公钥私钥数字证书及工作原理

1 公钥私钥数字证书及工作原理

公/私钥成对出现，私钥加的密用公钥解，公钥加的密用私钥解密。
公钥一般用于加密，验证签名
私钥一般用于签名
签名的具体作法：
首先将信息“*”通过散列算法计算后得到的报文摘要，然后通过私钥对摘要进行加密，后面签名有三种证书：建
行CA认证中心的根证书、建行网银中心的服务器证书，每 个网上银行用户在浏览器端的客户证书。有了这三个证书，就可
以在浏览器与建行网银服务器之间建立起SSL连接。这样，您的浏览器与建行网银服务器之间就有 了一个安全的加密信道
。您的证书可以使与您通讯的对方验证您的身份（您确实是您所声称的那个您），同样，您也可以用与您通讯的对方的证
书验证他的身份（他 确实是他所声称的那个他），而这一验证过程是由系统自动完成的。
银行系统一般是：
1. 用对方的公钥加密数据，对方收到后用自己的私钥解密；
2. 用你自己的私钥签名数据，对方收到后用你自己的公钥验证签名。
网银在传递数据过程中要把”传递的数据“用自己的私钥进行签名，而且要把”传递的数据“用公钥进行加密
客户端有自己的私钥和一个数字证书，其中私钥和服务器中的公钥成对，而且是数字证书中的公钥和服务器上的私钥成对
匹配.
过程如下：
（1）客户A准备好要传送的数字信息（明文）。　　
　　（2）客户A对数字信息进行哈希（hash）运算，得到一个信息摘要。
　　3）客户A用自己的私钥（SK）对信息摘要进行加密得到客户A的数字签名，并将其附在数字信息上。
　　4）客户A随机产生一个加密密钥（DES密钥），并用此密钥对要发送的信息进行加密，形成密文。
　　5）客户A用双方共有的公钥（PK）对刚才随机产生的加密密钥进行加密，将加密后的DES密钥连同密文一起传送给乙。
　　6）银行B收到客户A传送过来的密文和加过密的DES密钥，先用自己的私钥（SK）对加密的DES密钥进行解密，得到DES
密钥。　　
　　7）银行B然后用DES密钥对收到的密文进行解密，得到明文的数字信息，然后将DES密钥抛弃（即DES密钥作废）。
　　8）银行B用双方共有的公钥（PK）对客户A的数字签名进行解密，得到信息摘要。银行B用相同的hash算法对收到的明
文再进行一次hash运算，得到一个新的信息摘要。　　
　　9）银行B将收到的信息摘要和新产生的信息摘要进行比较，如果一致，说明收到的信息没有被修改过。

2 ssh公钥私钥认证原理

通常，通过ssh登录远程服务器时，使用密码认证，分别输入用户名和密码，两者满足一定规则就可以登录。但是密码认证有以下的缺点：

用户无法设置空密码（即使系统允许空密码，也会十分危险）
密码容易被人偷窥或猜到
服务器上的一个帐户若要给多人使用，则必须让所有使用者都知道密码，导致密码容易泄露，而且修改密码时必须通知所有人
而使用公钥认证则可以解决上述问题。

公钥认证允许使用空密码，省去每次登录都需要输入密码的麻烦
多个使用者可以通过各自的密钥登录到系统上的同一个用户
公钥认证的原理
所谓的公钥认证，实际上是使用一对加密字符串，一个称为公钥(public key)，任何人都可以看到其内容，用于加密；另一个称为密钥(private key)，只有拥有者才能看到，用于解密。通过公钥加密过的密文使用密钥可以轻松解密，但根据公钥来猜测密钥却十分困难。

ssh 的公钥认证就是使用了这一特性。服务器和客户端都各自拥有自己的公钥和密钥。为了说明方便，以下将使用这些符号。

Ac 客户端公钥
Bc 客户端密钥
As 服务器公钥
Bs 服务器密钥

在认证之前，客户端需要通过某种方法将公钥 Ac 登录到服务器上。

认证过程分为两个步骤。

会话密钥(session key)生成
客户端请求连接服务器，服务器将 As 发送给客户端。
服务器生成会话ID(session id)，设为 p，发送给客户端。
客户端生成会话密钥(session key)，设为 q，并计算 r = p xor q。
客户端将 r 用 As 进行加密，结果发送给服务器。
服务器用 Bs 进行解密，获得 r。
服务器进行 r xor p 的运算，获得 q。
至此服务器和客户端都知道了会话密钥q，以后的传输都将被 q 加密。
认证
服务器生成随机数 x，并用 Ac 加密后生成结果 S(x)，发送给客户端
客户端使用 Bc 解密 S(x) 得到 x
客户端计算 q + x 的 md5 值 n(q+x)，q为上一步得到的会话密钥
服务器计算 q + x 的 md5 值 m(q+x)
客户端将 n(q+x) 发送给服务器
服务器比较 m(q+x) 和 n(q+x)，两者相同则认证成功

一直以来对公钥和私钥都理解得不是很透彻，感觉到模棱两可，心里直打鼓呢。公钥怎么会事？私钥怎么会事？工作原理是怎么的？今天在网上找了半天，通过查看大家对这个密钥对的理解，总算弄清楚了，咱就把我的心得写出来给大家对密钥对有疑问的同志们看看。
公钥和私钥就是俗称的不对称加密方式，是从以前的对称加密（使用用户名与密码）方式的提高。我用电子邮件的方式说明一下原理。
使用公钥与私钥的目的就是实现安全的电子邮件，必须实现如下目的：
1. 我发送给你的内容必须加密，在邮件的传输过程中不能被别人看到。
2. 必须保证是我发送的邮件，不是别人冒充我的。
要达到这样的目标必须发送邮件的两人都有公钥和私钥。
公钥，就是给大家用的，你可以通过电子邮件发布，可以通过网站让别人下载，公钥其实是用来加密/验章用的。私钥，就是自己的，必须非常小心保存，最好加上 密码，私钥是用来解密/签章，首先就Key的所有权来说，私钥只有个人拥有。公钥与私钥的作用是：用公钥加密的内容只能用私钥解密，用私钥加密的内容只能 用公钥解密。
比如说，我要给你发送一个加密的邮件。首先，我必须拥有你的公钥，你也必须拥有我的公钥。
首先，我用你的公钥给这个邮件加密，这样就保证这个邮件不被别人看到，而且保证这个邮件在传送过程中没有被修改。你收到邮件后，用你的私钥就可以解密，就能看到内容。
其次我用我的私钥给这个邮件加密，发送到你手里后，你可以用我的公钥解密。因为私钥只有我手里有，这样就保证了这个邮件是我发送的。
当A->B资料时，A会使用B的公钥加密，这样才能确保只有B能解开，否则普罗大众都能解开加密的讯息，就是去了资料的保密性。验证方面则是使用签 验章的机制，A传资料给大家时，会以自己的私钥做签章，如此所有收到讯息的人都可以用A的公钥进行验章，便可确认讯息是由 A 发出来的了。

转自：https://www.cnblogs.com/alexyuyu/articles/3797197.html。