|
原文件地址:http://www./articles/7buueeQ
密鑰分為兩種:對稱密鑰和非對象密鑰
對稱密鑰算法:DES 3DES AES,加密算法快
非對稱密鑰算法:RAS,加密算法慢
摘要:采用某種摘要算法,將明文轉(zhuǎn)化為固定長度的字符,摘要也被稱為指紋.相同的文件內(nèi)容和文件名具有
相同的指紋
摘要算法:md5(二進制:128位,16進制:32位),SHA1(二進制:256位,64位)
對稱密鑰理解圖:
基于Bob向Alice發(fā)送文件的場景,
-
摘要算法(md5,SHA1) +Bob的原始文件 計算出=> 這個文件的摘要值
-
非對稱密鑰算法(RSA)+ Bob私鑰 + 上一步的摘要值 =>摘要密文
-
摘要密文 + 原始文件 發(fā)送給 => Alice
摘要密文和原始文件被稱作Bob對原始文件的簽名結(jié)果
數(shù)字簽名:就是對原始文件的摘要(指紋),用其私鑰進行加密
Alice收到Bob發(fā)來的信息后:
-
Alice使用Bob的公鑰將收到的摘要密文解密得到摘要值(能用Bob的私鑰解密,說明對方一定是Bob,這個摘要值很明顯是由Bob計算得到的)
-
Alice利用摘要算法(md5,SHA1) + 原始文件 =>摘要值(這個由Alice計算得到的)與上一步得到的摘要值對比,一樣說明Alice從Bob接受到的數(shù)據(jù)是完整的,沒有人篡改過.
以上兩個步驟被稱為驗簽
PKCS10(P10)數(shù)據(jù)包:公鑰 + 密鑰的算法 + 該公鑰的所有者(主題) + 該公鑰的有效期等屬性
簽名過程:
-
Bob將自己的P10數(shù)據(jù)包發(fā)送給CA,經(jīng)過CA簽名得 原始文件(P10數(shù)據(jù)包) + 摘要密文(由CA私鑰加密形成),這個簽名后的結(jié)果被稱為數(shù)字證書.
數(shù)字證書同樣遵循一個格式標準����,我們稱作X509標準��,我們一般提到的X509證書就是如此���。
基于這個數(shù)字證書,再來看Bob如何給Alice發(fā)送一份不可否認,不可篡改的文件
-
Bob將自己的簽名后的結(jié)果(原始文件(Hello World!) + 摘要密文(Bob私鑰加密hello,world后) ) + Bob的數(shù)字證書(P10數(shù)據(jù)包 + 摘要密文(P10數(shù)據(jù)包經(jīng)CA私鑰加密)) 發(fā)送給Alice
Alice接受Bob發(fā)送的數(shù)據(jù)過程
-
Alice利用CA公鑰對Bob發(fā)來的數(shù)字證書進行驗證,如果驗證成功,則提取證書中的
公鑰,對Bob發(fā)來的文件進行驗簽,如果驗證成功,則證明文件不可否認不可篡改.
總結(jié):基于數(shù)字證書后,Alice不需要自己維護一個公鑰庫維護Bob(等人的)公鑰證書,只要持有CA
的公鑰即可.
|
