数字签名密钥管理

《数字签名密钥管理》由会员分享，可在线阅读，更多相关《数字签名密钥管理（62页珍藏版）》请在装配图网上搜索。

1、Copyright by 王鲲鹏 2012年4月8日计算机安全技术与实践计算机安全技术与实践 数字签名，密钥管理数字签名，密钥管理Copyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 为了承诺为了承诺 数字签名是密码学发展过程中的最重要的概念之一数字签名是密码学发展过程中的最重要的概念之一。数字签名可以提供其他方法难以实现的安全性。数字签名可以提供其他方法难以实现的安全性-抗抵赖。抗抵赖。抵抗内部攻击！抵抗内部攻击！Copyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 数字签名数字签名 Digita

2、l Signature 加密加密 报文鉴别报文鉴别 数字签名数字签名 抵制通信双方的抵赖抵制通信双方的抵赖 对方对方(自己自己)否认发送过或收到过某个报文否认发送过或收到过某个报文 向对方表明自己的身份向对方表明自己的身份Copyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 数字签名数字签名 消息认证基于共享秘密，不能防止抵赖消息认证基于共享秘密，不能防止抵赖 只是只是2方合作抵抗第方合作抵抗第3方窜改方窜改/假冒假冒 共享的秘密不具有排他性质共享的秘密不具有排他性质 双方有同样的不分彼此地能力；因此对某个报文的存在和双方有同样的不分彼此地能力；

3、因此对某个报文的存在和有效性，每一方都不能证明是自己所为，或者是和自己无有效性，每一方都不能证明是自己所为，或者是和自己无关关 特异性特异性 要想实现类似签名的安全能力，必须使每个人使用独有的要想实现类似签名的安全能力，必须使每个人使用独有的秘密秘密Copyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 考察手写签名的特性考察手写签名的特性 签名的含义签名的含义 签名者慎重表达认可文件内容的意向的行为签名者慎重表达认可文件内容的意向的行为 主要形式主要形式 手写签名、签章、手指纹印手写签名、签章、手指纹印(其他生物技术其他生物技术)特性特性 不可伪

4、造，特异性不可伪造，特异性 不可重用，日期和时间相关性不可重用，日期和时间相关性 不可改变，能发现涂改、转移意义或用途不可改变，能发现涂改、转移意义或用途 不可抵赖，能够质证不可抵赖，能够质证 可仲裁的，可做为法律证据可仲裁的，可做为法律证据Copyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 数字签名数字签名:要适应的新变化要适应的新变化 数字签名数字签名手写签名手写签名 数字文件数字文件纸版文件纸版文件 数字小文件数字小文件手写字（签章）手写字（签章）如何绑定如何绑定?同一页纸同一页纸 关于扫描手写字迹、鼠标手写关于扫描手写字迹、鼠标手写 N

5、o!Copyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 手写签名的数字化改造手写签名的数字化改造 数学支持签名函数数学支持签名函数 被签署的是文件被签署的是文件(大文件大文件)签名生成另外一个文件签名生成另外一个文件(小文件小文件)签名过程一定有签署人的身份和某种秘密签名过程一定有签署人的身份和某种秘密(别人不知的别人不知的)参参与与 简单易行简单易行计算计算/存储存储签名函数报文（大）报文签名（小）身份和秘密身份和秘密Copyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 用私钥加密当作签名用私钥

6、加密当作签名 主要操作主要操作 输入输入 报文明文、私钥报文明文、私钥 md=s 输出输出 报文明文、报文密文报文明文、报文密文(签名签名)(m,s)验证验证 se=?m 是否满足签名要求的特性是否满足签名要求的特性 讨论讨论 私钥私钥(其实是公钥其实是公钥)的管理的管理:和身份绑定、更新等和身份绑定、更新等 签名过程太慢签名过程太慢:启用散列函数启用散列函数 改进改进 对报文的散列值用私钥加密得到和对报文的散列值用私钥加密得到和n等宽的签名值等宽的签名值Copyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 数字签数字签名的一名的一般模型般模型C

7、opyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 数字签数字签名过程名过程机制机制Copyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 无中心数字签名无中心数字签名 直接使用自己的私钥加密作为签名直接使用自己的私钥加密作为签名 无中心无中心 存在问题存在问题 声称私钥被偷窃而抵赖。虽然可以给报文添加时间戳，声称私钥被偷窃而抵赖。虽然可以给报文添加时间戳，并要求用户必须及时挂失私钥，但是盗用者仍可以伪造并要求用户必须及时挂失私钥，但是盗用者仍可以伪造较早期的签名。较早期的签名。引入中心可以有很多优点

8、，同时也很多缺点。引入中心可以有很多优点，同时也很多缺点。Copyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 有信任中心帮助的签名有信任中心帮助的签名 优点：可以简化用户的考虑，甚至可以使用对称算法优点：可以简化用户的考虑，甚至可以使用对称算法缺点：中心的安全故障、在线瓶颈、可靠性等问题缺点：中心的安全故障、在线瓶颈、可靠性等问题Copyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 13.1a PKCS#1V2.1 Outline RSA public key：(n，e)RSA private k

9、ey：(n，d)ed1 mod(n)其中其中是是n的的(素因子素因子-1)的的LCM I2OSP(Integer-to-Octet-String primitive)给定正整数给定正整数x，输出字节串，输出字节串X=X1X2X3x2560X12561X22562X3 OS2IP(Octet-String-to-Integer primitive)输入字节串，返回整数值输入字节串，返回整数值Copyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 RSA Primitive RSAEP(n,e),m)c=me mod n RSADP(n,d),c)m=

10、cd mod n RSASP1(n,d),m)s=md mod n RSAVP1(n,e),s)m=se mod nCopyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 Encryption Schemes ESRSAES-OAEP(Optimal Asymmetric Encryption Padding)new,recommendedRSAES-PKCS1-v1_5 obsolete RSAES-OAEPEME-OAEPRSAEP/RSADP RSAES-PKCS1-v1_5EME-PKCS1-v1_5RSAEP/RSADPCopyright

11、 by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 RSAES-OAEP RSAES-OAEP-ENCRYPT(n,e),M,L)Option:Hash of hLen-byte MGF mask generation function(output,an octet string)mLen=k-2hLen-2 L optional label to be associated with the message|L|=261-1 octets for SHA-1 EME-OAEP encoding EM=0 x00|maskedSeed|maskedDB m=O

12、S2IP(EM)c=RSAEP(n,e),m)C=I2OSP(c,k)RSAES-OAEP-DECRYPT(K(n,d),C,L)Copyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 EME-OAEP encoding operation PS lHash M seed DB=EM=a MGF MGF 00 00 maskedSeed maskedDB Copyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 Signature schemes with appendix SSRSASSA-PSS(Pr

13、obabilistic Signature Scheme)new,recommendedRSASSA-PKCS1-v1_5 obsolete RSASSA-PSSEMSA-PSSRSASP1/RSAVP1 RSASSA-PKCS1-v1_5EMSA-PKCS1-v1_5RSASP1/RSAVP1Copyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 RSASSA-PSS RSASSA-PSS-SIGN(K=(n,d),M)EM=EMSA-PSS-ENCODE(M,modBits 1)m=OS2IP(EM)s=RSASP1(K,m)S=I2OSP(s

14、,k)RSASSA-PSS-VERIFY (n,e),M,S)Copyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 RSASSA-PKCS1-v1_5 RSASSA-PKCS1-V1_5-SIGN(K(n,d),M)EM=EMSA-PKCS1-V1_5-ENCODE(M,k)m=OS2IP(EM)s =RSASP1(K,m)S=I2OSP(s,k)RSASSA-PKCS1-V1_5-VERIFY(n,e),M,S)Copyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 Encoding methods

15、 for signatures with appendix EM EMSA-PSS EMSA-PKCS1-v1_5 EMSA-PSS EMSA-PSS-ENCODE(M,emBits)EMSA-PSS-VERIFY(M,EM,emBits)EMSA-PKCS1-v1_5 EMSA-PKCS1-v1_5-ENCODE(M,emLen)Copyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 EMSA-PSS encoding operation bc padding2 maskedDB M M padding1 mHash salt salt H MG

16、F M=DB=EM=a Hash Hash Copyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 EMSA-PKCS1-v1_5 EMSA-PKCS1-v1_5-ENCODE(M,emLen)Option:Hash of hLen-byte emLen at least tLen+11 H=Hash(M)T=HashIDH (ASN.1编码编码)DigestInfo:=SEQUENCE digestAlgorithm AlgorithmIdentifier,digest OCTET STRING PS:emLen-tLen-3(8+B)octet

17、s with value 0 xff EM=0 x00|0 x01|PS|0 x00|T Copyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 对对HASH的的ASN.1编码编码(in EMSA-PKCS1-v1_5)MD2ref laymans guide30 20 30 0c 06 08 2a 86 48 86 f7 0d 02 02 05 00 04 10|H MD530 20 30 0c 06 08 2a 86 48 86 f7 0d 02 05 05 00 04 10|H SHA-130 21 30 09 06 05 2b 0e 03

18、02 1a 05 00 04 14|H SHA-25630 31 30 0d 06 09 60 86 48 01 65 03 04 02 01 05 00 04 20|H SHA-38430 41 30 0d 06 09 60 86 48 01 65 03 04 02 02 05 00 04 30|H SHA-51230 51 30 0d 06 09 60 86 48 01 65 03 04 02 03 05 00 04 40|HCopyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 回顾回顾ElGamal加密体制加密体制 准备准备 素数素数p，Z

19、p*中本原元中本原元g，公开参数，公开参数 私钥私钥a，公钥，公钥b=ga mod p 加密加密 对明文对明文1=m=p-1，选随机数，选随机数k 密文密文(c1,c2)c1=gk mod p,c2=mbk mod p 解密解密 mc2(c1a)-1mbk(gk)a)-1 m(ga)k(g-ka)m mod pCopyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 Zp满足离散对数问题难解，满足离散对数问题难解，是生成元是生成元设设P P Zp*，A A Zp*Zp-1 K K(p,a,),=a(mod p)私钥是私钥是a 签名时，取秘密随机数签名

20、时，取秘密随机数kZp-1*，定义定义sig(x,k)=(,),(k mod p,(x-a)k-1 mod(p-1)验证验证 ver(x,(,)：?x mod pCopyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 验证正确性证明验证正确性证明 如果如果(x,)是真实签名是真实签名aka+k而而 (x-a)k-1 mod(p)即即 ax-k mod(p)故故 n(p)+x-k+k n(p)+x n(p)x x mod p 其实其实就是签名时从就是签名时从 k ka ax解出来得解出来得Copyright by 王鲲鹏 Copyright by 王

21、鲲鹏 Copyright by 王鲲鹏 签名计算实例签名计算实例 p467，2，a127，则，则a mod p 2127 mod 467 132 签名签名x100，取，取k213(注注:k得和得和p-1互素互素)，则，则 k-1213-1 mod 466=431k mod p 2213 mod 467 29(x-a)k-1 mod(p)(100-12729)431 mod 466 51 签名值：（签名值：（100，(29,51)）Copyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 验证计算实例验证计算实例 p467，2，a127,132（x,(

22、,)）（）（100，(29,51)）判断是否：判断是否：x mod p 事实上事实上132292951189 mod 467x2100189 mod 467 而且，如果（而且，如果（100，(29,51)）的任何改变都会导致验）的任何改变都会导致验证失败证失败Copyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 数字签名标准数字签名标准 Digital Signature Standard（DSS）Digital Signature Algorithm（DSA）DSS标准标准DSA FIPS 186 NIST 1991 1993 只能签名，不能加

23、密只能签名，不能加密 概念对比概念对比RSA：MEki(H(M)，ki是私钥是私钥DSS：MEki(H(M),k)，ki是私钥是私钥 k是随机数是随机数Copyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 图示图示 RSA vs.DSS Copyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 DSA 准备准备 素数素数p，约，约512比特；比特；素数素数q，约，约160比特，要求是比特，要求是p-1的因子的因子 选择选择gh(p-1/q)mod p 密钥密钥 用户私钥用户私钥x，xq 公钥公钥y，yg

24、x mod p 签名，对报文签名，对报文M 产生随机数产生随机数k r(gk mod p)mod q s=k-1(H(M)+xr)mod q(r，s)即是签名，连同明文的即是签名，连同明文的M 验证，测试是否验证，测试是否vr，其中，其中 vgu1yu2 mod p mod qu1H(M)s-1 mod qu2rs-1 mod qCopyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 DSA FigureCopyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 “公开公开”密钥？这太简单了！密钥？这太简单

25、了！错！曾经使用对称密码体制时，一个非常烦人的问题是如曾经使用对称密码体制时，一个非常烦人的问题是如何协商会话密钥。何协商会话密钥。公钥体制中只需公开发布公钥公钥体制中只需公开发布公钥(切保守私钥切保守私钥)，因此通，因此通常被认为是减轻了密钥管理的负担。常被认为是减轻了密钥管理的负担。但当认真考虑如何发布公钥时，你会发现：但当认真考虑如何发布公钥时，你会发现：原来可靠地发布公钥其实也很难。公钥的发布体制公钥的发布体制-证书体系证书体系(CA)，是，是PKI的核心和基的核心和基础。事实上，证书体系的过于复杂阻碍了础。事实上，证书体系的过于复杂阻碍了PKI的普及的普及。Copyright by

26、王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 密钥管理密钥管理 公钥的分配公钥的分配 公钥体制用于传统密码体制的密钥分配公钥体制用于传统密码体制的密钥分配Copyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 公钥的分配方法公钥的分配方法1.临时索要公钥临时索要公钥/自由的扩散自由的扩散/PGP的公钥环的公钥环2.公开的目录服务公开的目录服务(在线方式在线方式)3.公钥授权公钥授权(在线中心方式在线中心方式)4.通过证书中心通过证书中心CA(离线中心方式离线中心方式)Copyright by 王鲲鹏 Copyright

27、 by 王鲲鹏 Copyright by 王鲲鹏 1.自由方式自由方式 当要通信时向对方索要其公钥当要通信时向对方索要其公钥 没有先验知识，不能确定对方的身份，不能提供鉴别特性没有先验知识，不能确定对方的身份，不能提供鉴别特性 只能用在不究身份时的加密，如萍水相逢的两人之间的防只能用在不究身份时的加密，如萍水相逢的两人之间的防偷听聊天偷听聊天 扩散扩散 通过可信的朋友之间的辗转交换通过可信的朋友之间的辗转交换 PGP中即有此种公钥交换机制中即有此种公钥交换机制 朋友并不总可信朋友并不总可信 问题：相信阁下的人品，但是不相信阁下的智商问题：相信阁下的人品，但是不相信阁下的智商Copyright

28、by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 2.公开目录公开目录 公开的目录服务公开的目录服务 目录的维护得由信得过的机构执行目录的维护得由信得过的机构执行 每个用户在目录里有一项每个用户在目录里有一项 身份信息，其公钥身份信息，其公钥 面对面的审核和注册面对面的审核和注册 可以更新或废止可以更新或废止 提供网络的访问手段，可公开查询提供网络的访问手段，可公开查询 目录中心的安全负担太重，也是性能瓶颈目录中心的安全负担太重，也是性能瓶颈Copyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 3.公钥授权：在线中

29、心公钥授权：在线中心 有在线中心帮助的公钥交换有在线中心帮助的公钥交换 A请求中心给请求中心给B的公钥，带时间戳的公钥，带时间戳 中心用私钥签署的消息，包括：中心用私钥签署的消息，包括：原始请求和时间戳，原始请求和时间戳，B的公钥，的公钥，A用用B的公钥加密：自己的身份的公钥加密：自己的身份IDa和会话标识号和会话标识号N1 B也如法取得也如法取得A的公钥的公钥 B用用A的公钥加密：的公钥加密：N1和和N2 A用用B的公钥加密的公钥加密N2，以最后确认会话，以最后确认会话 在线中心容易成为单点故障和性能瓶颈在线中心容易成为单点故障和性能瓶颈Copyright by 王鲲鹏 Copyright

30、by 王鲲鹏 Copyright by 王鲲鹏 公钥授权：在线中心公钥授权：在线中心Copyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 4.证书：离线中心证书：离线中心Certificate Authentication CA是受信任的权威机构，有一对公钥私钥。是受信任的权威机构，有一对公钥私钥。每个用户自己产生一对公钥和私钥，并把公钥提交每个用户自己产生一对公钥和私钥，并把公钥提交给给CA申请证书。申请证书。CA以某种可靠的方式核对申请人的身份及其公钥，以某种可靠的方式核对申请人的身份及其公钥，并用自己的私钥并用自己的私钥“签发签发”证书。证

31、书。证书主要内容：用户公钥，持有人和签发人的信息证书主要内容：用户公钥，持有人和签发人的信息，用途，有效期间，签名等。，用途，有效期间，签名等。证书在需要通信时临时交换，并用证书在需要通信时临时交换，并用CA的公钥验证。的公钥验证。有了经有了经CA签名保证的用户公钥，则可进行下一步的签名保证的用户公钥，则可进行下一步的身份验证和交换会话密钥等。身份验证和交换会话密钥等。Copyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 CACopyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 使用公钥传递会话密钥

32、使用公钥传递会话密钥 公钥算法太慢公钥算法太慢 对称算法一般几十兆字节对称算法一般几十兆字节/秒秒 1024位位RSA解密约解密约100多次多次/秒秒(加密快加密快10倍以上倍以上)100*128B=10KB/s 只用来传递会话密钥只用来传递会话密钥(假设假设B已经有已经有A的公钥的公钥KeA)A发起和发起和B的通信的通信 B产生会话密钥产生会话密钥Ks，并用，并用KeA加密后传给加密后传给A A能用自己的私钥能用自己的私钥KdA解开解开 他人不会知道他人不会知道KsCopyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 Merkle方案方案 因为

33、因为B临时获取临时获取A的公钥，所以存在的公钥，所以存在“中间人攻中间人攻击击”的问题的问题Copyright by 王鲲鹏 Copyright by 王鲲鹏 Copyright by 王鲲鹏 NEED78方案方案（事先拥有对方公钥）（事先拥有对方公钥）Copyright by 王鲲鹏 14.2 X.509/CAX509定义了公钥认证服务框架。定义了公钥认证服务框架。Certificate 证书印象证书印象PKI/X.509CA in Win2kEJBCACopyright by 王鲲鹏 Certificate 证书印象证书印象证书是可靠发布公钥的载体证书是可靠发布公钥的载体公钥及其持有人信息

34、公钥及其持有人信息其他信息其他信息(用途、有效期、用途、有效期、)签发人及其签名签发人及其签名(对上面信息对上面信息)msroot证书.cerCopyright by 王鲲鹏 X.509分发公钥分发公钥证书格式证书格式内容、格式和编码、签名内容、格式和编码、签名鉴别协议鉴别协议X509中推荐的协议中推荐的协议应用应用IPSec、SSL/TLS、SET、S/MIME、PGP、RFC 2459Copyright by 王鲲鹏 从公钥到证书从公钥到证书审核审核 Copyright by 王鲲鹏 证书格式证书格式版本版本序列号序列号签名算法标识签名算法标识其参数其参数签发者名字签发者名字不早于，不迟于

35、不早于，不迟于主题名主题名(持有人名持有人名)算法标识算法标识其参数其参数公钥公钥签发人标识签发人标识(重名重名)持有人标识持有人标识扩展扩展签名算法签名算法参数参数签名签名Copyright by 王鲲鹏 X509v3 扩展扩展V3以可选扩展项的形式体现以可选扩展项的形式体现(扩展名字，值，是否可忽略扩展名字，值，是否可忽略)密钥标识符密钥标识符密钥用途密钥用途签名、加密、密钥交换、签名、加密、密钥交换、CA等组合等组合私钥使用期限私钥使用期限对应的公钥一般有更长的期限以用于验证对应的公钥一般有更长的期限以用于验证策略信息等策略信息等颁发者和持有人的更多信息颁发者和持有人的更多信息证书路径的

36、约束信息证书路径的约束信息Copyright by 王鲲鹏 证书中心证书中心:CACA权威的证书签发者权威的证书签发者接受请求、审核、接受请求、审核、(收费收费)、签发、签发商业商业CA机构机构申请证书申请证书申请人产生自己的公钥申请人产生自己的公钥(私钥私钥)提交提交PKCS#10格式的申请格式的申请公钥、自己的身份信息，用户自己的签名公钥、自己的身份信息，用户自己的签名审核颁发审核颁发面对面的交涉面对面的交涉;代理代理RA证书发布证书发布X500目录目录;在线交换在线交换Copyright by 王鲲鹏 证书的获得等问题证书的获得等问题证书是公开的，不需保密证书是公开的，不需保密这很好这很

37、好信任信任对证书的信任基于对中心的信任对证书的信任基于对中心的信任CA是分层次的是分层次的以减轻负载和压力以减轻负载和压力(尤其是审核尤其是审核)对多个中心的信任对多个中心的信任分散了风险，也引入了风险分散了风险，也引入了风险Copyright by 王鲲鹏 证书的自证明和应用证书的自证明和应用前提前提:已经有已经有CA的公钥的公钥CA公钥一般是自签名证书的形式公钥一般是自签名证书的形式必须可靠的获得，离线手工必须可靠的获得，离线手工取得对方的证书取得对方的证书证书是公开的，不需保密证书是公开的，不需保密查目录；在线交换查目录；在线交换判断证书是否有效判断证书是否有效验证证书中的签名是否是验证

38、证书中的签名是否是CA的真实签名的真实签名(只是说这个证书是有效的只是说这个证书是有效的)公钥应用公钥应用加密（加密（PGP）；鉴别（）；鉴别（SSL）Copyright by 王鲲鹏 信任关系信任关系信任信任信任信任CA信任信任CA的签名的签名信任信任CA签发的证书签发的证书信任该持有人拥有这个公钥信任该持有人拥有这个公钥 层次层次CA组织成为层次关系组织成为层次关系信任链信任链信任某信任某CA则信任其子则信任其子CA及其子及其子CA签发的证书签发的证书CA之间的相互信任之间的相互信任相互给对方的公钥签署一个证书相互给对方的公钥签署一个证书Copyright by 王鲲鹏 CA TreeA和

39、和B之间之间如何达成相互信任如何达成相互信任Copyright by 王鲲鹏 证书的撤销证书的撤销证书中的有效期证书中的有效期证书提前作废的原因证书提前作废的原因私钥泄密私钥泄密用户自己的、用户自己的、CA的的持有人身份变化持有人身份变化CRL-certificate revocation list 由由CA定期公布的证书黑名单定期公布的证书黑名单作废证书的序列号的表作废证书的序列号的表(序列号序列号,撤销时间撤销时间)表的创建日期表的创建日期其他信息其他信息CRL位置、下次位置、下次CRL更新时间更新时间签名签名Copyright by 王鲲鹏 在线证书状态协议在线证书状态协议OCSP 在线

40、证书状态协议在线证书状态协议可以用在线方式查询指定证书的状态可以用在线方式查询指定证书的状态RFC 2560 OCSPCopyright by 王鲲鹏 使用证书进行身份鉴别使用证书进行身份鉴别前提前提:已经有某人的真实证书已经有某人的真实证书(公钥公钥)查目录或在线交换查目录或在线交换鉴别鉴别鉴别对方是否是真实的持有人鉴别对方是否是真实的持有人(某人某人)看对方是否拥有证书中公钥对应的私钥看对方是否拥有证书中公钥对应的私钥使用挑战应答机制使用挑战应答机制举例举例SSL协议协议Copyright by 王鲲鹏 使用证书的鉴别过程使用证书的鉴别过程A要和要和B通信，通信，A要弄清楚要弄清楚B是否是他所期望的真的是否是他所期望的真的BAB：A向向B请求证书请求证书AB：A给给B一个随机报文，让一个随机报文，让B签个名来看看签个名来看看B ：B签名，在签名之前可施加自己的影响成分签名，在签名之前可施加自己的影响成分AB：B的签名的签名A ：检验是否通过了：检验是否通过了B的证书里的公钥的验证的证书里的公钥的验证Copyright by 王鲲鹏 14.3PKI Copyright by 王鲲鹏 PKIXIETF PKIX charterhttp:/www.ietf.org/html.charters/pkix-charter.html