數字證書
回到數字簽名章節,我樣知道數字簽名的作用就是驗證數據來源以及數據完整性!解密過程則稱爲數字簽名驗證。
只有數字簽名還不行,依然會存在些問題:
案例1:
公鑰是公開的並且可以自行導入到電腦,如果有人比如C偷偷在B的電腦用自己公鑰替換了A的公鑰,然後用自己的私鑰給B發送Email,這時B收到郵件其實是被C冒充的但是他無法察覺。
答案:確實存在這種情況!解決辦法就是數字證書。案例2:
瀏覽器如何知道所下載的公鑰的確是來自於其要訪問的服務器的呢?惡意攻擊者完全可以在他們之間冒充服務器向瀏覽器發送一個冒牌的公鑰,你在完全沒有感知的情況下相信了該公鑰,這個冒牌貨便肆無忌憚地盜取你的密碼,偷走你銀行卡里的存款(此所謂中間人攻擊)。
答案是肯定的,就是我們今天要講的主角——數字證書!
數字證書,就是一個證書,是由專業的證書頒發機構來頒發的,用於確認一個數字簽名的合法性。
如上圖所示,Bob網站與用戶之間的通信流程:
1、Bob向CA認證中心提交網站服務信息,有用戶名、郵箱、公司名等等;CA驗證Bob網站服務的合法性,如果合法,CA用自己的私鑰將Bob的公鑰、用戶名、郵箱、公司名等信息進行加密,生成一個數字證書(cert),發送給Bob;
2、Bob服務向用戶發送信息,包括簽名、摘要、原始報文、Bob公鑰、數字證書(cert)一併發給用戶;
3、用戶使用CA的公鑰解析數字證書(cert),解析出Bob的公鑰、用戶名、郵箱、公司名等信息,然後判斷網站信息與公鑰是否正確;如果錯誤,拋出異常;
4、如果沒有問題,用戶就可以使用Bob的公鑰加密信息,向Bob的網站服務發起請求了。
注意:CA是我們無條件信任的中間機構,它保證了網站服務的合法性,但是不是我們想要的網站,還需要用戶自己判斷(比如Bob的用戶名,郵箱、公司名等等)。