PKI與CA_Digital Certificate筆記
PKI (Public Key Infrastructure):公鑰基礎設施
功能:建立管理、儲存分配和撤銷非對稱加密數位憑證的一組硬體、軟體、人、政策、程序。
目的是希望能以安全、方便、效率的方式取得公開金鑰。
運用公開金鑰及憑證進行網路交易或傳輸,以提高安全性並確認對方身分的機制。
必須由雙方均同意且相互信任的憑證機構 (Certificate Authority, CA) 簽發憑證,並進行身份核驗、數位簽章等相關應用,以提供保密性、資料完整性、驗證性、不可否決性等安全保證。
- 保密性(Confidentiality):確保只有預期的接收者會收到訊息。
- 資料完整性(Data Integrity):確保資料在接收前沒有被更改。
- 驗證性(Authentication):確保參與資料交易者的身份無誤。
公鑰:使用者的公鑰可公開給他人,用來作資料加密
私鑰:使用者私鑰則是該使用者私自擁有,一般儲存於該使用者的local電腦中,只允許該使用者可使用。
3.服務機構收到使用者的憑證之後,可由憑證上的數位簽章來認證它的合法性,並且觀察憑證內記載的有效期限是否過期。
如果服務機構還需要更進一步確認的話,可將該憑證轉送給它直屬的 CA 中心 (CAc),請求它幫忙確認,該 CA 中心 (CAc) 透過認證路徑找到原發行該憑證發行的CA (CAb),從中找尋有關該憑證的資料 (如註銷或逾期等等),再回應給服務機構。
4.服務機構確認憑證之後,回應訊息給使用者表明是否給予服務。
憑證授權中心/憑證機構(Certificate Authority, CA)
一個有公信力的第三者,如財團法人、銀行、信用卡公司等等。
憑證必須由一個權威性 CA 發行,並經由此 CA 簽署及保證其合法性。
憑證必須是隨時可以取得,且隨時可以認證其真實性。
發行憑證 CA 也需要另一個更具權威性的 CA 來簽署並保證其合法性,而此權威性的 CA 又需另一個比它更具權威性 CA 來簽署並保證其合法性。最後必然出現一個具有最高層級權威性的 CA,自己簽署自己。
數位憑證(Digital Certificate)
是一份電子性的文件,被用來證明持有人的身分證明,其中至少包含著持有人的姓名、郵政地址、電子郵件地址、以及公鑰,並且必須經過具權威的單位證明其有效期限。
數位憑證是 SSL 用來進行公開金鑰加密的工具。公開金鑰加密法使用兩個不同的加密金鑰,一個私密金鑰和一個公開金鑰,又被稱作非對稱式加密。
公開金鑰加密法是靠信任來維繫,公開金鑰的接受者必須要信任該金鑰確實是屬於傳送者,而不是屬於冒名頂替者。數位憑證可以提供所需要的信任。
憑證生命週期
Stage1.憑證申請 (Subscriber Registration)。
Stage2.憑證的金鑰更換 (Certificate Re-key)。
Stage3.憑證簽發 (Certificate Issuance)。
Stage4.憑證傳送 (Certificate Distribution)。
Stage5.憑證廢止 (Certificate Revocation)。
Stage6.憑證暫時停用 (Certificate Suspension)。
Stage7.憑證狀態處理 (Certificate Status Information Processing)。
留言
張貼留言