公钥、私钥、CA认证、数字签名、U盾

感谢传智播客的方立勋老师,在一个教学视频上,他巧妙地以蒋介石给宋美龄写密信作为例子,生动地讲述了软件密码学知识。

加密分为对称加密和非对称加密,我们传统理解的,发送数据之前使用一个加密器加密,接到数据以后使用解密器解密,这样的过程叫对称加密。而今天要讲的公钥私钥机制是非对称加密。

背景:在互联网上传输极机密的信息(比如网银用户在登录银行系统时使用的账号和密码)时,发送信息的一方和接收信息的一方彼此验证数据真实性及对方身份真实性的一套机制。

以下以用户登录银行系统为例,用户也叫数据发送方,银行也叫数据接收方,用户名密码叫做数据或消息或信息。

公钥私钥--一把钥匙开一把锁:消息发送的发送方和接收方都可以产生自己的公钥和私钥。对同一个人或机构来说,他产生的公钥加密的消息只有他产生的私钥可以解密,他产生的私钥加密的消息只有他产生的公钥可以解密。所谓公钥就是消息接收方发送给消息发送方的一个加密解密一体机, 消息发送方拿到公钥以后,就可以使用它加密一个消息并在发送给消息接收方以后由接收方通过自己手里的私钥来解密。可见,私钥之所谓私是因为他绝对不可以被其他方获得。公钥之所以公是因为它是发送给别人的,这个公钥可能后来被转发给无数个人,也可能被黑客拦截获取,这很好理解。

CA认证--消息发送方确认消息接收方的身份:作为消息发送方,必须确认消息接收方身份的真实性。比如,当你第一次打开银行网站时,虽然你拿到了对方网站发送给你的公钥,但你必须确认对方真的是银行网站而不是钓鱼网站或黑客,因为公钥人人都可以生成,如何判断你收到的公钥是真的银行发给你的呢?此时,CA认证闪亮登场,CA是一个可信的认证公钥的第三方组织,经过它认证过的公钥都是真实的。用户在登录银行系统时,银行通过网络将该行的CA认证书(内含银行公钥)发送给用户的浏览器,每个浏览器都会自动地验证和提示用户安装接收到的CA证书,如果验证不通过就会提示报错信息给用户,避免用户上当。

数字签名--消息接收方确认消息发送方的身份:同样,作为消息接收方,必须确认它收到的消息是真正的消息发送方发来的而不是黑客做的假消息(因为黑客有可能在银行给用户发送CA证书的时候从中拦截获得了CA证书和银行的公钥,然后用公钥加密消息再发给银行),这时就产生了所谓数字签名机制,数字签名是数据发送方将待发送的数据的摘要(一般是MD5摘要)使用发送方的私钥加密以后的结果,用户在发送加密信息给银行时,随同加密信息一起被发出的还有用户的数字签名及用户自己的公钥,银行拿到信息以后,首先使用用户的公钥解开数字签名,拿到MD5摘要码,然后使用自己的私钥解开加密信息,并将得到的信息再进行一次计算摘要,如果计算得到的摘要和解开数字签名得到的摘要相等,则可确认确实是用户发来的消息。为什么叫数字签名这个名字呢,我个人的理解是,你去银行柜台办理业务总是要不停地签名,你的签名是证明你是你的方式,而数字签名的作用也同样是为了向银行证明你就是你,所以叫做签名还是很贴切的。

U盾--直接发到用户手里的CA认证书:由于对CA认证的验证过程是在用户的浏览器里进行的,为了防止黑客劫持了用户的浏览器,在认证过程中做手脚,银行为网银用户发放U盾,直接将CA证书发到用户手里,防止了浏览器劫持带来的问题。

(0)

相关推荐

  • 代码签名、文档签名、数字签名、代码签名证书?

    文档签名和代码签名都属于数字签名 我们在之前发表过的 <数字签名? 电子签名? 傻傻分不清楚! > 文章里就详细介绍了数字签名,它是一种技术手段,使用范围非常广. 而且在和互联网有关的大部 ...

  • 电子签章是如何进行防伪的?

    作为线上合同使用的电子签名的表现形式-电子签章,它通过图像处理技术获得与纸质文件盖章同等的可视效果,同时通过电子签名技术,即非对称加密和报文摘要,使得其具备了识别签署人身份以及认可签署内容的功能,是保 ...

  • pem文件的生成 公钥私钥

    0702pem文件的生成 刚刚的笔记没了,因为电脑蓝屏了,我又没保存.现在再补回. 一开始问题是出在没理解demo里面引用的pem文件.拿来测试)(在demo里先签名,然后紧接着就验签),结果发现,验 ...

  • 公钥,私钥和数字签名这样最好理解

    一.公钥加密 假设一下,我找了两个数字,一个是1,一个是2.我喜欢2这个数字,就保留起来,不告诉你们(私钥),然后我告诉大家,1是我的公钥. 我有一个文件,不能让别人看,我就用1加密了.别人找到了这个 ...

  • 怎样判断驱动程序是否有通过WHQL认证获得微软数字签名

    怎样判断驱动程序是否有通过WHQL认证获得微软数字签名 我们都知道通过了Windows徽标认证(WHQL)获得微软数字签名对于驱动程序的安装和使用是一个稳定象征. 然而,是不是所有微软数字签名的驱动程 ...

  • (1条消息) openssl与公钥、私钥和证书

    ssl:secure socket layer(安全套接层协议)的缩写,通过此协议可以保证两个应用通信的可靠性和保密性. openssl:是ssl协议的实现.提供了对称加密算法.非对称加密算法以及秘钥 ...

  • bd-标注-走进硬件时代的身份认证(三):网银U盾安全认证原理解析

    编者按:你是不是曾经疑惑,开通网银为什么一定要配发U盾呢?今天这篇推送或许可以回答你这个问题.U盾(USBkey),即银行系统在2003年推出并获得国家专利的客户证书USBkey的俗称,是银行提供的办 ...

  • 密钥,私钥,公钥的区分

    首先明确几个基本概念: 1.密钥对,在非对称加密技术中,有两种密钥,分为私钥和公钥,私钥是密钥对所有者持有,不可公布,公钥是密钥对持有者公布给他人的. 2.公钥,公钥用来给数据加密,用公钥加密的数据只 ...

  • 易资讯|努比亚新机Z30 Pro官宣,疑似三星Z Flip 3已通过3C认证……

    努比亚新机Z30 Pro官宣 继此前努比亚方面对Z系列新机进行预热,并且外界已经开始陆续有这款新机的相关爆料出现后,近日官方也公布了这款将被命名为Z30 Pro的新机相关信息,并确认其将于5月20日正 ...

  • 顶着盾山拿姜子牙?QG被网友调侃放水,RNGM获得资格胜之不武

    KPL春季赛第二轮的比赛已经接近尾声,某些战队的比赛已经全部结束,没有结束的战队,也仅仅只剩下一场比赛,不过越到最后的比赛,就越关键,就像是B组的一场比赛,QG对战RNGM. QG其实已经获得了卡位赛 ...

  • 动物外骨骼“矛”和“盾”中优化的多层结构和力学、化学梯度

    合肥讯     生物界中存在许多梯度结构设计的攻击与防御"工具".这些梯度材料为我们提供了多个仿生材料设计原理.近期,中国科学技术大学中科院材料力学行为与设计重点实验室骆天治教授团 ...