数字签名、数字证书和 HTTPS

对于数字证书、数字签名的概念一直很模糊,虽然网上看了很多文章,但是自己脑子里想完整地梳理一遍的时候就还是乱乱的,所以动手整理了下,在写作的过程中各个概念之间的关系慢慢变得清晰了。

公钥、私钥和数字签名

首先是公钥和私钥的概念。公钥(Public Key)和私钥(Private Key)是一对使用特定加密算法产生的密钥对(两串字符串),可以使用 OpenSSL 或者 OpenSSH 的 ssh-keygen 工具生成。公钥和私钥都可以用来加密数据,经过私钥加密的数据,只有通过公钥才可以解密出来,反之亦然。

私钥自己保留,公钥用于发放给别人。为什么要发给别人呢?因为这样就可以实现和对方之间的加密通讯,过程如下:

- Susan 有 Bob 的公钥,在给 Bob 发消息前使用公钥对消息进行加密,这样就只有拥有私钥的 Bob 才可以解密消息。

- Bob 使用他的私钥可以在数据上进行数字签名,即先将要发送的数据进行 Hash 运算,然后使用私钥加密 Hash 运行的结果,最后加密的结果就是叫数字签名(Digital Signature)。

- Bob 把数字签名随同数据一起发给 Susan,Susan 通过 Bob 的公钥可以获得两个信息:

1 - 如果使用公钥成功解密数字签名,则说明这个信息确实是通过 Bob 的私钥加密的

2 - 对传输的数据进行 Hash 运算,如果结果与解密出来的 Hash 值一致,则说明数据没有被篡改过。

> Hash 算法会将数据变成一段固定长度的 message digest,且不同的原始数据经过运算后会产生截然不同的结果,可以认为不存在使用不同的原始数据来伪造相同的 hash 值的情况。

如果按照以上的流程,Bob 向 Susan 发送的数据是没有加密的(即使用私钥加密了数据,别人也能用公钥解开),那如何保证数据不被窃取呢?具体的例子可以看 HTTPS 一节的介绍。

中间人攻击与数字证书

上文中的加密通讯是在 Susan 正确获得 Bob 公钥的前提下进行的,如果 Susan 和 Bob 的通讯被 Doug 拦截,Doug 将 Bob 发给 Susan 的公钥替换成自己的公钥(至于替换的方式我们先不管),这样 Susan 就会认为 Doug 是 Bob,把原本要发给 Bob 的消息使用 Doug 的公钥加密并发送,Doug 收到后可以用自己的私钥解密,获得数据内容,然后再用 Bob 的公钥加密发送给 Bob,Bob 会认为这些信息是 Susan 发过来的。在这个过程中 Doug 可以任意篡改信息,Doug 就是在进行中间人攻击。

数字证书(Digital Certificate)就是用来确保 Susan 拿到的确实是 Bob 的公钥,而不是中间人 Doug 的。数字证书是由 Certificate Authority(CA)机构颁发的,所谓数字证书就是 CA 机构使用自己的私钥,对 Bob 的公钥和一些相关信息(如国家、公司、域名)一起加密的结果,CA 机构在颁发证书前会有一套严格的流程来确保相关信息的准确性。以网站来举例,Github 证书经过 CA 公钥解密后获得的一定就是 Github 的公钥。知名 CA 机构的根证书会内置于游览器中,用来确保 CA 机构本身的身份,其中就包含了 CA 机构自身的公钥。有了证书以后,网站发送信息只要附带上自己的证书,就能证明自己的身份。下图是使用 Chrome 查看 Github 的证书:

GitHub 的证书

HTTPS

那么 HTTPS 与数字证书之间是什么关系呢?网上找了一张介绍 HTTPS 的流程图,如果前面的概念都理解了的话,那一看这个流程图就能大概了解 HTTPS 是怎么回事了。

HTTPS 通讯过程

图中的第四步中 `validata crt` 我理解就是使用 CA 的公钥验证服务器端发送的证书的有效性,如颁发机构是否有效、证书中的域名和访问的域名是否一致、证书是否过期、是否被吊销等。如果证书有问题,游览器会给出警告。如果证书有效,客户端会产生一个随机字符,并使用从证书中获得的服务器端公钥加密后传输给服务器,这个信息只有服务器端的私钥才能解密,服务器端解密获得了随机字符后,便使用该随机字符对发送出去的内容进行对称加密,服务器端就可以使用相同的随机字符进行解密,这样就实现了加密通讯。

从上面的过程看,HTTPS 通讯是有一定性能损耗的,但毕竟更安全了嘛。

参考链接:

www.ruanyifeng.com/blog/2011/08/what_is_a_digital_signature.html

http://www.youdzone.com/signature.html

https://jamielinux.com/docs/openssl-certificate-authority/index.html

https://zh.wikipedia.org/wiki/%E4%B8%AD%E9%97%B4%E4%BA%BA%E6%94%BB%E5%87%BB

https://zh.wikipedia.org/wiki/%E5%85%AC%E5%BC%80%E5%AF%86%E9%92%A5%E5%8A%A0%E5%AF%86

http://www.jianshu.com/p/671e3cf26974

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 201,552评论 5 474
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 84,666评论 2 377
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 148,519评论 0 334
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,180评论 1 272
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,205评论 5 363
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,344评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,781评论 3 393
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,449评论 0 256
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,635评论 1 295
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,467评论 2 317
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,515评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,217评论 3 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,775评论 3 303
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,851评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,084评论 1 258
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,637评论 2 348
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,204评论 2 341

推荐阅读更多精彩内容