关于PkI里签名证书和加密证书(俗称双证书)

本文探讨了PKI体系中采用双证书(签名证书与加密证书)的原因,解释了签名私钥与加密私钥的不同作用及管理方式,阐述了双证书机制在保障数据完整性和可用性方面的必要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

众所周知,数字证书包含签名证书和加密证书,签名证书用于签名和验证,加密证书用于加密和解密,我因为不明白为什么要使用双证书,所以找寻相关资料查询了一下,下面这篇文章是关于双证书的目的

“PKI中使用双证书、即双密钥,双密钥是指签名密钥对与加密密钥对,从本质上说,两个密钥对都是非对称密钥对,因此,都可以用来作非对称加解密,然而为什么需要双密钥呢?这必须从两个密钥的用法说起。
签名密钥对用于数据的完整性检测,保证防伪造与防抵赖,签名私钥的遗失,并不会影响对以前签名数据的验证,因此,签名私钥无须备份,因此,签名密钥不需要也不应该需要第三方来管理,完全由持有者自己产生;而加密密钥对用于数据的加密保护,若加密私钥遗失,将导致以前的加密数据无法解密,这在实际应用中是无法接受的,加密私钥应该由可信的第三方(即通常所说的CA)来备份,以保证加密数据的可用性,因此,加密密钥对可以由第三方来产生,并备份。
由于签名密钥与加密密钥的使用与管理上的不同,决定了双证书使用的合理性与必然性。”

好了,看到里我要提出我的问题了,文章里说签名私钥丢失了无所谓,从前的数据还能使用,所以签名私钥不需要进行备份;如果加密私钥丢失了,从前的加密数据就无法使用了,所以加密私钥要由第三方进行备份,那我就有疑问了,单证书也可以将私钥交给第三方进行备份,这样对签名和加密都不影响,丢失了也可以找回私钥,那为什么还要多次一举区分为双证书呢?

 

数字签名私钥没必要给第三方备份,反而增加了签名伪造的风险,同时节约不必要的支出。私钥掉了或者过期了大不了再产生一对,不过加密证书的私钥丢失加密数据就无法恢复了,所以对加密证书的保管要求更高,而由于对方没有加密数据,也没有作用。

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值