密鑰是一種參數,它是在明文轉換爲密文或將密文轉換爲明文的算法中輸入的參數。
對稱密鑰:信息的發送方和接收方使用同一個密鑰去加密和解密數據。
非對稱密鑰:使用不同密鑰分別完成加密、解密操作,一個公開發布,即公鑰,另一個由用戶自己祕密保存,即私鑰。
數字證書就是互聯網通訊中標誌通訊各方身份信息的一串數字,由CA發行。
根證書:未被簽名的公鑰證書或自簽名的證書。安裝根證書意味着對這個CA認證中心的信任。
證書用來證明你手裏的公鑰的主人身份,證書一般包含:公鑰PK、公鑰的簽名S、公鑰所有者信息。
拿到證書之後,需要解密公鑰的簽名S,然後與公鑰PK對比,怎麼保證解密S用的公鑰PKK是真的?又要有一個證書來證明PKK的正確性,怎麼證明用來解密PKK簽名的公鑰PKKK的正確性?然後就是PKKKKK……
CA用自己的私鑰對A的公鑰進行簽名,將這個簽名和A的公鑰,以及與A相關的一些信息做成證書,從而結束上述驗證鏈關係。
當B想要A的公鑰時,找CA拿A的證書。用CA的公鑰解密A的公鑰的簽名,與證書中的A的公鑰比較,如果一樣,證明這個證書是有效的。如果不一樣,說明說明證書可能已經被篡改,或者這是個假的CA……
簽名是爲了讓信息的接收者可以驗證發送者的身份。
數據摘要:通過使用數據摘要算法,常見的有(MD5,SHA1等),可生成文件的數據摘要,並且可認爲這個摘要獨一無二。
將報文按雙方約定的HASH算法計算得到一個固定位數的報文摘要。在數學上保證:只要改動報文中任何一位,重新計算出的報文摘要值就會與原先的值不相符。這樣就保證了報文的不可更改性。接收方收到數字簽名後,用同樣的HASH算法對原報文計算出報文摘要值。
假設A發送信息M給B,A首先使用數據摘要算法生成發送信息M的數據摘要D,然後用自己的私鑰對摘要D進行加密,操作之後就得到了簽名S,用私鑰加密摘要D的這個過程就叫簽名。然後A用B的公鑰加密信息M得到密文C,將C和生成的簽名S一起發送給B。B收到後,用自己的私鑰對密文C進行解密,得到明文M。然後B使用數據摘要算法生成M的數據摘要D1,用A的公鑰解密簽名S,得到數據摘要D2,將D1和D2進行比較,如果相同則證明這個消息確實來自於A。