數字證書的原理

A. 數字證書(SSL)的工作原理

SSL工作原理
2007-03-08 22:15
SSL 是一個安全協議，它提供使用 TCP/IP 的通信應用程序間的隱私與完整性。網際網路的 超文本傳輸協議 （HTTP）使用 SSL 來實現安全的通信。
在客戶端與伺服器間傳輸的數據是通過使用對稱演算法（如 DES 或 RC4）進行加密的。公用密鑰演算法（通常為 RSA）是用來獲得加密密鑰交換和數字簽名的，此演算法使用伺服器的SSL數字證書中的公用密鑰。有了伺服器的SSL數字證書，客戶端也可以驗證伺服器的身份。SSL 協議的版本 1 和 2 只提供伺服器認證。版本 3 添加了客戶端認證，此認證同時需要客戶端和伺服器的數字證書。
SSL 握手
SSL 連接總是由客戶端啟動的。在SSL 會話開始時執行 SSL 握手。此握手產生會話的密碼參數。關於如何處理 SSL 握手的簡單概述，如下圖所示。此示例假設已在 Web 瀏覽器 和 Web 伺服器間建立了 SSL 連接。
圖 SSL的客戶端與伺服器端的認證握手

(1) 客戶端發送列出客戶端密碼能力的客戶端「您好」消息（以客戶端首選項順序排序），如 SSL 的版本、客戶端支持的密碼對和客戶端支持的數據壓縮方法。消息也包含 28 位元組的隨機數。
(2) 伺服器以伺服器「您好」消息響應，此消息包含密碼方法（密碼對）和由伺服器選擇的數據壓縮方法，以及會話標識和另一個隨機數。
注意:客戶端和伺服器至少必須支持一個公共密碼對，否則握手失敗。伺服器一般選擇最大的公共密碼對。
(3) 伺服器發送其SSL數字證書。（伺服器使用帶有 SSL 的 X.509 V3 數字證書。）
如果伺服器使用 SSL V3，而伺服器應用程序（如 Web 伺服器）需要數字證書進行客戶端認證，則客戶端會發出「數字證書請求」消息。在 「數字證書請求」消息中，伺服器發出支持的客戶端數字證書類型的列表和可接受的CA的名稱。
(4) 伺服器發出伺服器「您好完成」消息並等待客戶端響應。
(5) 一接到伺服器「您好完成」消息，客戶端（ Web 瀏覽器）將驗證伺服器的SSL數字證書的有效性並檢查伺服器的「你好」消息參數是否可以接受。
如果伺服器請求客戶端數字證書，客戶端將發送其數字證書；或者，如果沒有合適的數字證書是可用的，客戶端將發送「沒有數字證書」警告。此警告僅僅是警告而已，但如果客戶端數字證書認證是強制性的話，伺服器應用程序將會使會話失敗。
(6) 客戶端發送「客戶端密鑰交換」消息。此消息包含 pre-master secret （一個用在對稱加密密鑰生成中的 46 位元組的隨機數字），和 消息認證代碼 （ MAC ）密鑰（用伺服器的公用密鑰加密的）。
如果客戶端發送客戶端數字證書給伺服器，客戶端將發出簽有客戶端的專用密鑰的「數字證書驗證」消息。通過驗證此消息的簽名，伺服器可以顯示驗證客戶端數字證書的所有權。
注意: 如果伺服器沒有屬於數字證書的專用密鑰，它將無法解密 pre-master 密碼，也無法創建對稱加密演算法的正確密鑰，且握手將失敗。
(7) 客戶端使用一系列加密運算將 pre-master secret 轉化為 master secret ，其中將派生出所有用於加密和消息認證的密鑰。然後，客戶端發出「更改密碼規范」 消息將伺服器轉換為新協商的密碼對。客戶端發出的下一個消息（「未完成」的消息）為用此密碼方法和密鑰加密的第一條消息。
(8) 伺服器以自己的「更改密碼規范」和「已完成」消息響應。
(9) SSL 握手結束，且可以發送加密的應用程序數據。

天威誠信CA數字認證中心

B. 數字證書的工作原理是什麼

數字證書認證中心（Certficate Authority,CA）就是一個負責發放和管理數字證書的權威機構。對於一個大型的應用環境，認證中心往往採用一種多層次的分級結構，各級的認證中心類似於各級行政機關，上級認證中心負責簽發和管理下級認證中心的證書，最下一級的認證中心直接面向最終用戶。
數字安全證書利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設定一把特定的僅為本人所知的私有密鑰（私鑰），用它進行解密和簽名；同時設定一把公共密鑰（公鑰）並由本人公開，為一組用戶所共享，用於加密和驗證簽名。當發送一份保密文件時，發送方使用接收方的公鑰對數據加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達目的地了。通過數字的手段保證加密過程是一個不可逆過程，即只有用私有密鑰才能解密。在公開密鑰密碼體制中，常用的一種是RSA體制。其數學原理是將一個大數分解成兩個質數的乘積，加密和解密用的是兩個不同的密鑰。即使已知明文、密文和加密密鑰（公開密鑰），想要推導出解密密鑰（私密密鑰），在計算上是不可能的。按現在的計算機技術水平，要破解目前採用的1024位RSA密鑰，需要上千年的計算時間。公開密鑰技術解決了密鑰發布的管理問題，商戶可以公開其公開密鑰，而保留其私有密鑰。購物者可以用人人皆知的公開密鑰對發送的信息進行加密，安全地傳送以商戶，然後由商戶用自己的私有密鑰進行解密。
用戶也可以採用自己的私鑰對信息加以處理，由於密鑰僅為本人所有，這樣就產生了別人無法生成的文件，也就形成了數字簽名。採用數字簽名，能夠確認以下兩點：
(1) 保證信息是由簽名者自己簽名發送的，簽名者不能否認或難以否認；
(2) 保證信息自簽發後到收到為止未曾作過任何修改，簽發的文件是真實文件。

C. 數字簽名的基本原理是什麼

數字簽名是基於非對稱密鑰加密技術與數字摘要技術的應用，是一個包含電子文件信息以及發送者身份並能夠鑒別發送者身份以及發送信息是否被篡改的一段數字串。

一段數字簽名數字串包含了電子文件經過Hash編碼後產生的數字摘要，即一個Hash函數值以及發送者的公鑰和私鑰三部分內容。

數字簽名有兩個作用，一是能確定消息確實是由發送方簽名並發出來的。二是數字簽名能確定數據電文內容是否被篡改，保證消息的完整性。數字簽名的基本工作流程如下：

發送加密

1.數字簽名用戶發送電子文件時，發送方通過哈希函數對電子數據文件進行加密生成數據摘要（digest）；

2.數字簽名發送方用自己的私鑰對數據摘要進行加密，私鑰加密後的摘要即為數字簽名；

3.數字簽名和報文將一起發送給接收方。

接收解密

1.接收方首先用與發送方一樣的哈希函數從接收到的原始報文中計算出報文摘要；

2.接收方用發送方的提供的公鑰來對報文附加的數字簽名進行解密，得到一個數字摘要；

3.如果以上兩個摘要相一致，則可以確認文件內容沒有被篡改。

4.發送方的公鑰能夠對數字簽名進行解密，證明數字簽名由發送方發送。

以上過程逆向也可以進行，即當文件接受者想要回信時，可以先通過hash函數生成數字摘要，再用公鑰加密即可起到文件加密的作用，收信人（數字簽名擁有者）可以用私鑰解密查看文件數字摘要。

• 函數加密原理

Hash函數又叫加密散列函數，其特點在於正向輸出結果唯一性和逆向解密幾乎不可解，因此可用於與數據加密。

正向輸出容易且結果唯一：由數據正向計算對應的Hash值十分容易，且任何的輸入都可以生成一個特定Hash值的輸出，完全相同的數據輸入將得到相同的結果，但輸入數據稍有變化則將得到完全不同的結果。
Hash函數逆向不可解：由Hash值計算出其對應的數據極其困難，在當前科技條件下被視作不可能。

了解了數字簽名，我們順便來提一嘴數字證書的概念：

• 數字證書

由於網路上通信的雙方可能都不認識對方，那麼就需要第三者來介紹，這就是數字證書。數字證書由Certificate Authority( CA 認證中心)頒發。

首先A B雙方要互相信任對方證書。

然後就可以進行通信了，與上面的數字簽名相似。不同的是，使用了對稱加密。這是因為，非對稱加密在解密過程中，消耗的時間遠遠超過對稱加密。如果密文很長，那麼效率就比較低下了。但密鑰一般不會特別長，對對稱加密的密鑰的加解密可以提高效率。

D. 支付寶的數字證書原理是怎麼樣的

問得太含糊。

給你個參考回：答
http://ke..com/view/16501.htm?fr=ala0_1_1

E. 網上銀行的數字證書是什麼原理

問的是U盾么？這個就跟OTP一樣，在U盾里邊應該是有你的網銀個人信息和驅動之類的，你想要用網銀就必須要通過這個U盾確認你的身份，然後才能消費，就是為了安全吧..不過確實挺麻煩

F. 數字證書的基本原理是什麼

egates問的是數字證書，而非數字簽名，這兩者經常相關聯，但不是一個概念。

數字證書是數字形式的標識，與護照或駕駛員執照十分相似。數字證書是數字憑據，它提供有關實體標識的信息以及其他支持信息。數字證書是由成為證書頒發機構（CA）的權威機構頒發的。由於數字證書有證書權威機構頒發，因此由該權威機構擔保證書信息的有效性。此外，數字證書只在特定的時間段內有效。

數字證書包含證書中所標識的實體的公鑰（就是說你的證書里有你的公鑰），由於證書將公鑰與特定的個人匹配，並且該證書的真實性由頒發機構保證（就是說可以讓大家相信你的證書是真的），因此，數字證書為如何找到用戶的公鑰並知道它是否有效這一問題提供了解決方案。

至於這個公鑰有何用則屬於另一個主題：公鑰加密。也解釋一下吧。

公鑰加密屬於「非對稱密鑰」加密，為了解釋得更清楚，先說下「對稱密鑰」加密。

舉個例子，如果發件人希望加密郵件，那麼發件人需要知道純文本中的字母 A 的每個實例都將被密鑰更改為密碼中的字母 D；純文本中的字母 B 的每個實例都將更改為密碼中的字母 E，依此類推。使用此密鑰（採用「將字母前移三位」的演算法），純文本中的單詞「help」將加密為「khos」密碼。

當收件人收到密碼郵件時，需要將它重新轉換為純文本，方法是使用密鑰來解密信息，在本例中即是將字母後移三位，從而撤消更改。

在本例中，發件人和收件人必須將密鑰保存在隱秘的地方，因為任何知道密鑰的人都可以使用它來解密並閱讀郵件。密鑰丟失會使得加密變得毫無價值。此外，演算法的強度也很重要。未經授權的一方可以獲取加密後的密碼，並通過根據密碼來確定密鑰的方法，設法破解加密。

請注意，發件人和收件人使用的是相同的密鑰。此類加密稱為「對稱密鑰」加密，因為雙方使用相同的密鑰。

注意這個示例中，演算法強度相當小。

我們所說的「公鑰加密」是使用兩個密鑰，而不是使用一個共享的密鑰。一個密鑰（稱為「私鑰」）是保密的。它只能由一方保存，而不能各方共享。第二個密鑰（稱為「公鑰」）不是保密的，可以廣泛共享。這兩個密鑰（稱為「密鑰對」）在加密和解密操作中配合使用。密鑰對具有特殊的互補關系，從而使每個密鑰都只能與密鑰對中的另一個密鑰配合使用。這一關系將密鑰對中的密鑰彼此唯一地聯系在一起：公鑰與其對應的私鑰組成一對，並且與其他任何密鑰都不關聯。

由於公鑰和私鑰的演算法之間存在特殊的數學關系，從而使得這種配對成為可能。密鑰對在數學上彼此相關，例如，配合使用密鑰對可以實現兩次使用對稱密鑰的效果。密鑰必須配合使用：不能使用每個單獨的密鑰來撤消它自己的操作。這意味著每個單獨密鑰的操作都是單向操作：不能使用一個密鑰來撤消它的操作。此外，設計兩個密鑰使用的演算法時，特意設計無法使用一個密鑰確定密鑰對中的另一個密鑰。因此，不能根據公鑰確定出私鑰。但是，使得密鑰對成為可能的數學原理也使得密鑰對具有對稱密鑰所不具有的一個缺點。這就是，所使用的演算法必須足夠強大，才能使人們無法通過強行嘗試，使用已知的公鑰來解密通過它加密的信息。公鑰利用數學復雜性以及它的單向特性來彌補它是眾所周知的這樣一個事實，以防止人們成功地破解使用它編碼的信息。

如果將此概念應用於前面的示例，則發件人將使用公鑰將純文本加密成密碼。然後，收件人將使用私鑰將密碼重新解密成純文本。

由於密鑰對中的私鑰和公鑰之間所存在的特殊關系，因此一個人可以在與許多人交往時使用相同的密鑰對，而不必與每個人分別使用不同的密鑰。只要私鑰是保密的，就可以隨意分發公鑰，並讓人們放心地使用它。使許多人使用同一個密鑰對代表著密碼學上的一個重大突破，因為它顯著降低了密鑰管理的需求，大大提高了密碼學的可用性。用戶可以與任意數目的人員共享一個密鑰對，而不必為每個人單獨設立一個密鑰。

（等待3點的球賽，無聊中）

G. 數字證書的基本原理和類型

一、數字證書的原理：

數字證書採用公鑰密碼體制，即利用一對互相匹配的密鑰進行加密、解密。每個用戶擁有一把僅為本人所掌握的私有密鑰（私鑰），用它進行解密和簽名；同時擁有一把公共密鑰（公鑰）並可以對外公開，用於加密和驗證簽名。當發送一份保密文件時，發送方使用接收方的公鑰對數據加密，而接收方則使用自己的私鑰解密，這樣，信息就可以安全無誤地到達目的地了，即使被第三方截獲，由於沒有相應的私鑰，也無法進行解密。通過數字的手段保證加密過程是一個不可逆過程，即只有用私有密鑰才能解密。在公開密鑰密碼體制中，常用的一種是RSA體制。
用戶也可以採用自己的私鑰對信息加以處理，由於密鑰僅為本人所有，這樣就產生了別人無法生成的文件，也就形成了數字簽名。採用數字簽名，能夠確認以下兩點：
（1）保證信息是由簽名者自己簽名發送的，簽名者不能否認或難以否認；
（2）保證信息自簽發後到收到為止未曾作過任何修改，簽發的文件是真實文件。
數字證書的作用
數字證書可用於發送安全電子郵件、訪問安全站點、網上證券、網上招標采購、網上簽約、網上辦公、網上繳費、網上稅務等網上安全電子事務處理和安全電子交易活動。數字證書的格式一般採用X.509國際標准。
二、數字證書的功能
信息保密性
交易中的商務信息均有保密的要求。如信用卡的帳號和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競爭對手獲悉，就可能喪失商機。而CA中心頒發的數字安全證書保證了電子商務的信息傳播中信息的保密。
身份確定性
網上交易的雙方很可能素昧平生，相隔千里。要使交易成功首先要能確認對方的身份，對商家要考慮

客戶端不能是騙子，而客戶也會擔心網上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。對於為顧客或用戶開展服務的銀行、信用卡公司和銷售商店，為了做到安全、保密、可靠地開展服務活動，都要進行身份認證的工作。而CA中心頒發的電子簽名可保證網上交易雙方的身份，銀行和信用卡公司可以通過CA認證確認身份，放心的開展網上業務。
不可否認性
由於商情的千變萬化，交易一旦達成是不能被否認的。否則必然會損害一方的利益。例如訂購黃金，

訂貨時金價較低，但收到訂單後，金價上漲了，如收單方能否認受到訂單的實際時間，甚至否認收到訂單的事實，則訂貨方就會蒙受損失。因此CA中心頒發的數字安全證書確保了電子交易通信過程的各個環節的不可否認性，使交易雙方的利益不受到損害。
不可篡改性
交易的文件是不可被修改的，如上例所舉的訂購黃金。供貨單位在收到訂單後，發現金價大幅上漲了，如其能改動文件內容，將訂購數1噸改為1克，則可大幅受益，那麼訂貨單位可能就會因此而蒙受損失。
因此CA中心頒發的數字安全證書也確保了電子交易文件的不可修改性，以保障交易的嚴肅和公正。

H. ssl證書的工作原理

SSL證書的工作原理:

客戶端向伺服器請求HTTPS連接

客戶端向伺服器傳送客戶端SSL協議的版本號，加密演算法的種類，產生的隨機數，以及其他伺服器和客戶端之間通訊所需要的各種信息。

伺服器確認並返回證書

伺服器向客戶端傳送SSL 協議的版本號，加密演算法的種類，隨機數以及其他相關信息，同時伺服器還將向客戶端傳送自己的證書。

客戶端驗證伺服器發來的證書

客戶端利用伺服器傳過來的信息驗證伺服器的合法性，伺服器的合法性包括：證書是否過期，發行伺服器證書的CA 是否可靠，發行者證書的公鑰能否正確解開伺服器證書的「發行者的數字簽名」，伺服器證書上的域名是否和伺服器的實際域名相匹配。如果合法性驗證沒有通過，通訊將斷開;如果驗證通過，將繼續進行。

信息驗證通過，客戶端生成隨機密鑰A，用公鑰加密後發給伺服器

從第③步驗證過的證書裡面可以拿到伺服器的公鑰，客戶端生成的隨機密鑰就使用這個公鑰來加密，加密之後，只有擁有該伺服器(持有私鑰)才能解密出來，保證安全。

伺服器用私鑰解密出隨機密鑰A，以後通信就用這個隨機密鑰A來對通信進行加密

這個握手過程並沒有將驗證客戶端身份的邏輯加進去。因為在大多數的情況下，HTTPS只是驗證伺服器的身份而已。如果要驗證客戶端的身份，需要客戶端擁有證書，在握手時發送證書，而這個證書是需要成本的。

I. 數字證書的原理和作用，急！

有關數字證書及原理的知識1、數字證書(CA證書)簡介
數字證書與公鑰密碼體制緊密相關。在公鑰密碼體制中，每個實體都有一對互相匹配的密鑰：公開密鑰（Pubic Key公鑰）和私有密鑰（Private Key私鑰）。公開密鑰為一組用戶所共享，用於加密或驗證簽名，私有密鑰僅為證書擁有者本人所知，用於解密或簽名。當發送一份秘密文件時，發送方使用接收方的公鑰對該文件加密，而接收方則使用自己的私鑰解密。因為接收方的私鑰僅為本人所有，其他人無法解密該文件，所以能保證文件安全到達目的地。一份經過簽名的文件如有改動，就會導致數字簽名的驗證過程失敗，這樣就保證了文件的完整性。因此以數字證書為核心的加密傳輸、數字簽名、數字信封等安全技術，使得在Internet上可以實現數據的真實性、完整性、保密性及交易的不可抵賴性。
2、數字證書的作用
1、身份認證數字證書中包括的主要內容有：證書擁有者的個人信息、證書擁有者的公鑰、公鑰的有效期、頒發數字證書的CA、CA的數字簽名等。所以網上雙方經過相互驗證數字證書後，不用再擔心對方身份的真偽，可以放心地與對方進行交流或授予相應的資源訪問許可權。2、加密傳輸信息無論是文件、批文，還是合同、票據，協議、標書等，都可以經過加密後在Internet上傳輸。發送方用接收方的公鑰對報文進行加密，接收方用只有自己才有的私鑰進行解密，得到報文明文。3、數字簽名抗否認在現實生活中用公章、簽名等來實現的抗否認在網上可以藉助數字證書的數字簽名來實現。數字簽名不是書面簽名的數字圖象，而是在私有密鑰控制下對報文本身進行密碼變化形成的。數字簽名能實現報文的防偽造和防抵賴。
3、數字證書應用
1、網上辦公網上辦公的主要內容包括：文件的傳送、信息的交互、公告的發布、通知的傳達、工作流控制、員工培訓以及財務人事等其他方面的管理。數字證書的使用可以完美地解決安全傳輸、身份識別和許可權管理這些問題，使網上辦公順暢實現。2、網上政務隨著網上政務各類應用的增多，原來必須指定人員到政府各部門窗口辦理的手續都可以在網上實現。如：網上注冊申請、申報、注冊、網上納稅、網上審批、指派任務等。數字證書可以保證網上政務應用中身份識別和文檔安全傳輸的實現。3、網上交易網上交易主要包括網上談判、網上采購、網上銷售、網上支付等方面。網上交易極大地提高了交易效率，降低了成本。而數字證書可以解決網上身份無法識別、網上信用難以保證等難題的困擾。

J. 數字證書的工作原理

數字證書採用公鑰體制，即利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設定一把特定的僅為本人所知的私有密鑰（私鑰），用它進行解密和簽名；同時設定一把公共密鑰（公鑰）並由本人公開，為一組用戶所共享，用於加密和驗證簽名。當發送一份保密文件時，發送方使用接收方的公鑰對數據加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達目的地了。通過數字的手段保證加密過程是一個不可逆過程，即只有用私有密鑰才能解密。在公開密鑰密碼體制中，常用的一種是RSA體制。其數學原理是將一個大數分解成兩個質數的乘積，加密和解密用的是兩個不同的密鑰。即使已知明文、密文和加密密鑰（公開密鑰），想要推導出解密密鑰（私密密鑰），在計算上是不可能的。按當下計算機技術水平，要破解1024位RSA密鑰，需要上千年的計算時間。公開密鑰技術解決了密鑰發布的管理問題，商戶可以公開其公開密鑰，而保留其私有密鑰。購物者可以用人人皆知的公開密鑰對發送的信息進行加密，安全地傳送給商戶，然後由商戶用自己的私有密鑰進行解密。
用戶也可以採用自己的私鑰對信息加以處理，由於密鑰僅為本人所有，這樣就產生了別人無法生成的文件，也就形成了數字簽名。採用數字簽名，能夠確認以下兩點：
保證信息是由簽名者自己簽名發送的，簽名者不能否認或難以否認。
保證信息自簽發後到收到為止未曾作過任何修改，簽發的文件是真實文件。