數(shù)字證書的原理

1、數(shù)字證書的原理文中首先解釋了加密解密的一些基礎(chǔ)知識(shí)和概念，然后通過一個(gè)加密通信過程的例子說明了加密算法的作用，以及數(shù)字證書的出現(xiàn)所起的作用。接著對(duì)數(shù)字證書做一個(gè)詳細(xì)的解釋，并討論一下windows中數(shù)字證書的管理，最后演示使用makecert生成數(shù)字證書。如果發(fā)現(xiàn)文中有錯(cuò)誤的地方，或者有什么地方說得不夠清楚，歡迎指出！1、基礎(chǔ)知識(shí)這部分內(nèi)容主要解釋一些概念和術(shù)語(yǔ)，最好是先理解這部分內(nèi)容。1.1、公鑰密碼體制(publickeycrypt

2、ography)公鑰密碼體制分為三個(gè)部分，公鑰、私鑰、加密解密算法，它的加密解密過程如下：?加密：通過加密算法和公鑰對(duì)內(nèi)容(或者說明文)進(jìn)行加密，得到密文。加密過程需要用到公鑰。?解密：通過解密算法和私鑰對(duì)密文進(jìn)行解密，得到明文。解密過程需要用到解密算法和私鑰。注意，由公鑰加密的內(nèi)容，只能由私鑰進(jìn)行解密，也就是說，由公鑰加密的內(nèi)容，如果不知道私鑰，是無法解密的。公鑰密碼體制的公鑰和算法都是公開的(這是為什么叫公鑰密碼體制的原因)，私鑰是

3、保密的。大家都以使用公鑰進(jìn)行加密，但是只有私鑰的持有者才能解密。在實(shí)際的使用中，有需要的人會(huì)生成一對(duì)公鑰和私鑰，把公鑰發(fā)布出去給別人使用，自己保留私鑰。1.2、對(duì)稱加密算法(symmetrickeyalgithms)在對(duì)稱加密算法中，加密使用的密鑰和解密使用的密鑰是相同的。也就是說，加密和解密都是使用的同一個(gè)密鑰。因此對(duì)稱加密算法要保證安全性的話，密鑰要做好保密，只能讓使用的人知道，不能對(duì)外公開。這個(gè)和上面的公鑰密碼體制有所不同，公鑰密

4、碼體制中加密是用公鑰，解密使用私鑰，而對(duì)稱加密算法中，加密和解密都是使用同一個(gè)密鑰，不區(qū)分公鑰和私鑰。密鑰，一般就是一個(gè)字符串或數(shù)字，在加密或者解密時(shí)傳遞給加密解密算法。前面在公鑰密碼體制中說到的公鑰、私鑰就是密鑰，公鑰是加密使用的密鑰，私鑰是解密使用的密鑰。1.3、非對(duì)稱加密算法(asymmetrickeyalgithms)在非對(duì)稱加密算法中，加密使用的密鑰和解密使用的密鑰是不相同的。前面所說的公鑰密碼體制就是一種非對(duì)稱加密算法，他的

5、公鑰和是私鑰是不能相同的，也就是說加密使用的密鑰和解密使用的密鑰不同，因此它是一個(gè)非對(duì)稱加密算法。1.4、RSA簡(jiǎn)介RSA是一種公鑰密碼體制，現(xiàn)在使用得很廣泛。如果對(duì)RSA本身有興趣的，后面看我有沒有時(shí)間寫個(gè)RSA的具體介紹。RSA密碼體制是一種公鑰密碼體制，公鑰公開，私鑰保密，它的加密解密算法是公開的。由公鑰加密的內(nèi)容可以并且只能由私鑰進(jìn)行解密，并且由私鑰加密的內(nèi)容可以并且只能由公鑰進(jìn)行解密。也就是說，RSA的這一對(duì)公鑰、私鑰都可以用

6、的這一對(duì)公鑰、私鑰都可以用來加密和解密，并且一方加密的內(nèi)容可以由并且只能由對(duì)方進(jìn)行解密來加密和解密，并且一方加密的內(nèi)容可以由并且只能由對(duì)方進(jìn)行解密。1.5、簽名和加密我們說加密，是指對(duì)某個(gè)內(nèi)容加密，加密后的內(nèi)容還可以通過解密進(jìn)行還原。比如我們把一封郵件進(jìn)行加密，加密后的內(nèi)容在網(wǎng)絡(luò)上進(jìn)行傳輸，接收者在收到后，通過解密可以還原郵件的真實(shí)內(nèi)容。這里主要解釋一下簽名，簽名就是在信息信息的后面再加上一段內(nèi)容，可以證明信息信息沒有被修改過，怎么樣可

7、以達(dá)到這個(gè)效果呢？一般是對(duì)信息信息做一個(gè)hash計(jì)算得到一個(gè)hash值，注意，這個(gè)過程是不可逆的，也就是說無法通過hash值得出原來的信息信息內(nèi)容。在把信息信息發(fā)送出去時(shí)，把這個(gè)hash值加密后做為一個(gè)簽名和信息信息一起發(fā)出去。接收方在收到信息信息后，會(huì)“客戶客戶”“黑客黑客”：向我證明你就是服務(wù)器：向我證明你就是服務(wù)器“黑客黑客”“客戶客戶”：你好，我是服務(wù)器：你好，我是服務(wù)器你好，我是服務(wù)器你好，我是服務(wù)器[？？？？？？|RSA]這

8、里黑客無法冒充，因?yàn)樗恢浪借€私鑰，無法用私鑰私鑰加密某個(gè)字符串后發(fā)送給客戶去驗(yàn)證?！翱蛻艨蛻簟薄昂诳秃诳汀保?？？？？：？？？？由于“黑客”沒有“服務(wù)器”的私鑰，因此它發(fā)送過去的內(nèi)容，“客戶”是無法通過服務(wù)器的公鑰解密的，因此可以認(rèn)定對(duì)方是個(gè)冒牌貨！到這里為止，“客戶”就可以確認(rèn)“服務(wù)器”的身份了，可以放心和“服務(wù)器”進(jìn)行通信，但是這里有一個(gè)問題，通信的內(nèi)容在網(wǎng)絡(luò)上還是無法保密。為什么無法保密呢？通信過程不是可以用公鑰、私鑰加密嗎？其

9、實(shí)用RSA的私鑰和公鑰是不行的，我們來具體分析下過程，看下面的演示：2.3第三回合：“客戶”“服務(wù)器”：你好“服務(wù)器”“客戶”：你好，我是服務(wù)器“客戶”“服務(wù)器”：向我證明你就是服務(wù)器“服務(wù)器”“客戶”：你好，我是服務(wù)器你好，我是服務(wù)器[私鑰|RSA]“客戶”“服務(wù)器”：我的帳號(hào)是aaa，密碼是123，把我的余額的信息發(fā)給我看看[公鑰|RSA]“服務(wù)器”“客戶”：你的余額是100元[私鑰|RSA]注意上面的的信息你的余額是100元[私鑰

10、]，這個(gè)是“服務(wù)器”用私鑰加密后的內(nèi)容，但是我們之前說了，公鑰是發(fā)布出去的，因此所有的人都知道公鑰，所以除了“客戶”，其它的人也可以用公鑰對(duì)你的余額是100元[私鑰]進(jìn)行解密。所以如果“服務(wù)器”用私鑰加密發(fā)給“客戶”，這個(gè)信息是無法保密的，因?yàn)橹灰泄€就可以解密這內(nèi)容。然而“服務(wù)器”也不能用公鑰對(duì)發(fā)送的內(nèi)容進(jìn)行加密，因?yàn)椤翱蛻簟睕]有私鑰，發(fā)送個(gè)“客戶”也解密不了。這樣問題就又來了，那又如何解決呢？在實(shí)際的應(yīng)用過程，一般是通過引入對(duì)稱加

11、密來解決這個(gè)問題，看下面的演示：2.4第四回合：“客戶”“服務(wù)器”：你好“服務(wù)器”“客戶”：你好，我是服務(wù)器“客戶”“服務(wù)器”：向我證明你就是服務(wù)器“服務(wù)器”“客戶”：你好，我是服務(wù)器你好，我是服務(wù)器[私鑰|RSA]“客戶”“服務(wù)器”：我們后面的通信過程，用對(duì)稱加密來進(jìn)行，這里是對(duì)稱加密算法和密鑰[公鑰|RSA]藍(lán)色字體的部分是對(duì)稱加密的算法和密鑰的具體內(nèi)容，客戶把它們發(fā)送給服務(wù)器。“服務(wù)器”“客戶”：OK，收到！[密鑰|對(duì)稱加密算法]

12、“客戶”“服務(wù)器”：我的帳號(hào)是aaa，密碼是123，把我的余額的信息發(fā)給我看看[密鑰|對(duì)稱加密算法]“服務(wù)器”“客戶”：你的余額是100元[密鑰|對(duì)稱加密算法]在上面的通信過程中，“客戶”在確認(rèn)了“服務(wù)器”的身份后，“客戶”自己選擇一個(gè)對(duì)稱加密算法和一個(gè)密鑰，把這個(gè)對(duì)稱加密算法和密鑰一起用公鑰加密后發(fā)送給“服務(wù)器”。注意，由于對(duì)稱加密算法和密鑰是用公鑰加密的，就算這個(gè)加密后的內(nèi)容被“黑客”截獲了，由于沒有私鑰，“黑客”也無從知道對(duì)稱加密

13、算法和密鑰的內(nèi)容。由于是用公鑰加密的，只有私鑰能夠解密，這樣就可以保證只有服務(wù)器可以知道對(duì)稱加密算法和密鑰，而其它人不可能知道(這個(gè)對(duì)稱加密算法和密鑰是“客戶”自己選擇的，所以“客戶”自己當(dāng)然知道如何解密加密)。這樣“服務(wù)器”和“客戶”就可以用對(duì)稱加密算法和密鑰來加密通信的內(nèi)容了?？偨Y(jié)一下，RSA加密算法在這個(gè)通信過程中所起到的作用主要有兩個(gè)：?因?yàn)橐驗(yàn)樗借€私鑰只有只有“服務(wù)器服務(wù)器”擁有，因此擁有，因此“客戶客戶”可以通過判斷對(duì)方是否