怎么保证CA数字签名是真实的?

最新推荐文章于 2025-03-21 23:14:41 发布
转载 最新推荐文章于 2025-03-21 23:14:41 发布 · 1.4k 阅读 · 2 ·
CC 4.0 BY-SA版权
原文链接:https://www.jianshu.com/p/3d8de6ae87d6

本文探讨了数字签名的真实性问题,特别是在公钥基础设施中如何确保CA(证书颁发机构)的公钥不被篡改,以及这如何影响数字证书的有效性和安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

怎么保证CA数字签名是真实的?

 

0.1 2017.02.24 22:12* 字数 578 阅读 849评论 1喜欢 2

网上有篇叫“公钥,私钥,数字签名,数字证书详解”的文章很浅显易懂。

http://blog.youkuaiyun.com/sum_rain/article/details/36896239

但是,最后有一点很是疑惑,就是既然道格可以控制苏珊的电脑,并替换鲍勃的公钥,那么能不能替换CA的公钥,并用自己的公钥来代替鲍勃的公钥呢?

重新回顾一下流程:

1.鲍勃拿着自己的信息和公钥给CA要求认证。

2.CA将鲍勃的信息和公钥两者关系绑定后,产生摘要,再通过私钥加密摘要再将鲍勃提供的信息和公钥合并为数字证书再颁发给鲍勃。(这里鲍勃的信息和公钥都是明文)

3.鲍勃发邮件时附上私钥加密摘要后的签名(证明内容没有被篡改)以及CA给的数字证书(证明发送者是鲍勃,且公钥是鲍勃的)

4.苏珊在收到邮件后先用CA的公钥解密得到数字证书中的摘要,然后将证书中的鲍勃信息和公钥通过hash算法得到的摘要与数字证书中的摘要进行对比(确保数字证书没有被篡改)。

问题来了,如何保证CA的公钥没有被篡改呢?从而保证其中的鲍勃信息和公钥都是对的呢?

答案是没法保证CA的公钥没有被篡改。通常操作系统和浏览器会预制一些CA证书在本地。所以鲍勃应该去那些通过认证的CA处申请数字证书。这样是有保障的。

但是如果系统中被插入了恶意的CA证书,依然可以通过假冒的数字证书发送假冒的鲍勃公钥来验证假冒的正文信息。所以安全的前提是系统中不能被人插入非法的CA证书。

5.苏珊得到CA认证的鲍勃的公钥后,解密邮件中的签名,得到摘要再与将正文Hash后的摘要进行对比(确保正文没有被篡改)

f45056231p
关注
非对称加密 数字签名 数字证书 CA机构配合的原理与步骤
Lewy_的博客
06-03 786
通过根证书里面的公钥,可以解密出数字证书里面的数字签名获取“Bob的身份信息以及公钥的信息摘要”,然后将证书里面的信息进行Hash运算生成摘要,对比两个摘要,就可以确保了数字证书的不可伪造性。完整性的保证:如果Bob这边生成的摘要和接收到的摘要是一样的,则证明原文的完整性保证了,因为如果原文有一点点变化,Hash算法会导致生成的信息摘要有很大的变化。是的,Bob将自己的公钥发送给Alice的时候,很有可能会被Eve获取,然后Eve将自己的公钥发送给Alice。可惜,Eve虽然尽力了,但也仅限于此了。
计算机网络(四)数字签名CA认证
m0_58466443的博客
07-25 2185
信息哈希:首先,发送方使用一个哈希函数(如SHA-256)对要发送的信息(如电子邮件、文件等)生成一个固定长度的哈希值(也称为消息摘要)。哈希函数具有以下特性:定长输出:无论输入信息的大小,输出都是固定长度的。单向性:从哈希值很难反推出原始信息。抗碰撞性:很难找到两个不同的信息具有相同的哈希值。私钥加密:然后,发送方使用其私钥对哈希值进行加密。加密后的哈希值就成为了**数字签名**。发送信息:发送方将原始信息和数字签名一起发送给接收方。验证签名。
通过openssl搭建CA中心并验证签名证书有效
weixin_30485379的博客
03-25 455
在linux下搭建CA中心,并在客户端验证CA签名是否正确:   在linux上搭建CA中心主要是通过openssl工具包进行的:   1.ca中心的文件夹结构树      demoCA/ |--cacert.pem |--certs | |--01.pem |--index.txt |--index.txt.attr |--openssl.cnf |...
关于CA证书验证的理解(keytool工具、Tomcat实现测试)
qq_44872950的博客
10-16 3563
关于CA证书验证结合shiro登录的总结笔记背景一、关于CA认证(一)什么是HTTPS?(二)Https的工作原理利用tomcat服务器配置https双向认证第一步:为服务器生成证书第二步:为客户端生成证书第三步:让服务器信任客户端证书第四步:让客户端信任服务器证书第五步:配置Tomcat 服务器第六步:测试删除证书指纹二、关于shiro的理解几个类的理解如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的
CA证书
笔落_惊风雨的博客
12-31 8720
如果有两种选择,其中一种将导致灾难,则必定有人会作出这种选择。即:做事不要有侥幸心理。
CA数字证书
weixin_46899412的博客
07-16 1790
数字证书
数字签名简单理解总结+ca证 书的简单认识
11-04
数字签名的核心特性包括不可否认性、真实性和不可伪造性,同时也易于验证。 数字签名的定义是通过特定算法对信息进行的一种数学处理,能够证明数据的来源和未被篡改。常见的困惑在于如何在数字世界中实现类似手写...
信息安全大作业-CA系统的设计和实现源码(电子认证服务系统-数字证书数字签名python语言)+项目详细说明.7z
12-14
信息安全大作业_CA系统的设计和实现源码(电子认证服务系统_数字证书数字签名python语言)+项目详细说明.7z CA代表Certificate Authority。也就是电子认证服务或机构,为电子签名相关各方提供真实性和可靠性验证,是...
20张图告诉你数字签名是什么?
11-07
数字签名是一种用于验证电子信息的真实性和完整性的技术手段。它通过一套密码学算法确保信息不会在传输过程中被篡改,并且能够确认信息确实来源于声称的发送者。数字签名的核心机制涉及到了一对密钥——公钥与私钥。...
数字签名证书,数字签名证书是什么
09-10
简单来说,数字签名证书是一种电子凭证,由权威的证书颁发机构(CA)颁发,用于证明一个实体的身份以及其对特定密钥的所有权。这种证书在电子商务、在线银行、软件发布等领域广泛应用。 首先,我们来详细了解一下...
ca证书如何保证非对称加密安全?
热门推荐
hello world
04-18 10万+
非对称加密使用了公钥和私钥,公钥用来给客户端,客户端拿着公钥加密后把数据发给服务端,服务器用自己的私钥来解密。不过它也有个问题是攻击者拦截了公钥,用自己的假公钥返回给了客户端,获取到客户端发来的信息后用自己的私钥解密,对信息进行修改后通过服务端的公钥加密发给服务端。 所以引入了CA证书,服务端会先向CA机构申请证书,客户端首先会根据浏览器中的根证书CA证书进行验证,验证通过才会继续后面的通信。 那么ca证书是如何保证安全的呢? 证书里面包含了公钥,客户端会拿服务端传来的公钥和自己浏览器中的内置证书的公
CA 机构如何防止中间人攻击
最新发布
weixin_63726940的博客
03-21 938
在中间人攻击中,攻击者通过拦截、篡改甚至伪造通信内容,使得通讯双方误以为它们在进行安全的直接通信,而实际上攻击者控制了整个通信过程。比如,攻击者可能伪造服务器的公钥,欺骗客户端使其连接到攻击者的伪装服务器,从而获取用户的敏感信息如密码、账号等。CA 机构通过严格的证书验证、数字签名、加密协议、信任链管理等多重技术手段,为互联网通信提供了强大的安全保障。通过 CA 机构的验证机制,客户端可以确保连接的服务器是合法的、可信的,并避免了中间人攻击的风险。
CA(Certificate Authority)及其伪造的可能性分析
weixin_43536737的博客
04-24 3226
CA是什么?有什么作用?前言过程漏洞解决公钥验证 前言 CA 也即证书授权机构,主要职能有颁布、认证和管理数字证书。 数字证书用来记录和认证用户的公钥。 在非对称加密体系中,传递加密信息的基础为,用接收方的公钥对信息进行加密,传递给接收方后,接收方用自己藏好的私钥解密获取信息。(其它人可以拿到接收方的公钥,但无法依据公钥推出私钥,因此即使拿到加密信息,也无法解密。) 过程 简要梳理一下有 CA 参与的非对称加密体系的大致过程: 现有 A 和 B 两位同学需要使用非对称加密体系进行加密通信(A => B
数字证书认证
qq_41768644的博客
07-23 2571
1、创建证书申请文件,包含申请人的公钥、指定签名算法 、有效期,申请人相关信息;2、CA先对该文件做hash算法,得到数字摘要3、CA使用自己的私钥对数字摘要进行加密得到数字签名,即证书签名4、证书签名+申请人信息 = 数字证书
证书有效性验证、根证书
hqy1719239337的博客
03-29 1万+
一、 数字证书的有效性验证主要从三个方面: (1)数字证书有效期验证 (2)根证书验证 (3)CRL验证 1、数字证书有效期验证 就是说证书的使用时间要在起始时间和结束时间之内。通过解析证书很容易得到证书的有效期 2、根证书验证 先来理解一下什么是根证书? 普通的证书一般包括三部分:用户信...
https是如何验证证书的有效性的
BORRISEE6的博客
05-31 3043
证书验证的过程是使用非对称加密的,客户端对服务器端发起请求,服务器返回一个证书,客户端验证这个证书的合法性,如果这个证书是合法的,那么就生成一个随机值,利用这个随机值作为对称加密的钥匙 一个数字证书通常包含了:- 公钥;- 持有者信息;- 证书认证机构(CA)的信息;- CA 对这份文件的数字签名及使用的算法;- 证书有效期;- 还有一些其他额外信息; 为了让服务端的公钥被大家信任,服务端的证书都是由 CA (Certificate Authority,证书认证机构)签名的,CA 就是网络世界里的.
通过伪造CA证书,实现SSL中间人攻击
明明
04-10 2万+
最近在网络上查找SSL中间人攻击相关的文章,发现大多都是同一篇文章的转载,原创的很少,而这篇文章中又缺少很多细节。所以我在ubuntu10.04下使用openssl进行了一次SSL中间人攻击实验,并将实验过程记录下来,希望能对别人有所帮助。本人初次接触SSL中间人攻击,文章中可能有错误的地方,希望大家多多批评指正。 如若转载请注明出处,谢谢。 通过伪造CA证书,实现
ca证书原理以及加密原理
好习惯成就伟大
11-06 4379
转自:数字证书原理 - 无恙 - 博客园 尊重原创 文中首先解释了加密解密的一些基础知识和概念,然后通过一个加密通信过程的例子说明了加密算法的作用,以及数字证书的出现所起的作用。接着对数字证书做一个详细的解释,并讨论一下windows中数字证书的管理,最后演示使用makecert生成数字证书。如果发现文中有错误的地方,或者有什么地方说得不够清楚,欢迎指出! 1、基础知识 这部分内容主要解释一些概念和术语,最好是先理解这部分内容。 1.1、公钥密码体制(public-key cr...
js实现对象字典排序和base64+md5签名
baidu_38424904的博客
10-03 1073
//md5加密方法
构建CA数字签名认证系统:技术与法律保障
"CA数字签名认证系统解决方案" CA(Certificate Authority)数字签名认证系统是一种基于公开密钥基础设施(PKI)的网络安全技术,旨在确保网络通信的安全性和合法性。该系统主要解决电子环境中用户身份验证、数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值