本文探讨了PKI体系中采用双证书(签名证书与加密证书)的原因,解释了签名私钥与加密私钥的不同作用及管理方式,阐述了双证书机制在保障数据完整性和可用性方面的必要性。
众所周知,数字证书包含签名证书和加密证书,签名证书用于签名和验证,加密证书用于加密和解密,我因为不明白为什么要使用双证书,所以找寻相关资料查询了一下,下面这篇文章是关于双证书的目的
“PKI中使用双证书、即双密钥,双密钥是指签名密钥对与加密密钥对,从本质上说,两个密钥对都是非对称密钥对,因此,都可以用来作非对称加解密,然而为什么需要双密钥呢?这必须从两个密钥的用法说起。
签名密钥对用于数据的完整性检测,保证防伪造与防抵赖,签名私钥的遗失,并不会影响对以前签名数据的验证,因此,签名私钥无须备份,因此,签名密钥不需要也不应该需要第三方来管理,完全由持有者自己产生;而加密密钥对用于数据的加密保护,若加密私钥遗失,将导致以前的加密数据无法解密,这在实际应用中是无法接受的,加密私钥应该由可信的第三方(即通常所说的CA)来备份,以保证加密数据的可用性,因此,加密密钥对可以由第三方来产生,并备份。
由于签名密钥与加密密钥的使用与管理上的不同,决定了双证书使用的合理性与必然性。”
好了,看到里我要提出我的问题了,文章里说签名私钥丢失了无所谓,从前的数据还能使用,所以签名私钥不需要进行备份;如果加密私钥丢失了,从前的加密数据就无法使用了,所以加密私钥要由第三方进行备份,那我就有疑问了,单证书也可以将私钥交给第三方进行备份,这样对签名和加密都不影响,丢失了也可以找回私钥,那为什么还要多次一举区分为双证书呢?
数字签名私钥没必要给第三方备份,反而增加了签名伪造的风险,同时节约不必要的支出。私钥掉了或者过期了大不了再产生一对,不过加密证书的私钥丢失加密数据就无法恢复了,所以对加密证书的保管要求更高,而由于对方没有加密数据,也没有作用。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
