CA(Certificate Authority)及其伪造的可能性分析

最新推荐文章于 2024-06-20 07:00:00 发布
最新推荐文章于 2024-06-20 07:00:00 发布
阅读量2.6k 收藏 9
点赞数 5
分类专栏: 信息安全 文章标签: 信息安全 rsa ca证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43536737/article/details/116105004
版权
CA(证书授权机构)负责颁发、认证和管理数字证书,确保非对称加密过程中公钥的可靠性。用户通常依赖预设的可信CA列表,而伪造CA虽然技术上可能,但由于顶级CA的互认证,实际操作非常困难。验证过程涉及对比证书上的数字签名和信息摘要,以确保公钥有效性。
摘要由CSDN通过智能技术生成

CA是什么?有什么作用?

前言

CA 也即证书授权机构,主要职能有颁布、认证和管理数字证书。数字证书用来记录和认证用户的公钥
非对称加密体系中,传递加密信息的基础为,用接收方的公钥对信息进行加密,传递给接收方后,接收方用自己藏好的私钥解密获取信息。(其它人可以拿到接收方的公钥,但无法依据公钥推出私钥,因此即使拿到加密信息,也无法解密。)

CA 在非对称加密过程中的作用就是在 CA 本身可信的基础上,让用户可以确认自己拿到的就是接收方的有效公钥,保证公钥的不可伪造性和完整性。

验证过程

简要梳理一下有 CA 参与的非对称加密体系的大致过程:

现有 A 和 B 两位同学需要使用非对称加密体系进行加密通信(A => B)。

  1. A 首先在 CA 查找 B 的信息,并获取 B 的数字证书。证书上记录着 B 的公钥和 CA 使用自己的私钥加密的数字签名(由 B 的证书信息计算得来)。
  2. CA 会主动将自己的证书返回给 A,里面包含 CA 的公钥。使用该公钥解密 B 的数字证书上的数字签名可获取 B 的信息摘要,然后再把证书上 B 的信息按相同的哈希算法计算出摘要,两相对比,从而确认获取的 B 的公钥是有效的。
  3. A 使用 B 的公钥加密信息后,与信息的摘要一起发送给 B。B 用自己的私钥解密后,计算信息摘要,与传递来的摘要对比,从而确认信息的完整性。

一些问题

如何确保 CA 是可信的?

这个问题反过来就是,我能不能伪造一个 CA 出来?
答案是完全可以!只要我有能力去生产非对称密钥对,然后把自己的信息写的看起来可信,然后就可以去骗去偷袭了。用户拿到我伪造的 CA 的证书,选择相信后,我就可以伪造数字证书,然后让用户用伪造的公钥去传递加密信息。

但是,事情也没有那么容易。大部分用户的主机系统中都预设了顶级的可信 CA,这些顶级 CA 有钱有势,相互认证真实性。伪造的 CA 自然无法通过这些大佬的认证,除非想办法把他们全部买通(值得吗?)。

所以,伪造 CA 技术上可行,其它都不可行。普通用户基本不用去考虑 CA 是否可信,除非是在系统上手动配置信任其它的 CA。

如有差错,欢迎讨论

TommySte
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一文看懂HTTPS、证书机构(CA)、证书、数字签名、私钥、公钥
一只黄鹂鸣翠柳的专栏
05-20 3999
君问归期未有期 说到https,我们就不得不说tls/ssl,那说到tls/ssl,我们就不得不说证书机构(CA)、证书、数字签名、私钥、公钥、对称加密、非对称加密。这些到底有什么用呢,正所谓存在即合理,这篇文章我就带你们捋一捋这其中的关系。 对称加密 对称加密是指双方持有相同的密钥进行通信,加密速度快,但是有一个安全问题,双方怎样获得相同的密钥?你总不能总是拿着U盘把密钥拷贝给对方吧。 常见的对称加密算法有DES、3DES、AES等 非对称加密 非对称加密,又称为公开密钥加密,是为了解决对称加密
通过伪造CA证书,实现SSL中间人攻击
Kiritow的学园
10-14 969
转自http://blog.sina.com.cn/s/blog_4a898cfb0100t8j7.html
证书伪装(Certificate Spoofing)
最新发布
N阶二进制的博客
06-20 1134
证书伪装是一种危险的攻击技术,但通过严格的证书验证、使用证书固定、启用HSTS、教育用户和使用VPN等措施,可以有效防范此类攻击。理解和防范证书伪装是保障网络安全的重要部分。希望此案例能帮助大家更好地理解证书伪装攻击及其防范措施。
CA数字证书
weixin_46899412的博客
07-16 1615
数字证书
ForgeCert:伪造认证证书的神器
gitblog_00008的博客
05-09 312
ForgeCert:伪造认证证书的神器 项目地址:https://gitcode.com/GhostPack/ForgeCert 项目介绍 ForgeCert 是一款基于BouncyCastle C# API的开源工具,其目的是利用被窃取的证书颁发机构(CA证书和私钥来伪造能够通过Active Directory身份验证的任意用户证书。这个攻击方法在"Certified Pre-Own...
CA证书
笔落_惊风雨的博客
12-31 2848
如果有两种选择,其中一种将导致灾难,则必定有人会作出这种选择。即:做事不要有侥幸心理。
看完这篇文章,懂了https的原理
MC_yang
06-06 215
Http存在的问题 上过网的朋友都知道,网络是非常不安全的。尤其是公共场所很多免费的wifi,或许只是攻击者的一个诱饵。还有大家平时喜欢用的万能钥匙,等等。那我们平时上网可能会存在哪些风险呢? 泄密,个人隐私、账户密码等信息可能会被盗取。 篡改,收到的数据可能被第三方修改过,或被植入广告等。 假冒,访问的站点非目标服务器站点。如域名欺骗、域名劫持、钓鱼网站等。 ...
Fiddler抓包工具详细教程
Czm13960503240的博客
02-25 521
Fiddler抓包
弄懂数字签名,公钥私钥,数字证书的一些问题
Tracker647的博客
05-27 851
对称加密和非对称加密各自如何应用? 非对称加密的缺点是比较慢,因此常用的通信方式就是对称加密,对称加密的公钥为了确保机密,通常由私钥方使用非对称加密的方式传输给通信各方,以后的通信就都是基于这个公钥的对称加密。 那非对称加密的公钥是怎么来的? 发起通信的一方(通常是CA)自己生成一个公钥,将带有公钥的数字证书(无法被冒充或篡改)一起发给通信各方。 我怎么就能确定非对称加密传输过来的公钥就是通信方的?有人冒充怎么办? 所以就需要第三方权威机构的介入,通过颁发数字证书为公钥的可信度背书,我向服务器发送请求,服务
数字签名,数字证书及HTTPS原理
dzning123的专栏
05-02 780
1.  数字签名是什么2.  根证书3.  白话Https4. x.509数字证书编码详解数字签名数字签名: 用私钥对信息的摘要加密(达到信息无法伪造的目的)签名的作用无非就是证明某个文件上的内容确实是我写的/我认同的,别人不能冒充我的签名(不可伪造),我也不能否认上面的签名是我的(不可抵赖)。数字签名是非对称密钥加密技术与数字摘要技术的应用。数字证书数字证书最重要的一点是遵循X.509标准HTT...
数字签名和数字证书详解
weixin_34358365的博客
02-27 691
原文件地址:http://www.tuicool.com/articles/7buueeQ密钥分为两种:对称密钥和非对象密钥对称密钥算法:DES 3DES AES,加密算法快非对称密钥算法:RAS,加密算法慢摘要:采用某种摘要算法,将明文转化为固定长度的字符,摘要也被称为指纹.相同的文件内容和文件名具有相同的指纹摘要算法:md5(二进制:128位,16进制:32位),SHA1...
HTTPS科普,看过的人都恍然大悟(三)
螺旋翻转大大雄
02-09 440
在正式介绍证书的格式前,先插播个小广告,科普下数字签名和摘要,然后再对证书进行非深入的介绍。为什么呢?因为数字签名、摘要是证书防伪非常关键的武器。简单的来说,“摘要”就是对传输的内容,通过hash算法计算出一段固定长度的串(是不是联想到了文章摘要)。然后,在通过CA的私钥对这段摘要进行加密,加密后得到的结果就是“数字签名”。(这里提到CA的私钥,后面再进行介绍)明文 --> hash运算 --> 摘要 --> 私钥加密 --> 数字签名结合上面内容,我们知道,这段数字签名只有CA的公钥才能够解密。
Linux系统:CentOS 7 CA证书服务器部署
cronaldo91的博客
08-27 6852
证书请求文件:CSR是Cerificate Signing Request的英文缩写,即证书请求文件,也就是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件,证书申请者只要把CSR文件提交给证书颁发机构后,证书颁发机构使用其根证书的私钥签名就生成了证书文件,也就是颁发给用户的证书。HTTP 明文传输,数据都是未加密的,安全性较差,HTTPS(SSL+HTTP) 数据传输过程是加密的,安全性较好。功能:证书发放、证书更新、证书撤销和证书验证。
【区块链与密码学】第11-06讲:公钥证书
Digquant的博客
06-08 756
同学们可以关注点宽学园,每周持续更新区块链系列课程,小宽带你进入区块链世界
基于sasl认证配置libvirt
weixin_34345753的博客
12-15 3692
Username and Password Authentication with SASL SASL provides username and password authentication as well as data encryption (digest-md5, by default). Since SASL maintains its own user database, the...
HTTPS的过程
TOMORROW-前端
09-17 270
HTTPS其实是有两部分组成:HTTP + SSL / TLS, 也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过TLS进行加密,所以传输的数据都是加密后的数据 客户端发起HTTPS请求 这个没什么好说的,就是用户在浏览器里输入一个https网址,然后连接到server的443端口。 服务端的配置 采用HTTPS协议的服务器必须要有一套数字证书,可以自己制作,也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书则不会
python 伪造ca认证系统
07-20
Python是一种功能强大的编程语言,可以用来进行各种开发和应用。但是在使用Python编写程序时,我们应该遵守法律规定和道德准则,不应该利用Python去伪造CA认证系统。 CACertificate Authority)认证系统是为了确保网络通信的安全性而设计的,用于验证网站和服务器身份的可靠机构。伪造CA认证系统是一种非法行为,可能导致各种安全风险和合规问题。 作为开发人员,我们应该关注如何保护网络通信的安全性,而不是如何破坏它。使用Python可以通过各种方式来提高网络安全性,例如使用加密和身份验证技术、编写安全的网络应用程序等。 如果有合法的需求去学习和了解CA认证系统的工作原理,我们可以通过阅读相关的文档和资料,参加有关网络安全的培训课程,从而获得专业知识和技能。但是我们不应该滥用这些知识和技能,将其用于非法用途。 总之,任何编程语言都应该被用来构建安全可靠的应用程序,为网络通信提供保障。我们应该积极遵守法律法规,遵循道德准则,不利用Python或其他任何编程语言去伪造CA认证系统。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值