解读TLS协议、CA认证中的非对称加密

首先有一个【神奇的箱子】的概念：

1. 神奇的箱子有一把锁。
2. 这把锁有两种钥匙：通常只有一把红钥匙；有很多把绿钥匙。
3. 开锁跟解锁必须使用不同种的钥匙。

当然也有【普通的箱子】：

1. 普通的箱子有一把锁。
2. 这把锁有一种钥匙：既可以开锁，又可以解锁

下面说下TLS协议的过程：

一个漆黑的店里，来了一名顾客。
“看看货” ——顾客向黑暗中递上一张纸条。
不久，一本证书送到了顾客手中。顾客熟练的翻看证书，证书中夹着一把绿色钥匙。
使用【某种方法】验证了证书确实是这个店家的。顾客掏出了一把自制的普通钥匙，用证书中的绿色钥匙把普通钥匙锁在【神奇的箱子】中，递了出去。

店里很黑，但既然是在【神奇的箱子】里，这个客人就可以放心等待交易的发生了。

果不其然，不久后一只【普通的箱子】送了过来。顾客使用【普通钥匙】打开了它，发现里面确实有自己需要的货。他笑了笑，把钱放进箱子中，又送了出去。他知道最后一定会送达店主手中。

故事里面【神奇的箱子】指的就是非对称加密。
使用不同的钥匙来开锁解锁，听起来真的就像是魔法一样！感谢伟大的数学让这种魔法得以发生。
利用这种魔法，才能成功的将普通钥匙送到拥有着红色钥匙的店主手中。
那么接下来的交易就用普通钥匙就行了，魔法的代价毕竟还是很昂贵的！

CA认证

回顾刚才的故事，有一个地方特别的让人感觉不协调。
【普通的箱子】可以信任。是因为普通钥匙放在了【神奇的箱子】中。
真的是这样吗？【神奇的箱子】是由绿色钥匙锁上的。普通钥匙最后一定会落到绿色钥匙的主人手上。但是有没有一种可能，绿色钥匙的主人，并不是店主？
细思极恐！一个贪婪邪恶的歹徒，正拿着顾客给的普通钥匙，一个一个的打开眼前的箱子。他脚边是一把红色钥匙，而箱子里，全是顾客的财产！

对于这个歹徒来说，伪造证书跟绿色钥匙都是拿手绝活。
然而魔高一尺道高一丈，魔法协会有专门的一套办法来保证这个小店的安全。

追加概念【真名之箱】

1. 非常小的一个箱子。
2. 任何钥匙都可以把东西锁在这个箱子里面，但是无法解锁。
3. 被上锁的东西不会被消耗
4. 箱子上会显现出东西的【真名】。相同钥匙相同东西，显现的真名相同。

店主提交证书到协会，魔法协会是这样做的：

1. 协会拿出证书中的绿色钥匙，生成了证书的【真名之箱】
2. 协会拿出协会红色钥匙（这个钥匙非常贵重，是整个协会的象征），把【真名之箱】锁入一个【神奇的箱子】并交给店主。

现在可以解释下上面顾客是如何用【某种方法】验证了证书确实是这个店家的：
店主在送出证书同时，还给了一个【神奇的箱子】。
顾客拿到证书后，翻到背面，找到给证书认证的魔法协会。
顾客腰间有一串绿色钥匙，这都是各个魔法协会的，他从中选出了这本证书对应的协会的一把。打开了证书附赠的【神奇的箱子】。箱子里面的东西十分小巧，他认出来这就是【真名之箱】。
于是顾客用证书中的绿色钥匙，对着证书也生成了一只【真名之箱】。两个箱子上面浮现出相同的【真名】。他此时知道了，这个证书一定是店主给他的。