5分鐘讓你知道什麼是PKI

轉：https://www.cnblogs.com/jerain6312/p/8572841.html

前言

Public Key Infrastructure（PKI)，中文叫做公開密鑰基礎設施，也就是利用公開密鑰機制建立起來的基礎設施。但是如果這麼解釋起來，到底是個什麼東西，大家想必是沒辦法理解的。

現在大家的很多重要活動都是通過網絡進行的，那麼與之俱來的安全問題就顯得非常重要。同時很多安全保障機制都是基於PKI的，如果你因爲各種原因（考試？提案？好奇？）想知道各種PKI是什麼。那麼通過這篇文章，絕對讓你5分鐘知道什麼是PKI。

PKI不好理解的原因是，這個概念包括了很多不同的技術和知識，同時又因爲這個概念很龐大，讓人感覺無從下手。但是，這個概念其實沒有看起來那麼複雜，讓我們開始說明吧！

第1分鐘 - PKI的核心是身份證明書的發行

PKI的主要目的是用來發行“身份證明書”，網絡上因爲大家不能見面，所以僞造身份是非常容易的事情。因爲要在網絡上驗明正身，所以這個網絡身份證明書就變得很重要了。

相互通信的時候，如果能相互確認身份證明書，那麼我們就知道自己是在跟對的人通信。

但是，自己做的身份證明書是不能拿來作爲證明的，就像生活中，如果公民身份證可以私人合法製作的話，那麼身份證也就沒啥可信度了。網絡世界中，我們需要一個信得過的發證機關來發行身份證明書，同時自己要好好保管自己的身份證明書，就像派出所給你發了公民身份證，自己要好好保管一樣。

PKI的世界裏，這個身份證明書，被叫做“證明書”。發行“證明書”的機關叫做“認證機關”。還有一個就是統一管理證明書的證書“檔案庫”。這三個東西加起來，就是PKI的主要構成要素。

第2分鐘 - 構成PKI的要素只有三個

就像之前提到的，一般來說，構成PKI的主要要素就是下面三個概念

1. 證明書
2. 認證機關
3. 證書庫

說到底，PKI指的是證明書的製作和分發的一種機制。在這個機制的保障前提下，進行可信賴的網絡通信。即安全的網路通信保障機制。

實際上，證明書是被存放在硬盤或者IC卡里面的。證明書的文件構造是一種叫做 X.509 的協議規定的。另一方面，認證機關也其實就是一個網絡應用程序。

證書庫因爲某些原因，其實也就是文件系統而已，在網絡上將證書存放在一起。這些東西，可以通過下載來獲取。或者，因爲某些原因，證書直接分發，從而省去了證書庫這個環節。

第3分鐘 - 證明書裏面的密鑰

一旦利用了證明書確認了身份的同時，通信的加密也就可以實現了。爲什麼呢？證明書裏面包含了用來加密的密鑰。

比如說，你要和一個自稱比爾的男人通信。這個自稱比爾的男人，會在通信的最開始，通過網絡將證明書發給你，那麼通過這個證明書，就證實了他就是比爾。

然後，你用這個“證明書中的密鑰”，將你要發送給比爾的內容進行加密，然後發送給比爾。

用“證明書中的密鑰”加密過的內容，只能用比爾自己纔有的另一個“私人的密鑰”才能解密。這樣的話，如果你發送給比爾的內容被他人竊取的話，他人也無法解密。

只要比爾自己好好保管好自己纔有的“私人的密鑰”，那麼如果有人拿着比爾的“證明書中的密鑰”想要胡作非爲的話，那就是不可能的。因爲用“證明書中的密鑰”加密過的內容，只有比爾自己纔有的“私人的密鑰”才能解密。

所以這麼一來，PKI提供的證明書可以用來 身份確認 和 通信加密。同時實現了這兩個重要的功能。

第4分鐘 - 什麼是“公開密鑰”，什麼是“私有密鑰”

對於比爾來說，只要保證本人的那個“私人的密鑰”不被盜走，包含在“證明書裏的密鑰”給多少人都沒有關係。也就是說，想跟比爾通信的人，必須要有比爾的證明書，要用比爾“證明書裏的密鑰”對通信內容進行加密。爲了能讓其他人可以方便的獲取比爾的證明書，證書庫就顯得有必要了。

在PKI機制中，放在“證明書裏面的密鑰”可以被任意自由分發，這裏的“證明書裏的密鑰”被叫做“公開密鑰（Public Key）”。與此相對，本人保管的那個“私人的密鑰”就要做“私有密鑰（Private Key）”。

就像前文提到的，公開密鑰是放在證明書裏面的，所有用什麼樣的方式去分發證明書都沒有關係。放到U盤裏給別人，或者放到網上讓人任意下載，或者用郵件發送，都是可以的。

第5分鐘 - “拿什麼去信任你？我的證明書”

先前說到，用包含在證明書裏的公開密鑰去給通信內容加密，這個過程大家已經知道。但是PKI提供的證明書真的可以被信任嗎？說到底，證明書也就是普通的文件而已。不像貨幣那樣，本身有着特殊的材質或者物理上的防僞措施。

這麼想是完全對的，因爲實際上，認證機關所用的證書生成器說到底也就是一個軟件而已，如果搞到這個軟件，誰都可以發行證明書。所以說，在技術上，僞造證明書是非常簡單的。所謂假的證明書，比如說有一個所謂的“比爾的證明書”，但是裏面含有的公開密鑰是史提芬的公開密鑰。那麼，別人發給比爾的信息，史蒂芬可以解密，反而比爾自己不能解密。

這樣看來，這個認證機關就至關重要了，認證機關的可信度，直接與證書的可信度掛鉤，也就是與整個PKI機制的可信度息息相關。

關於認證機關的權威性和可信度的問題，其實是一個社會基礎設施建設的話題了。
在很多國家認證機關都是由政府在主導建設，常常被視作一個社會性基礎設施的一個環節。如同建設各種社會機構，比如醫院，銀行，學校等等。