PKI
名称:(Public Key Infrastructure)
公钥基础设施是一个包括硬件、软件、人员、策略和规程的集合,用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能。
PKI体系是计算机软硬件、权威机构及应用系统的结合。它为实施电子商务、电子政务、办公自动化等提供了基本的安全服务,从而使那些彼此不认识或距离很远的用户能通过信任链安全地交流。
总结:公钥和私钥是成对的,它们互相解密。
公钥加密,私钥解密。
私钥数字签名,公钥验证。
作用:通过加密技术和数字签名保证信息安全
组成 :公钥加密技术,数字证书,CA,RA
(PKI策略、软硬件系统、证书机构CA、注册机构RA、证书发布系统和PKI应用等)
信息安全三要素
机密性
完整性
身份验证/操作的不可否认性
那些IT领域用到PKI
1)SSL/HTTPS
2)IPsecVPN
3)部分远程访问VPN
公钥加密技术
作用:实现对数据的加密,数字签名等安全保障
加密算法:
1)对称加密算法:加密解密的密钥一致
2)非对称加密算法:需要一对公私钥
对称加密对称加密指的就是加密和解密使用同一个秘钥,所以叫做对称加密。对称加密只有一个秘钥,作为私钥。
具体算法有:DES,3DES,TDEA, Blowfish,RC5,IDEA。常见的有:DES,AES,3DES等等优点:算法公开、计算量小、加空速度快、加密效率高。缺点:秘钥的管理和分发非常困难,不够安全。在数据传送前,发送方和接收方必须商定好秘钥,然后双方都必须要保存好秘钥,如果一方的秘钥被泄露,那么加密信息也就不安全了。另外,每对用户每次使用对称加空算法时,都需要使用其他人不知道的唯秘钥,这会使得收、发双方所拥有的钥匙数量巨大,密钥管理成为双方的负担。
非对称加密非对称加密指的是:加密和解密使用不同的秘钥,一把作为公开的公钥,另一把作为私钥。公钥加密的信息,只有私钥才能解密。私钥加密的信息,只有公钥才能解密。私钥只能由一方安全保管,不能外泄,而公钥则可以发给任何请求它的人。非对称加空使用这对密钥中的个进行加空,而解密则需要另一个密钥。
我们常见的数字证书、加密狗即是采用非对称加密来完成安全验证的。
优点:安全性更高,公钥是公开的,秘钥是自己保存的,不需要将私钥给别人。缺点:加密和解密花费时间长、速度慢,只适合对少量数据进行加密。
主要算法:RSA、 Elgamal、背包算法、 Rabin、HD,ECC(椭圆曲纬加密算法)。常见的有:RSA,EC区别对称加密算法相比非对称加密算法来说,加解密的效率要高得多。但是缺陷在于对于秘钥的管理上,以及在非安全信道中通讯时,密钥交换的安全性不能保障。所以在实际的网络环境中,会将两者混合使用
参考连接:https://cloud.tencent.com/developer/news/214500
3)公钥私钥不可相互逆推
4)证书:
证书用于保证公密的合法性
证书格式遵循X.509标准
数字证书包含信息:
使用者的公钥值
使用者标识信息(如名称和电子邮件地址)
有效期(证书的有效时间)
颁发者标识信息
颁发者的数字签名