数字证书的概念:
数字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明,在电子交易的各个环节,交易的各方都需要验证数字证书的有效性,从而解决相互间的信任问题。
数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密和解密,每个用户自己设定一个特定仅为个人所知的私有密钥,用它进行解密和签名,同时设定一个公共密钥,并由本人公开,为一组用户所共享,用于加密和验证。公开密钥解决了密钥发布的管理问题。一般情况下,证书中还包括密钥的有效时间、发证机构的名称以及证书的序列号等信息。
用户的数字证书由某个可信的证书发放机构建立,并由证书发放机构或用户存放在公共目录中,以供其他用户访问。目录服务器本身并不负责为用户创建数字证书,起作用仅仅是为用户访问数字证书提供方便。
数字证书的获取:
证书发放机构(CA)为用户产生的证书应具有以下特性:
(1)只要得到CA的公钥,就能由此得到CA为用户签署的公钥。
(2) 除CA外,其他任何人员都不能以不被察觉的方式修改证书的内容。
因为证书是不可伪造的,因此无须对存放证书的目录施加特别的保护。
假设有证书发放机构I1、I2,用户A在茬I1获取证书,用户B在I2获取证书,I1和I2已安全交换了各自的公钥,如果用Il《A》表示由I1颁发给A的证书,A可通过( Il《I2》I2《B》 )证书获取B的公开密钥。
解析:
(1)A从目录中获取由I1签署的I2证书 Il《I2》,因为A知道I1的公开密钥,所以能验证I2的证书,并从中得到I2的公开密钥。
(2)A再从目录中获取由I2签署的I2证书 I2《B》,并由I2的公开密钥对此加以验证,并从中得到B的公开密钥。