證書頒發機構
數碼證書認證機構(英語:Certificate Authority,縮寫為CA),也稱為電子商務認證中心、電子商務認證授權機構,是負責發放和管理數碼證書的權威機構,並作為電子商務交易中受信任的第三方,承擔公鑰體系中公鑰的合法性檢驗的責任。
介紹
CA中心為每個使用公開金鑰的用戶發放一個數碼證書,數碼證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開金鑰。CA機構的數碼簽章使得攻擊者不能偽造和篡改證書。它負責產生、分配並管理所有參與網上交易的個體所需的數碼證書,因此是安全電子交易的核心環節。在SET交易中,CA不僅對持卡人、商戶發放證書,還要對獲款的銀行、閘道器發放證書。
CA是證書的簽發機構,它是公鑰基礎設施的核心。CA是負責簽發證書、認證證書、管理已頒發證書的機關。它要制定政策和具體步驟來驗證、辨識用戶身份,並對用戶證書進行簽章,以確保證書持有者的身份和公鑰的擁有權。
CA也擁有用戶的證書(內含公鑰)和私鑰。網上的公眾用戶通過驗證CA的簽章從而信任CA,任何人都可以得到CA的證書(含公鑰),用以驗證CA所簽發的證書。
用戶若欲取得證書,應先向CA提出申請,CA判明申請者的身份後,為之分配一個公鑰,並將該公鑰與其身份資訊繫結,為該整體簽章,簽章後的整體即為證書,發還給申請者。
如果一個用戶想鑑別另一個證書的真偽,他就用CA的公鑰對那個證書上的簽字進行驗證,一旦驗證通過,該證書就被認為是有效的。
為保證用戶之間在網上載遞資訊的安全性、真實性、可靠性、完整性和不可抵賴性,不僅需要對用戶的身份真實性進行驗證,也需要有一個具有權威性、公正性、唯一性的機構,負責向電子商務的各個主體頒發並管理符合國際安全電子交易協定標準的電子商務安全證,並負責管理所有參與網上交易的個體所需的數碼證書,因此CA是安全電子交易的核心環節。
證書
證書實際是由證書簽證機關(CA)簽發的對用戶的公鑰的認證。
證書的內容包括:電子簽證機關的資訊、公鑰用戶資訊、公鑰、權威機構的簽字和有效期等等。目前,證書的格式和驗證方法普遍遵循X.509國際標準。
- 加密:CA認證將文字轉換成不能直接閱讀的形式(即密文)的過程稱為加密。
- 解密:將密文轉換成能夠直接閱讀的文字(即明文)的過程稱為解密。
如打算在電子文件上實現簽章的目的,可使用數碼簽章。RSA公鑰體制可實現對數字資訊的數碼簽章,方法如下:
資訊傳送者用其私鑰對從所傳報文中提取出的特徵數據(或稱數字指紋)進行RSA演算法操作,以保證發信人無法抵賴曾發過該資訊(即不可抵賴性),同時也確保資訊報文在傳遞過程中未被篡改(即完整性)。當資訊接收者收到報文後,就可以用傳送者的公鑰對數碼簽章進行驗證。
在數碼簽章中有重要作用的數字指紋是通過一類特殊的雜湊函數(HASH函數)生成的。對這些HASH函數的特殊要求是:
- 接受的輸入報文數據沒有長度限制;
- 對任何輸入報文數據生成固定長度的摘要(數字指紋)輸出;
- 從報文能方便地算出摘要;
- 難以對指定的摘要生成一個報文,而由該報文可以算出該指定的摘要;
- 兩個不同的報文難以生成具有相同的摘要。
數碼證書
數碼證書為實現雙方安全通訊提供電子認證。在互聯網、公司內聯網或外部網中,使用數碼證書實現身份辨識和電子資訊加密。數碼證書中含有金鑰對(公鑰和私鑰)所有者的辨識資訊,通過驗證辨識資訊的真偽實現對證書持有者身份的認證。
數碼身份認證原理
若註冊者認定一個人的身份,是通過註冊者信任的另外一個人來進行的。註冊者信任的那個人就是身份認證機構(可以是一個自然人)。把數碼身份比喻成一個證件,那麼數碼證書就是身份認證機構蓋在數碼身份證上的一個章或印(或者說加在數碼身份證上的一個簽章),這一行為表示身份認證機構已認定這個人。
身份認證機構是人們註冊公鑰的機構。註冊之後,身份認證機構就向註冊者發一數碼證書,也就是說在註冊者的數碼身份證上加簽。服務有免費,也有收費。身份認證機構也可以是一個自然人,就如PGP和GPG系統所倡導的。
參見
連結
- 開放目錄專案中的「Certificate authorities」
- Certificate Authority Reviews(頁面存檔備份,存於互聯網檔案館)
- 認證中心國別一覽[永久失效連結]
- How secure is HTTPS today? How often is it attacked?(頁面存檔備份,存於互聯網檔案館), Electronic Frontier Foundation (25 October 2011)
- 證書信任鏈 https://letsencrypt.org/zh-cn/certificates/ (頁面存檔備份,存於互聯網檔案館)