本文介绍了PKI/CA在现代密码学中的作用,强调了非对称密钥管理的重要性,特别是中心化的CA在确保公钥与用户映射关系的安全性方面的作用。PKI通过CA、数字证书、LDAP、CRL和OCSP等技术解决了关键问题,并提供了身份认证、保密性、完整性和抗抵赖性的安全功能。此外,文章还提到了X.509模式的PKI和PGP的无中心密钥管理机制。
- 现代密码学设计时,一般总假定密码系统的结构是公开的,或者至少为敌人所知。这一假设被称为科考夫原则(Kerckhoff's Principle)。
- 密码系统的结构被称作密码算法,进行加密或解密操作所需的关键参数被称为密钥。
- 现代密码学的安全性主要取决于密钥的设计和使用。
- 密钥管理主要包括:密钥产生、密钥传输、密钥验证、密钥更新、密钥存储、密钥备份、密钥销毁、密钥有效期、密钥使用等。
- 对称密钥管理技术和非对称密钥管理技术都可分为两种:无中心模式和有中心模式。
- 非对称密管理的有中心模式已经成为主流。无中心模式 成熟的应用是PGP模式。
- 非对称密管理虽然解决了密钥协商或分配时密钥容易泄露的问题,但并没有解决好密钥与用户映射关系容易被篡改的问题。
- PKI的本质是将非对称密钥管理标准化。
- PKI通过引入CA、数字证书、LDAP、CRL、OCSP等技术并制定相应标准,有效地解决了公钥与用户的映射关系、集中服务性能瓶颈、脱机状态查询等问题;同时为了促进和提高证书应用的规范性,还制定了很多与证书应用相关的各种标准。
- CA为证书权威,也称为CA中心或证书认证中心,负责给用户签发数字证书。
- 数字证书是一种特殊格式的文件,包含用户公钥、身份信息和CA中心的签名。
- 数字证书实际上是把用户公钥、公钥与用户的绑定关系公开发布,供大规模用户使用。
- LDAP是轻量级目录访问协议,对外提供证书查询和下载服务。它比数据库的查询服务更加高效。
- CA通过CRL(证书作废列表)定期提供脱机证书失效验证功能,通过OCSP(在线证书状态协议)提供实时证书状态查询服务。
- PKI是Public Key Infrastructure的缩写,主要功能是:数字证书和私钥的生成和管理,并通过证书中间件(模块或组件)支持数字证书的应用。
- CA管理证书,KMC(Key Management Center)管理私钥。
- PKI的证书有两种:签名证书和加密证书。
签名证书的公私钥对必须由用户自
最低0.47元/天 解锁文章
扫一扫
03-19
3328
3328
03-13
2万+
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
