Ⅰ 數字證書,公鑰和私鑰這三者之間的關系是什麼
公私鑰又稱非對稱密鑰,成對出現,只有相互可逆,一對公私鑰可集成為一張數字證書
Ⅱ 怎樣根據已有的公鑰和私鑰生成數字證書
openssl genrsa -des3 -out server.key 1024
運行時來會提示輸入密碼,此密碼用源於加密key文件(參數des3便是指加密演算法,當然也可以選用其他你認為安全的演算法.),以後每當需讀取此文件(通過openssl提供的命令或API)都需輸入口令.如果覺得不方便,也可以去除這個口令,但一定要採取其他的保護措施!
去除key文件口令的命令:
openssl rsa -in server.key -out server.key!
Ⅲ 到銀行申請的U盾,裡面的數字證書只是銀行的公鑰。我自己的私鑰和公鑰在那
這好象不重要,他是自然生成的,你只用使用
Ⅳ 數字證書是什麼,公鑰加密和私鑰簽名
數字證書就是互聯網通訊中標志通訊各方身份信息的一串數字,提供了一種在Internet上驗證通信實體身份的方式,數字證書不是數字身份證,而是身份認證機構蓋在數字身份證上的一個章或印(或者說加在數字身份證上的一個簽名)。它是由權威機構——CA機構,又稱為證書授權(Certificate Authority)中心發行的,人們可以在網上用它來識別對方的身份。
非對稱加密演算法需要兩個密鑰:公開密鑰(publickey)和私有密鑰(privatekey)。公開密鑰與私有密鑰是一對,如果用公開密鑰對數據進行加密,只有用對應的私有密鑰才能解密;如果用私有密鑰對數據進行加密,那麼只有用對應的公開密鑰才能解密。因為加密和解密使用的是兩個不同的密鑰,所以這種演算法叫作非對稱加密演算法。 非對稱加密演算法實現機密信息交換的基本過程是:甲方生成一對密鑰並將其中的一把作為公用密鑰向其它方公開;得到該公用密鑰的乙方使用該密鑰對機密信息進行加密後再發送給甲方;甲方再用自己保存的另一把專用密鑰對加密後的信息進行解密。
另一方面,甲方可以使用乙方的公鑰對機密信息進行簽名後再發送給乙方;乙方再用自己的私匙對數據進行驗簽。
甲方只能用其專用密鑰解密由其公用密鑰加密後的任何信息。 非對稱加密演算法的保密性比較好,它消除了最終用戶交換密鑰的需要。
非對稱密碼體制的特點:演算法強度復雜、安全性依賴於演算法與密鑰但是由於其演算法復雜,而使得加密解密速度沒有對稱加密解密的速度快。對稱密碼體制中只有一種密鑰,並且是非公開的,如果要解密就得讓對方知道密鑰。所以保證其安全性就是保證密鑰的安全,而非對稱密鑰體制有兩種密鑰,其中一個是公開的,這樣就可以不需要像對稱密碼那樣傳輸對方的密鑰了。這樣安全性就大了很多。
Ⅳ 銀行的USB KEY裡麵包含的是什麼用戶的私鑰和CA的公鑰嗎應該是被稱為數字證書嗎
USB Key是一種USB介面的硬體設備。它內置單片機或智能卡晶元,有一定的存儲空間,可專以存儲用戶的私鑰以及數字屬證書,利用USB Key內置的公鑰演算法實現對用戶身份的認證。由於用戶私鑰保存在密碼鎖中,理論上使用任何方式都無法讀取,因此保證了用戶認證的安全性。
USB Key是指硬體數字證書載體。
USB Key產品最早是由加密鎖廠商提出來的,原先的USB加密鎖主要用於防止軟體破解和復制,保護軟體不被盜版,而USB Key的目的不同,USB Key主要用於網路認證,鎖內主要保存數字證書和用戶私鑰。
USB KEY也叫UKEY,USBKey,USB Token,國內習慣翻譯成U盾,或者優盾。
工行的USB Key產品為「U盾」,招行的USB Key產品為「優Key」。
Ⅵ 怎樣獲取ca證書中的私鑰和公鑰
CA 也擁有一個證書(內含公鑰和私鑰)。網上的公眾用戶通過驗證 CA 的簽字從而信任 CA ,任何人都可以得到 CA 的證書(含公鑰),用以驗證它所簽發的證書。 如果用戶想得到一份屬於自己的證書,他應先向 CA 提出申請。在 CA 判明申請者的身份後,便為他分配一個公鑰,並且 CA 將該公鑰與申請者的身份信息綁在一起,並為之簽字後,便形成證書發給申請者。 如果一個用戶想鑒別另一個證書的真偽,他就用 CA 的公鑰對那個證書上的簽字進行驗證,一旦驗證通過,該證書就被認為是有效的。證書實際是由證書簽證機關(CA)簽發的對用戶的公鑰的認證。 證書的內容包括:電子簽證機關的信息、公鑰用戶信息、公鑰、權威機構的簽字和有效期等等。目前,證書的格式和驗證方法普遍遵循X.509 國際標准。 加密:我們將文字轉換成不能直接閱讀的形式(即密文)的過程稱為加密。即把我們平時看到的「http」加密成「https」來傳輸,這樣保證了信息在傳輸的過程中不被竊聽。目前國內可以完成這個工作的CA是GlobalSign。 解密:我們將密文轉換成能夠直接閱讀的文字(即明文)的過程稱為解密。 如何在電子文檔上實現簽名的目的呢?我們可以使用數字簽名。RSA公鑰體制可實現對數字信息的數字簽名, 方法:信息發送者用其私鑰對從所傳報文中提取出的特徵數據(或稱數字指紋)進行RSA演算法操作,以保證發信人無法抵賴曾發過該信息(即不可抵賴性),同時也確保信息報文在傳遞過程中未被篡改(即完整性)。當信息接收者收到報文後,就可以用發送者的公鑰對數字簽名進行驗證。 在數字簽名中有重要作用的數字指紋是通過一類特殊的散列函數(HASH函數) 生成的。 流程:CA證書簽發過程.接受的輸入報文數據沒有長度限制; 2.對任何輸入報文數據生成固定長度的摘要(數字指紋)輸出; 3.從報文能方便地算出摘要; 4.難以對指定的摘要生成一個報文,而由該報文可以算出該指定的摘要; 5.難以生成兩個不同的報文具有相同的摘要。 驗證:收方在收到信息後用如下的步驟驗證簽名: 1.使用自己的私鑰將信息轉為明文; 2.使用發信方的公鑰從數字簽名部分得到原摘要; 3.收方對您所發送的源信息進行hash運算,也產生一個摘要; 4.收方比較兩個摘要,如果兩者相同,則可以證明信息簽名者的身份。 如果兩摘要內容不符,會說明什麼原因呢? 可能對摘要進行簽名所用的私鑰不是簽名者的私鑰,這就表明信息的簽名者不可信;也可能收到的信息根本就不是簽名者發送的信息,信息在傳輸過程中已經遭到破壞或篡改。 數字證書:數字證書為實現雙方安全通信提供了電子認證。在網際網路、公司內部網或外部網中,使用數字證書實現身份識別和電子信息加密。數字證書中含有密鑰對(公鑰和私鑰)所有者的識別信息,通過驗證識別信息的真偽實現對證書持有者身份的認證。 安裝方式:在很多情況下,安裝CA證書並不是必要的。大多數操作系統的CA證書是默認安裝的。這些默認的CA證書由GoDaddy或VeriSign等知名的商業證書頒發機構頒發。因此,如果設備需要信任不知名的或本土的證書頒發機構,只需要安裝CA證書。 下載和安裝CA證書並沒有真正的標准流程。採用的方法依賴於許多因素,如正在使用的伺服器類型可作為一個證書頒發機構,證書頒發機構的配置方式以及設備上所使用的想安裝CA證書的操作系統。 如果Windows伺服器被配置為一台證書頒發機構,通常情況下,管理員可通過一個Web界面生成並下載證書。這個Web界面的地址通常是https://<the server's FQDN>/CertSRV。該Web界面中有下載CA證書的選項。 如果一台Windows PC上安裝了CA證書,該證書是由證書控制台進行安裝的。 在Windows 8個人電腦上,可以通過本地的運行功能進入CertLM.msc,從而訪問證書商店。CA證書通常安裝在第三方根認證機構容器中的受信任的根證書頒發機構中。 通常,如果想在移動設備上安裝一個CA證書,可以將證書通過電子郵件發送到該移動設備上的郵箱賬號。打開附件,證書將被安裝到該設備上。[ 證書原理:數字證書在用戶公鑰後附加了用戶信息及CA的簽名。公鑰是密鑰對的一部分,另一部分是私鑰。公鑰公之於眾,誰都可以使用。私鑰只有自己知道。由公鑰加密的信息只能由與之相對應的私鑰解密。為確保只有某個人才能閱讀自己的信件,發送者要用收件人的公鑰加密信件;收件人便可用自己的私鑰解密信件。同樣,為證實發件人的身份,發送者要用自己的私鑰對信件進行簽名;收件人可使用發送者的公鑰對簽名進行驗證,以確認發送者的身份。 在線交易中您可使用數字證書驗證對方身份。用數字證書加密信息,可以確保只有接收者才能解密、閱讀原文,信息在傳遞過程中的保密性和完整性。有了數字證書網上安全才得以實現,電子郵件、在線交易和信用卡購物的安全才能得到保證。 證書作用: 保密性 - 只有收件人才能閱讀信息。 認證性 - 確認信息發送者的身份。 完整性 - 信息在傳遞過程中不會被篡改。 不可抵賴性 - 發送者不能否認已發送的信息。 保證請求者與服務者的數據交換的安全性。 希望對你有用和幫到你。
Ⅶ 數字證書與私鑰什麼關系
什麼是數字證書?
由於Internet網電子商務系統技術使在網上購物的顧客能夠極其方便輕松地獲得商家和企業的信息,但同時也增加了對某些敏感或有價值的數據被濫用的風險. 為了保證互聯網上電子交易及支付的安全性,保密性等,防範交易及支付過程中的欺詐行為,必須在網上建立一種信任機制。這就要求參加電子商務的買方和賣方都必須擁有合法的身份,並且在網上能夠有效無誤的被進行驗證。數字證書是一種權威性的電子文檔。它提供了一種在Internet上驗證您身份的方式,其作用類似於司機的駕駛執照或日常生活中的身份證。它是由一個由權威機構----CA證書授權(Certificate Authority)中心發行的,人們可以在互聯網交往中用它來識別對方的身份。當然在數字證書認證的過程中,證書認證中心(CA)作為權威的、公正的、可信賴的第三方,其作用是至關重要的。
數字證書也必須具有唯一性和可靠性。為了達到這一目的,需要採用很多技術來實現。通常,數字證書採用公鑰體制,即利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設定一把特定的僅為本人所有的私有密鑰(私鑰),用它進行解密和簽名;同時設定一把公共密鑰(公鑰)並由本人公開,為一組用戶所共享,用於加密和驗證簽名。當發送一份保密文件時,發送方使用接收方的公鑰對數據加密,而接收方則使用自己的私鑰解密,這樣信息就可以安全無誤地到達目的地了。通過數字的手段保證加密過程是一個不可逆過程,即只有用私有密鑰才能解密。公開密鑰技術解決了密鑰發布的管理問題,用戶可以公開其公開密鑰,而保留其私有密鑰。
數字證書頒發過程一般為:用戶首先產生自己的密鑰對,並將公共密鑰及部分個人身份信息傳送給認證中心。認證中心在核實身份後,將執行一些必要的步驟,以確信請求確實由用戶發送而來,然後,認證中心將發給用戶一個數字證書,該證書內包含用戶的個人信息和他的公鑰信息,同時還附有認證中心的簽名信息。用戶就可以使用自己的數字證書進行相關的各種活動。數字證書由獨立的證書發行機構發布。數字證書各不相同,每種證書可提供不同級別的可信度。可以從證書發行機構獲得您自己的數字證書。
目前的數字證書類型主要包括:個人數字證書、單位數字證書、單位員工數字證書、伺服器證書、VPN證書、WAP證書、代碼簽名證書和表單簽名證書。
隨著Internet的普及、各種電子商務活動和電子政務活動的飛速發展,數字證書開始廣泛地應用到各個領域之中,目前主要包括:發送安全電子郵件、訪問安全站點、網上招標投標、網上簽約、網上訂購、安全網上公文傳送、網上繳費、網上繳稅、網上炒股、網上購物和網上報關等。
數字簽名(Digital Signature)技術是不對稱加密演算法的典型應用。數字簽名的應用過程是,數據源發送方使用自己的私鑰對數據校驗和或其他與數據內容有關的變數進行加密處理,完成對數據的合法「簽名」,數據接收方則利用對方的公鑰來解讀收到的「數字簽名」,並將解讀結果用於對數據完整性的檢驗,以確認簽名的合法性。數字簽名技術是在網路系統虛擬環境中確認身份的重要技術,完全可以代替現實過程中的「親筆簽字」,在技術和法律上有保證。在公鑰與私鑰管理方面,數字簽名應用與加密郵件PGP技術正好相反。在數字簽名應用中,發送者的公鑰可以很方便地得到,但他的私鑰則需要嚴格保密。
數字簽名包括普通數字簽名和特殊數字簽名。普通數字簽名演算法有RSA、ElGmal、Fiat-Shamir、Guillou-Quisquarter、Schnorr、Ong-Schnorr-Shamir數字簽名演算法、Des/DSA,橢圓曲線數字簽名演算法和有限自動機數字簽名演算法等。特殊數字簽名有盲簽名、代理簽名、群簽名、不可否認簽名、公平盲簽名、門限簽名、具有消息恢復功能的簽名等,它與具體應用環境密切相關。
Ⅷ 如何保護數字證書和私鑰
需要澄清的概念 一、關於私鑰的唯一性 嚴格地講,私鑰既然是世上唯一且只由主體本身持有,它就必須由主體的計算機程序來生成。因為如果在別處生成將會有被拷貝的機會。然而在實際應用上並非如此,出於某些特殊需要(例如,如果只有一份私鑰,單位的加密文件就會因為離職員工帶走私鑰而無法解密。)加密用的公/私鑰對會要求在可信的第三方儲存其備份。這樣,加密用的私鑰可能並不唯一。然而簽名用的私鑰則必須保持唯一,否則就無法保證被簽名信息的不可否認性。 在生成用戶的密鑰對時,用於加密的公/私鑰對可以由CA、RA產生,也可以在用戶終端的機器上用專用的程序(如瀏覽器程序或認證軟體)來產生。用於數字簽名的密鑰對原則上只能由用戶終端的程序自行產生,才能保證私鑰信息的私密性以及通信信息的不可否認性。 我們常常聽到有人說:保管好你的軟盤,保管好你的KEY,不要讓別人盜用你的證書。有些教科書上也這樣講。應該說,這句話是有毛病的。數字證書可以在網上公開,並不怕別人盜用和篡改。因為證書的盜用者在沒有掌握相應的私鑰的情況下,盜用別人的證書既不能完成加密通信,又不能實現數字簽名,沒有任何實際用處。而且,由於有CA對證書內容進行了數字簽名,在網上公開的證書也不怕黑客篡改。我們說,更該得到保護的是儲存在介質中的私鑰。如果黑客同時盜走了證書和私鑰,危險就會降臨。 不同的存儲介質,安全性是不同的。如果證書和私鑰儲存在計算機的硬碟里,計算機一旦受到黑客攻擊,(例如被埋置了木馬程序)證書和私鑰就可能被盜用。 使用軟盤或存儲型IC卡來保存證書和私鑰,安全性要比硬碟好一些,因為這兩種介質僅僅在使用時才與電腦相連,用完後即被拔下,證書和私鑰被竊取的可能性有所降低。但是黑客還是有機會,由於軟盤和存儲型IC卡不具備計算能力,在進行加密運算時,用戶的私鑰必須被調出軟盤或IC卡進入外部的電腦,在這個過程中就會造成一定的安全隱患。 產生公私密鑰對的程序(指令集)是智能卡生產者燒制在晶元中的ROM中的,密碼演算法程序也是燒制在ROM中。公私密鑰對在智能卡中生成後,公鑰可以導出到卡外,而私鑰則存儲於晶元中的密鑰區,不允許外部訪問。 USB Key和智能卡除了I/O物理介面不一樣以外,內部結構和技術是完全一樣的,其安全性也一樣。只不過智能卡需要通過讀卡器接到電腦的串列介面上,而USB Key通過電腦的通用串列匯流排(USB)介面直接與電腦相接。另外,USB介面的通信速度要遠遠高於串列介面的通信速度。現在出品的電腦已經把USB介面作為標准配置,而使用智能卡則需要加配讀卡器。出於以上原因,各家CA都把USB Key作為首選的證書和私鑰存儲介質而加以推廣。 為了防止USB key 不慎丟失而可能被他人盜用,不少證書應用系統在使用過程中還設置了口令認證機制。如口令輸入得不對,即使掌握了USB key,也不能登錄進入應用系統。
Ⅸ 數字證書,公鑰、私鑰,數字簽名的關系
公鑰、私鑰是一對,公鑰是給別人用來解密的,私鑰是自己用來加密的
數字證書是用你的公鑰生成的,包含你的公鑰和其他的一些個人和組織信息。
數字簽名是你用你的私鑰加密後的一組數據,可以讓別人用你的公鑰解開。表明是你簽名認可的數據
Ⅹ 數字證書和公鑰技術的關系以及作用
CA是頒發數字證書的機構,解釋CA的作用就能解釋為什麼有了公私鑰還需要數字證書。配對公私鑰誰都能產生,這樣就可能導致身份欺詐,比如一些不法分子冒充合法客戶對商家進行欺詐,造成商家和客戶的損失,或者情形反過來。CA是可信任的第三方,它結合客戶公鑰發行數字證書的作用是保證「你」是「你」,「我」是「我」,從而避免信任欺詐。