既然A與B的公鑰傳遞是無法受信任的,那A與B協商一個公認的機構來吧。就如咱們的公安部向各位頒發的身份zheng。大家都認可公安部,公安部頒發給A的身份zheng就能證明A就是A他本人,同理B也能得到證明。
公安部自己也得要有自己的證書,那麼公安部就自己給自己頒發證書(根證書),如果每個人都到公安部的話,公安部就忙死了,公安部就會有派出機構,大家信任公安部,就會信任公安部的派出機構(派出所),信任是傳遞的嘛。A拿着自己的信息(姓名,住址,性別,年齡,戶口本等等)到達派出所,派出所就會覈實A的信息,然後製作身份zheng(包括各種防僞信息)並加上公安部的戳(這個戳就像CA證書機構生成自己的公私鑰,先對A的信息進行特徵計算,然後將特徵計算結果用私鑰加密)。當然現實中的證書機構是需要收費的,而且收費還不便宜。
A與B發起第一次通訊,A將公安部頒發的證書發送給B,那麼B是不是可以拿着公安部的公鑰對證書進行解密,能夠解密,那麼A的身份是不是得到認可啦。在互聯網上大多數都是這樣單向認證的。那麼在什麼時候要雙向認證呢?交易的時候嘛。
E這個傢伙又來搗亂了,派出所也會有假的嘛。N年前沒有沒有聽過一個假銀行事件,大家存取款都沒問題,哪天存款夠了,那銀行就消失了。所以A向派出所獲取身份zheng(電子證書)的時候,A怎麼能證明這個派出所是真的?聽着。。。聽着。。。好像我們又掉進坑裏了。那確實,世界上沒有萬無一失的安全。但目前來說是較爲可靠的。(有時候也會被證書機構坑哦,16年的沃通ssl證書事件)
假設A與B互發證書,雙方能夠得到驗證。那怎麼通信能保證,機密性,完整性,身份驗證呢?
其實還以換一個方法
這一切的一切,都是始於證書,得到相互信任,所以證書頒發機構是安全的起始。