 公钥,与A发过来的公钥一样,说明 A就是A,不是别人冒充,在AB双方信任的基础上,使用非对称加密的方式,再用公私钥,hash等保证数据的秘密性,完整性

5.6 补充:数字签名

image-20230907220256442

数字签名简单理解就是用自己的私钥加密,拥有自己的独有气息

高亮部分就是签名的过程,就是用自己的私钥加密某个信息,对方可以用我发过去的公钥解开,那这个签名就没有问题,现在的数字签名一般都是对摘要签名,也就是hash值。因为如果对原文加密,可能会导致签名太大,摘要就很小了

5.7 补充:证书

证书就是保证公钥的合法性,数字证书必须由权威的第三方机构即CA颁发

证书格式遵循X.509标准,不论那个CA的证书,全球 标准统一

包含的信息:

  • 使用者的公钥
  • 使用者的标识信息(比如名称,email)
  • 有效期
  • 颁发者标识(CA的名字)
  • 颁发者数字签名
刘知之
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
bombing:2证书认证系统设计与实现-pki技术介绍
bombing的专栏
02-27 1297
第二章 PKI技术介绍 PKI技术多种多样,应用常广泛;本章介绍这些基本技术证书认证系统的设计与实现使用了以下典型PKI技术数字证书数字信封、微软CryptoAPI、SSL协议、LDAP标准、OCSP协议等。 2.1数字证书概念及元素分析 数字证书[2](Digital certificate)是一种“网络身份证”,它由证书认证中心签发;它是一种包含持有者信息、持有者公钥、颁发者
基于PKI技术的数据解密解决方案实用文档doc.doc
12-01
基于PKI技术的数据解密解决方案实用文档doc.doc
PKI学习(二),对称
weixin_33816611的博客
01-11 103
在上一篇博文中我们聊了对称密,对称密的密和解密使用了同一个密钥,那么对称密钥是否存在缺点呢? 如下图就是对称密的简图,从下图中我们可以看到当一个用户他同时想和A,B,C三个用户进行发送密数据的时候,该用户必须拥有三个密钥,那么假设该用户是要和公司所有的人要进行发送密数据的话可想而知,他维护的密钥数将相当的多,此外他还必须告知对方密使用的密钥,这样收到密钥数据的...
PKIQRScan:基于PKI的二维码安全认证系统-后端部分
05-26
弹簧websocket SpringMVC + SpringWebSocket + SockjsClient
PKI - 02 对称对称密钥算法
最新发布
小工匠
02-06 2826
对称密钥算法和对称密钥算法是两种常见的技术,它们在密和解密数据时采用不同的方法。对称密钥算法对称密钥算法使用相同的密钥来密和解密数据。密者和解密者必须共享相同的密钥。密速度快,适合大量数据的密和解密。典型的对称密钥算法包括DES、3DES、AES等。缺点是密钥管理困难,需要安全地共享密钥,并且在传输过程中可能会被窃取。对称密钥算法对称密钥算法使用一对密钥,分别是公钥和私钥,用于密和解密数据。公钥是公开的,任何人都可以使用它来密数据;
PKI/CA与数字证书技术大全
12-06
从网络上找到这PKI/CA与数字证书技术大全和PKI原理与技术两部分内容,汇总一下,供大家一起学习PKI相关知识
基于PKI技术的数据解密解决方案(完整资料).doc
12-01
基于PKI技术的数据解密解决方案(完整资料).doc
基于PKI技术的数据解密解决资料.pdf
09-12
"基于PKI技术的数据解密解决方案" 本文档旨在介绍基于PKI(Public Key Infrastructure,公共密钥基础设施)技术的数据解密解决方案。PKI是一种安全的身份验证和密机制,广泛应用于各个领域。 背景 PKI...
基于PKI技术的数据解密解决方案.pdf
08-18
"基于PKI技术的数据解密解决方案" 本文档介绍了基于PKI(Public Key Infrastructure,公钥基础设施)技术的数据解密解决方案。PKI是一种安全的身份验证和密方法,广泛应用于数据密、数字签名和身份验证...
数字证书技术大全
03-12
所有与数字证书相关的各种概念和技术,统称为PKI( Public Key Infrastructure 公钥基础设施),为解决公钥与用户映射关系问题,PKI引入了数字证书数字证书里包含了用户身份信息,用户公钥信息(两者用于确定用户)和CA的私钥数字签名(使用CA的公钥可判断证书是否被篡改)。
PKI/CA与数字证书技术大全
01-31 452
传说这本书是中国第一部全面介绍数字证书技术的书籍,里面涵盖技术、标准、运营、法规等内容。为方便读者快速理解PKI、快速把握数字证书技术,并能快速运用到具体的工作当中
一文搞PKI/CA
聚集机器学习、信息安全
12-01 4067
公钥基础设施(PKI,Public Key Infrastructure)是基于公钥密码学的,提供安全服务的基础设施,核心是要解决信息网络空间中的信任问题,确定可信赖的数字身份,保证传输信息的机密性、完整性、认证性和不可否认性,广泛应用于电子商务、电子政务等领域。
PKI和CA 介绍
热门推荐
从菜鸟到菜菜鸟
03-06 6万+
        公钥基础设施(Public Key Infrastructure,简称PKI)是目前网络安全建设的基础与核心,是电子商务安全实施的基本保障,因 此,对PKI技术的研究和开发成为目前信息安全领域的热点。本文对PKI技术进行了全面的分析和总结,其中包括PKI组成、证书认证机构CA、PKI应 用、应用编程接口和PKI标准等,并对CA的开发做了简要分析。本文对PKI,特别是CA的开发、应用...
PKI - 数字签名数字证书
小工匠
01-24 3324
SSL是一种安全协议,用于在网络传输中提供数据密、身份验证和完整性保护。它基于传输层协议(如TCP),并为其提供密和安全功能。对称密和对称对称密:使用相同的密钥进行密和解密对称密:使用两个密钥:公钥用于密,私钥用于解密数字签名:用于验证数据的完整性和身份验证。发送方使用私钥对数据签名,接收方使用公钥验证签名数字证书:由可信第三方颁发的电子文档,其中包含有关个人或组织的身份信息以及公钥。SSL协议。
防火墙——隧道技术分类、解密技术PKI数字证书讲解
m0_49864110的博客
05-01 1803
然后用根证书的公钥去解密验证上一层(中级1)证书的合法性,再拿上一层(中级1)证书的公钥去验证更上一层(中级2)证书的合法性,递归回溯,最后验证服务端的证书是可信任的。在实际应用中,由于本地能够存储的CA证书是有限的,所以系统一般只内置了顶级CA机构的证书(根证书),而其它机构的证书则通过信任链的方式进行证书的颁发。CA对每个人的公钥进行认证,并使用CA的私钥进行密发送给用户(所以我们获取到的公钥就在CA使用私钥密后的证书中,然后我们使用CA的公钥进行解密得到证书
PKI密体系密过程及原理
weixin_48816383的博客
12-14 9611
文章目录前言一、基本相关概念1.信息安全CIA三要素2.密码学基本相关概念密钥/解密算法3.数字签名/数字证书4.CA/RA机构二、PKI体系1.第一层级:数据密与密钥保密(密传输,保证数据的保密性)2.第二层级:单向密数据,保证数据的完整性(消息认证码)3.数字签名:消息认证与身份认证4.数字证书:身份认证——不可抵赖性 前言 本文依据自己的工作经验,参考相关文献文档简述PKI密体系的密过程及原理。 一、基本相关概念 注:PKI全称公钥基础设施,主要用于保障数据传输交换过程诸如完整性、保密.
PKI/CA与数字证书
J.D.的博客
03-13 2万+
关于 PKI 整体框架。
PKI 体系概述
云上笛暮
12-10 3981
CA中心——CA系统——数字证书 CA 中心管理并运营 CA 系统,CA 系统负责颁发数字证书。 专门负责颁发数字证书的系统称为 CA 系统,负责管理并运营 CA 系统的机构称为 CA 中心。所有与数字证书相关的各种概念和技术,统称为 PKI(Public Key Infrastructure)。 传统密码学 换位密法; 替换密法; 现代密码学密基元 密基元就是一些基础的密码学算法,通过它们才能够构建更多的密码学算法、协议、应用程序。 说明: 散列函数(散列(hash)、指纹.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值