PKI與CA_Digital Certificate筆記


PKI (Public Key Infrastructure):公鑰基礎設施
功能:建立管理、儲存分配和撤銷非對稱加密數位憑證的一組硬體、軟體、人、政策、程序。

目的是希望能以安全、方便、效率的方式取得公開金鑰。
運用公開金鑰及憑證進行網路交易或傳輸,以提高安全性並確認對方身分的機制。
必須由雙方均同意且相互信任的憑證機構 (Certificate Authority, CA) 簽發憑證,並進行身份核驗、數位簽章等相關應用,以提供保密性、資料完整性、驗證性、不可否決性等安全保證。

  • 保密性(Confidentiality):確保只有預期的接收者會收到訊息。
  • 資料完整性(Data Integrity):確保資料在接收前沒有被更改。
  • 驗證性(Authentication):確保參與資料交易者的身份無誤。

公鑰:使用者的公鑰可公開給他人,用來作資料加密
私鑰:使用者私鑰則是該使用者私自擁有,一般儲存於該使用者的local電腦中,只允許該使用者可使用。


1.起初使用者持有效證件向憑證授權中心 (CAb) 申請數位憑證,並經審核合格後取得憑證。
2.使用者出示憑證向服務機構請求服務。
3.服務機構收到使用者的憑證之後,可由憑證上的數位簽章來認證它的合法性,並且觀察憑證內記載的有效期限是否過期。
如果服務機構還需要更進一步確認的話,可將該憑證轉送給它直屬的 CA 中心 (CAc),請求它幫忙確認,該 CA 中心 (CAc) 透過認證路徑找到原發行該憑證發行的CA (CAb),從中找尋有關該憑證的資料 (如註銷或逾期等等),再回應給服務機構。
4.服務機構確認憑證之後,回應訊息給使用者表明是否給予服務。



憑證授權中心/憑證機構(Certificate Authority, CA)

一個有公信力的第三者,如財團法人、銀行、信用卡公司等等。
憑證必須由一個權威性 CA 發行,並經由此 CA 簽署及保證其合法性。
憑證必須是隨時可以取得,且隨時可以認證其真實性。

發行憑證 CA 也需要另一個更具權威性的 CA 來簽署並保證其合法性,而此權威性的 CA 又需另一個比它更具權威性 CA 來簽署並保證其合法性。最後必然出現一個具有最高層級權威性的 CA,自己簽署自己。



數位憑證(Digital Certificate)

是一份電子性的文件,被用來證明持有人的身分證明,其中至少包含著持有人的姓名、郵政地址、電子郵件地址、以及公鑰,並且必須經過具權威的單位證明其有效期限。

數位憑證是 SSL 用來進行公開金鑰加密的工具。公開金鑰加密法使用兩個不同的加密金鑰,一個私密金鑰和一個公開金鑰,又被稱作非對稱式加密。

公開金鑰加密法是靠信任來維繫,公開金鑰的接受者必須要信任該金鑰確實是屬於傳送者,而不是屬於冒名頂替者。數位憑證可以提供所需要的信任。


憑證生命週期

Stage1.憑證申請 (Subscriber Registration)。
Stage2.憑證的金鑰更換 (Certificate Re-key)。
Stage3.憑證簽發 (Certificate Issuance)。
Stage4.憑證傳送 (Certificate Distribution)。
Stage5.憑證廢止 (Certificate Revocation)。
Stage6.憑證暫時停用 (Certificate Suspension)。
Stage7.憑證狀態處理 (Certificate Status Information Processing)。



















留言

這個網誌中的熱門文章

何謂淨重(Net Weight)、皮重(Tare Weight)與毛重(Gross Weight)

Architecture(架構) 和 Framework(框架) 有何不同?_軟體設計前的事前規劃的藍圖概念

(2021年度)駕訓學科筆試準備題庫歸納分析_法規是非題