欢迎来到天天文库
浏览记录
ID:36200274
大小:339.81 KB
页数:20页
时间:2019-05-07
《ca基础知识培训教程》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、山东省数字证书认证管理有限公司CA基础知识讲座二00二年十月二十二日RA分中心培训什么是CA什么是对称加密体系什么是RSA密钥对、数字证书和CA“X.509标准”是什么X.509证书的格式什么是LDAP什么是OCSP主要内容:什么是CA:CA(CertificateAuthority)是数字证书认证中心的简称,是指发放、管理、废除数字证书的机构。CA的作用是检查证书持有者身份的合法性,并签发证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理。CA是基于非对称加密体系建立的电子商务安全认证机构。对称加密体系:CACACACACACACACACA我们先来看一下什么
2、是对称加密:对称加密采用的是对称算法,也是传统常用的算法。其主要特点是:加解密双方在加解密过程中要使用完全相同的一个密钥。它最广泛使用的是DES算法。DES(DataEncryptionStandard)算法是美国政府机关为了保护信息处理中的计算机数据而使用的一种加密方式,是一种常规密码体制的密码算法,目前已广泛用于电子商务系统中。64位DES的算法详细情况已在美国联邦信息处理标准(FIPSPUB46)上发表。该算法输入的是64比特的明文,在64比特密钥的控制下产生64比特的密文;反之输入64比特的密文,输出64比特的明文。64比特的密钥中含有8个比特的奇偶校验位,所以实际有效
3、密钥长度为56比特。随着研究的发展,DES算法在基本不改变加密强度的条件下,发展了许多变形DES。Triple-DES是DES算法扩展其密钥长度的一种方法,可使加密密钥长度扩展到128比特(112比特有效)或192比特(168比特有效)。其基本原理是将128比特的密钥分为64比特的两组,对明文多次进行普通的DES加解密操作,从而增强加密强度。对称算法最主要的问题是:由于加解密双方都要使用相同的密钥,因此在发送、接收数据之前,必须完成密钥的分发。因而,密钥的分发便成了该加密体系中的最薄弱因而风险最大的环节。各种基本的手段均很难保障安全地完成此项工作。从而,使密钥更新的周期加长,给
4、他人破译密钥提供了机会。在对称算法中,尽管由于密钥强度增强,跟踪找出规律破获密钥的机会大大减小了,但密钥分发的困难问题几乎无法解决。如,设有n方参与通信,若n方都采用同一个对称密钥,一旦密钥被破解,整个体系就会崩溃;若采用不同的对称密钥则需n(n-1)个密钥,密钥数与参与通信人数的平方数成正比。这便使大系统密钥的管理几乎成为不可能。对称加密体系:什么是RSA:RSA是一种公开密钥加密体系,RSA算法最初是为了解决DES算法密钥的工发难题。它的应用原理是:先由密钥管理中心产生一对公钥(public-key)和私钥(Private-key),称为密钥对。方法如下:在离线方式下,先产
5、生两个足够大的强质数p、q。可得p与q的乘积为n=p×q。再由p和q算出另一个数z=(p-1)×(q-1),然后再选取一个与z互素的奇数e,称e为公开指数;从这个e值可以找出另一个值d,并能满足e×d=1mod(z)条件。由此而得到的两组数(n,e)和(n,d)分别被称为公开密钥和秘密密钥,或简称公钥和私钥。对于明文M,用公钥(n,e)加密可得到密文C。C=Mmod(n)对于密文C,用私钥(n,d)解密可得到明文M。M=Cmod(n)同法,也可定义用私钥(n,d)先进行解密后,然后用公钥(n,e)进行加密(用于签名)。什么是RSA:p、q、z由密钥管理中心负责保密。在密钥对一经
6、产生便自动将其销毁或者为了以后密钥恢复的需要将其存入离线的安全黑库里面;如密钥对是用户自己离线产生的,则p、q、z的保密或及时销毁由用户自己负责。在本系统中,这些工作均由程序自动完成。在密钥对产生好后,公钥则通过签证机关CA以证书的形式向用户分发;经加密后的密态私钥用PIN卡携带分发至用户本人。基于RSA算法上建构的体系称为非对称加密体系,用非对称加密体系,可建立起一套优秀的安全体系结构--称为公钥体系结构。以下介绍公钥体系结构中的一些基本概念与结构组成密钥对、数字证书和CA:在基于公钥体系的安全系统中,密钥是成对生成的,每对密钥由一个公钥和一个私钥组成。在实际应用中,私钥由拥
7、有者自己保存,而公钥则需要公布于众。为了使基于公钥体系的业务能够广泛应用,一个基础性关键的问题就是公钥的分发与管理。公钥本身并没有什么标记,仅从公钥本身不能判别公钥的主人是谁。在很小的范围内,比如A和B这样的两人小集体,他们之间相互信任,交换公钥,在互联网上通讯,没有什么问题。这个集体再稍大一点,也许彼此信任也不成问题,但从法律角度讲这种信任也是有问题的。如再大一点,信任问题就成了一个大问题。密钥对数字证书互联网络的用户群决不是几个人互相信任的小集体,在这个用户群中,从法律角度讲用户彼此之间
此文档下载收益归作者所有