IT果果日记
技术经理
头条号和公众号都是" IT果果日记"。
获得徽章 7
数字证书的作用是当你需要将公钥传给另一个人时,把公钥制作成数字证书就能确保接收人得到的公钥确实是你本人传输的那个公钥,而不是某个非法的中间人进行了冒名顶替之后发送的公钥。
比如A想要将自己的公钥发送给B,中间人X拦截了A的公钥之后,将自己的公钥发送给了B,B得到了X的公钥却以为是A的公钥,这就是”中间人攻击“的问题,如何解决呢?答案是给A的公钥加一个数字证书。
数字证书的原理是A和B通过第三方权威数字证书认证中心CA获取数字证书,数字证书里一般都会带有需要被证明人的身份信息如身份证或电子邮箱等。数字证书是不可以被篡改的,所以中间人X无法修改数字证书也就无法冒名顶替A发送的消息。
但是这样又有一个问题是B得到了数字证书以后必须持有证书认证中心CA的公钥才能对数字证书进行验签,也就是说CA要将自己的公钥发送给B,如何证明CA发送的公钥没有被中间人替换过?答案和之前的一样:再找一个更上层的证书认证中心来证明,如此反复循环直到根认证中心。根认证中心的根证书正当性由根认证中心自己证明。如果根认证中心无法证明自己的正当性,整个组织就玩不转了。因此,绝大多数根认证中心都是大型机构或政府组织。
我现在感到不解的是,根认证中心如何证明自己的合法性?
比如A想要将自己的公钥发送给B,中间人X拦截了A的公钥之后,将自己的公钥发送给了B,B得到了X的公钥却以为是A的公钥,这就是”中间人攻击“的问题,如何解决呢?答案是给A的公钥加一个数字证书。
数字证书的原理是A和B通过第三方权威数字证书认证中心CA获取数字证书,数字证书里一般都会带有需要被证明人的身份信息如身份证或电子邮箱等。数字证书是不可以被篡改的,所以中间人X无法修改数字证书也就无法冒名顶替A发送的消息。
但是这样又有一个问题是B得到了数字证书以后必须持有证书认证中心CA的公钥才能对数字证书进行验签,也就是说CA要将自己的公钥发送给B,如何证明CA发送的公钥没有被中间人替换过?答案和之前的一样:再找一个更上层的证书认证中心来证明,如此反复循环直到根认证中心。根认证中心的根证书正当性由根认证中心自己证明。如果根认证中心无法证明自己的正当性,整个组织就玩不转了。因此,绝大多数根认证中心都是大型机构或政府组织。
我现在感到不解的是,根认证中心如何证明自己的合法性?
展开
评论
3