1. Excel 怎样制作数字证书
步骤1--进入创建数字证书软件界面
1
在桌面左下角按以下路径进入,鼠标点击开始->程序->Microsoft Office->Microsoft Office 工具->VBA 项目的数字证书
说明:不同的操作系统进入路径会稍有不同,但VBA 项目的数字证书是Microsoft Office的一个套件,只要正常安装了办公软件就可以找到它。
2
创建数字证书的软件界面
3
在您的证书名称(Y)框中输入您的证书名称,举例:输入hhch
4
点击确定之后,您就已经创建了一个名称叫hhch的证书了,并且 hhch证书在Microsoft Office系列软件中都可以使用。
5
如果需要多建几个证书,请重复第3步,第4步。证书名称可以重复使用,也就是可以有多个叫hhch的证书。
END
步骤2--查看证书
1
在 Word、Excel、PowerPoint、Access、Outlook、Publisher任一软件中,按组合键ALT+F11,就是ALT和F11同时按下,进入VBA界面
2
在VBA界面,鼠标点击菜单:工具(T)->数字签名(D)...->选择(C)->查看证书
END
步骤3--清除“信任所有安装的加载项和模板”复选框
1
在“工具”菜单上,单击“选项”,再单击“安全性”选项卡
2
在“宏安全性”下,单击“宏安全性”
3
单击“可靠发行商”选项卡。
4
清除“信任所有安装的加载项和模板”复选框
2. 地税的CA证书方式报税和用户名方式报税有什么不一样的呢
可以不用
CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。
网上申报是指纳税人在法定的期限内利用计算机通过互联网登录税务部门电子申报网站,录入当月应申报数据,审核无误后,由银行自动从纳税人税款专用帐户划转应纳税款,完成申报纳税。
3. 一警察的数字证书可以查边检情况h
一个检查有授权的证书,可以查边境安检情况
4. H,W,G开头的加8位数字的身份证件号码是哪里的
对不起,我只对香港和台湾的有所了解....
首先可以肯定的是,这个不是香港身份证.
香港身份证样式是 X******(Y) ******代表六个数字,Y代表一个数字或字母.而X的用法如下.
A 持证人拥有香港居留权
B 持证人所报的出生日期或地点或性别自首次登记以后,曾作出更改
C 持证人登记领证时在香港的居留受到入境事务处处长的限制
F 持证人的性别是女性
H1 身份证发出的办事处代号(不适用於智能身份证)
L 持证人曾遗失身份证,L1表示遗失一次,L2表示遗失二次,如此类推
M 持证人的性别是男性
N 持证人所报的姓名自首次登记以后,曾作出更改
O 持证人报称在其他地区或国家出生
K2 身份证发出的办事处代号(不适用於智能身份证)
R 持证人拥有香港入境权
S1 身份证发出的办事处代号(不适用於智能身份证)
U 持证人登记领证时在香港的居留不受入境事务处处长的限制
W 持证人报称在澳门地区出生
X 持证人报称在内地出生
Y 持证人所报的出生日期已由入境事务处与其出生证明书或护照核对(不适用於智能身份证)
Z 持证人报称在香港出生
至于回乡证,也是不可能的.香港居民的回乡证号码为H********** 澳门的为M********** 其中*均为数字....
至于台湾身份证,共有10位数字.第一位是字母.后面九位是数字.即X***********
台湾省份证的第一位的字母代表地区分别以A——Z表示
规则如下:
地区后面的数字为该字母转换的数字码。
A 台北市10
B 台中市11
C 基隆市12
D 台南市13
E 高雄市14
F 台北县15
G 宜兰县16
H 桃园县17
I 嘉义市34
J 新竹县18
K 苗栗县19
L 台中县20
M 南投县21
N 彰化县22
O 新竹市35
P 云林县23
Q 嘉义县24
R 台南县25
S 高雄县26
T 屏东县27
U 花莲县28
V 台东县29
W 金门县30
X 澎湖县31
Y 阳明山32
Z 连江县33
第二位数字代表性别 男性是1,女性是2
例如台北市的男性身份证号码就应该是A1开头
第三位到第九位为任意的一串数字
第十位为验证码。
澳门的我不是很了解,但是也是和香港差不多的,我就查到这么多,但愿能帮到你
5. 如何用makecert生成数字证书!
证书创建工具 (Makecert.exe)
.NET Framework 2.0
其他版本
24(共 31)对本文的评价是有帮助 - 评价此主题
证书创建工具生成仅用于测试目的的 X.509 证书。它创建用于数字签名的公钥和私钥对,并将其存储在证书文件中。此工具还将密钥对与指定发行者的名称相关联,并创建一个 X.509 证书,该证书将用户指定的名称绑定到密钥对的公共部分。
Makecert.exe 包含基本选项和扩展选项。基本选项是最常用于创建证书的选项。扩展选项提供更多的灵活性。
一定不要将此工具生成的证书私钥存储在 .snk 文件中。如果需要存储私钥,则应使用密钥容器。有关如何在密钥容器中存储私钥的更多信息,请参见如何:将非对称密钥存储在密钥容器中。
警告
应使用证书存储区来安全地存储证书。此工具使用的 .snk 文件以不受保护的方式存储私钥。创建或导入 .snk 文件时,在使用期间应注意保证其安全,并在使用后将其移除。
makecert [options] outputCertificateFile
参数
说明
outputCertificateFile
测试 X.509 证书要写入的 .cer 文件的名称。
基本选项
选项
说明
-n x509name
指定主题的证书名称。此名称必须符合 X.500 标准。最简单的方法是在双引号中指定此名称,并加上前缀 CN=;例如,"CN=myName"。
-pe
将所生成的私钥标记为可导出。这样可将私钥包括在证书中。
-sk keyname
指定主题的密钥容器位置,该位置包含私钥。如果密钥容器不存在,系统将创建一个。
-sr location
指定主题的证书存储位置。Location 可以是 currentuser(默认值)或 localmachine。
-ss store
指定主题的证书存储名称,输出证书即存储在那里。
-# number
指定一个介于 1 和 2,147,483,647 之间的序列号。默认值是由 Makecert.exe 生成的唯一值。
-$ authority
指定证书的签名权限,必须设置为 commercial(对于商业软件发行者使用的证书)或 indivial(对于个人软件发行者使用的证书)。
-?
显示此工具的命令语法和基本选项列表。
-!
显示此工具的命令语法和扩展选项列表。
扩展选项
选项
说明
-a algorithm
指定签名算法。必须是 md5(默认值)或 sha1。
-b mm/dd/yyyy
指定有效期的开始时间。默认为证书的创建日期。
-cy certType
指定证书类型。有效值是 end(对于最终实体)和 authority(对于证书颁发机构)。
-d name
显示主题的名称。
-e mm/dd/yyyy
指定有效期的结束时间。默认为 12/31/2039 11:59:59 GMT。
-eku oid[,oid]
将用逗号分隔的增强型密钥用法对象标识符 (OID) 列表插入到证书中。
-h number
指定此证书下面的树的最大高度。
-ic file
指定颁发者的证书文件。
-ik keyName
指定颁发者的密钥容器名称。
-iky keytype
指定颁发者的密钥类型,必须是 signature、exchange 或一个表示提供程序类型的整数。默认情况下,可传入 1 表示交换密钥,传入 2 表示签名密钥。
-in name
指定颁发者的证书公用名称。
-ip provider
指定颁发者的 CryptoAPI 提供程序名称。
-ir location
指定颁发者的证书存储位置。Location 可以是 currentuser(默认值)或 localmachine。
-is store
指定颁发者的证书存储名称。
-iv pvkFile
指定颁发者的 .pvk 私钥文件。
-iy pvkFile
指定颁发者的 CryptoAPI 提供程序类型。
-l link
到策略信息的链接(例如,一个 URL)。
-m number
以月为单位指定证书有效期的持续时间。
-nscp
包括 Netscape 客户端身份验证扩展。
-r
创建自签署证书。
-sc file
指定主题的证书文件。
-sky keytype
指定主题的密钥类型,必须是 signature、exchange 或一个表示提供程序类型的整数。默认情况下,可传入 1 表示交换密钥,传入 2 表示签名密钥。
-sp provider
指定主题的 CryptoAPI 提供程序名称。
-sv pvkFile
指定主题的 .pvk 私钥文件。如果该文件不存在,系统将创建一个。
-sy type
指定主题的 CryptoAPI 提供程序类型。
示例
下面的命令创建了一个由默认测试根颁发的测试证书并将其写入 testCert.cer。
makecert testCert.cer
下面的命令创建了一个由默认测试根颁发的证书并将其保存到证书存储区。
makecert -ss testCertStore
下面的命令创建了一个由默认测试根颁发的证书并将其保存到证书存储区。它将证书显式地放入 currentuser 存储区。
makecert -ss testCertStore -sr currentuser
下面的命令使用主题的密钥容器和证书主题的 X.500 名称创建一个测试证书,并将其写入 textXYZ.cer。
makecert -sk XYZ -n "CN=XYZ Company" testXYZ.cer
下面的命令创建了一个由默认测试根颁发的证书和一个 .pvk 文件,并将此证书同时输出到存储区和该文件。
makecert -sv testCert.pvk -ss testCertStore testCert.cer
下面的命令创建了一个由默认测试根颁发的证书和一个密钥容器,并将此证书同时输出到存储区和该文件。
makecert -sk myTestKey -ss testCertStore testCert.cer
下面的命令创建一个自我签署的证书,指定使用者名称为“CN=XYZ Company”,指定有效期的起始和结束时间,将密钥放入 my 存储区,指定并交换密钥,并且使私钥可导出。
makecert -r -pe -n "CN=XYZ Company" -b 01/01/2005 -e 01/01/2010 -sky exchange -ss my
下面的命令创建了一些证书并将它们保存到存储区。第一个命令使用默认测试根创建了一个证书并将其保存到存储区。第二个命令使用新创建的证书创建了另一个证书,并将第二个证书保存到另一个存储区。
makecert -sk myTestKey -ss testCertStore
makecert -is testCertStore -ss anotherTestStore
下面的命令创建了一些证书并将它们保存到存储区。第一个命令将证书保存到 my 存储区。第二个命令使用新创建的证书创建了另一个证书。因为 my 存储区中存在多个证书,所以第二个命令使用公用名称来标识第一个证书。
makecert -sk myTestKey -n "CN=XXZZYY" -ss my
makecert -is my -in "XXZZYY" -ss anotherTestStore
下面的命令创建了一些证书并将它们保存到文件和存储区。第一个命令使用默认测试根创建了一个证书并将其保存到 my 存储区和一个文件。第二个命令使用新创建的 testCert.cer 证书创建了另一个证书。因为 my 存储区中存在多个证书,所以第二个命令使用证书文件名来唯一标识第一个证书。
makecert -sk myTestKey -n "CN=XXZZYY" -ss my testCert.cer
makecert -is my -ic testCert.cer -ss anotherTestStore
请参见
参考
.NET Framework 工具
发行者证书测试工具 (Cert2spc.exe)
SDK 命令提示
6. ca㇏:h
根据氧化物,酸,碱,盐的概念分别写出符合要求的化学式,故答案为:
本题有多种可能答案,只要符合要求,如①CaO;②HCl;③Ca(OH) 2 ;④CaCl 2 .
7. 翡翠挂件证书编号h丫ca114680是真是假值多少钱
饰品名称: 翡翠挂件
(JewelryName)
总质量: 6.962g
(Total Mass)
颜色: 浅绿色
(Colour)
形状: 雕件
--
天然翡翠A货佛公
真货无疑
其翡翠料子为糯种
底子干净水头一般
无纹裂情况下
目测3-500附近
有不明白的地方请继续追问
如果回答能帮到您的话,还望采纳回答,谢谢啦!
8. 数字证书的应用过程
数字证书基本概念
(1)什么是证书?
在一个电子商务系统中,所有参与活动的实体都必须用证书来表明自己的身份。证书一方面可以用来向系统中的其它实体证明自己的身份(每份证书都是经“相对权威的机构”签名的),另一方面由于每份证书都携带着证书持有者的公钥(签名证书携带的是签名公钥,密钥加密证书携带的是密钥加密公钥),所以,证书也可以向接收者证实某人或某个机构对公开密钥的拥有,同时也起着公钥分发的作用。
(2)什么是CA?
CA是Certificate Authority的缩写,是证书授权的意思。在电子商务系统中,所有实体的证书都是由证书授权中心既CA中心分发并签名的。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA体系由证书审批部门和证书操作部门组成。
(3)什么是SSL?
安全套接层协议(SSL,Security Socket Layer)是网景(Netscape)公司提出的基于WEB应用的安全协议,它包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性,主要采用公开密钥体制和X.509数字证书技术来提供安全性保证。对于电子商务应用来说, SSL可保证信息的真实性、完整性和保密性。但由于SSL不对应用层的消息进行数字签名,因此不能提供交易的不可否认性,这是SSL在电子商务中使用的最大不足。有鉴于此,网景公司在从Communicator 4.04版开始的所有浏览器中引入了一种被称作"表单签名(Form Signing)"的功能,在电子商务中,可利用这一功能来对包含购买者的订购信息和付款指令的表单进行数字签名,从而保证交易信息的不可否认性。
(4)什么是RA?
RA即证书发放审核部门,它是CA系统的一个功能组件。它负责对证书申请者进行资格审查,并决定是否同意给该申请者发放证书,并承担因审核错误引起的、为不满足资格的证书申请者发放证书所引起的一切后果,因此它应由能够承担这些责任的机构担任。
(5)什么是CP?
CP即证书发放的操作部门,它是CA系统的一个功能组件,负责为已授权的申请者制作、发放和管理证书,并承担因操作运营错误所产生的一切后果,包括失密和为没有获得授权者发放证书等,它可以由审核授权部门自己担任,也可委托给第三方担任。
(6)什么是CRL?
CRL是证书作废表的缩写。CRL中记录尚未过期但已声明作废的用户证书序列号,供证书使用者在认证对方证书时查询使用。CRL通常被称为证书黑名单。
(7)什么是OCSP?
OCSP即在线证书状态查询(Online Certificate Status Protocol),使用户可以实时查询证书的作废状态。
(8)什么是密钥对,怎样使用它,怎样获得密钥对?
像有的加密技术中采用相同的密钥加密、解密数据,公共密钥加密技术采用一对匹配的密钥进行加密、解密。每把密钥执行一种对数据的单向处理,每把的功能恰恰与另一把相反,一把用于加密时,则另一把就用于解密。
公共密钥是由其主人加以公开的,而私人密钥必须保密存放。为发送一份保密报文,发送者必须使用接收者的公共密钥对数据进行加密,一旦加密,只有接收方用其私人密钥才能加以解密。
相反地,用户也能用自己私人密钥对数据加以处理。换句话说,密钥对的工作是可以任选方向的。这提供了"数字签名"的基础,如果要一个用户用自己的私人密钥对数据进行了处理,别人可以用他提供的公共密钥对数据加以处理。由于仅仅拥有者本人知道私人密钥,这种被处理过的报文就形成了一种电子签名----一种别人无法产生的文件。
数字证书中包含了公共密钥信息,从而确认了拥有密钥对的用户的身份。
大多数情况下,当你申请数字证书时,会为你产生密钥对。出于安全性考虑,密钥对应当在您的机器产生并且私人密钥不会在网上传输。
一旦产生,就应在认证中心上登记自己的公共密钥,随后认证中心将发送给用户数字证书,以证实你的公共密钥及其他一些信息。
(9)如何确保得到我的私钥的安全?
有以下三种保护方法:
将私人密钥存放在自己计算机的硬盘上,这样你能控制对它的存取。
将私人密钥存放在IC卡上,并将IC卡存放在自己可以控制的地方。
当你产生自己的私人密钥时,你所使用的软件(如浏览器)将要求你输入一个密码,这一密码将保护对私人密钥的存取。对于微软Internet Explorer用户,私人密钥将由Windows密码加以保护。 只有在下述两种情况下,第三方可以存取您的私人密钥:
有权存取你存放密钥的文件(常常是你的系统配置文件)。
知道你的私人密码。有的软件允许你选择不使用密码来保护你的私人密钥。如果你选择了这项,你必须已确信,无论现在还是将来,都不会有人非法访问你的计算机。
总而言之,使用密码要比完全以物理角度保护你的计算机方便得多。不选用密码,就像在自己的支票夹上预先签好了所有支票,并将它打开着放在办公桌上。
二:数字证书的一些问题:
1. 我的私钥怎样保存?
私钥可以通过两种方式保存:
以文件的形式保存在你的计算机硬盘中,这样你可以很容易控制对它的访问。
产生私钥时,使用的软件(例如浏览器)可能会要求你提供一个密码,通过这个密码来保护私钥免被非法使用。对于Microsoft IE用户, 私钥可以由Windows的密码保护。
第三方只可以在下列情况下访问你的私钥:1、能够访问用于存储密钥的文件(该文件往往是你的计算机系统配置文件的一部分);2、知道保护私钥的密码。某些软件允许你选择不使用密码来保护你的私钥,如果选择了该选项,你必须确信现在或者将来不会有人在非授权的情况下使用你的计算机
一般来说,可以很简单的使用密码将你的计算机完全的保护起来。不使用密码就象填好支票后将支票本放在桌上一样不安全。
2. 我该怎样保存我的私钥?
通过物理的安全保护来保护你的计算机不被非授权使用。要使用访问控制产品或者操作系统保护措施(例如系统密码)。采取措施来防病毒,因为病毒能攻击私钥。一般选择一个好的密码来保护私钥。
3. 什么是好的密码?
一个好的密码要足够的长和足够的特别,通过彻底搜寻(例如使用目录)也不能被查到,好的密码应该是你很容易就能记住而别人很难猜到的密码;最好使用八位以上的密码,不要使用容易与你某些事情联系起来的密码,比如你的电话号码、生日或是你家庭成员的名字。不要使用英文单词、常见的术语或是你以前用过的密码;如果将密码写下来了,不要放到容易找到的地方。
4. 我的计算机将我的密码保存在哪儿?
你的私钥一般以加密的形式保存在参数选择或配置文件里,只能用你的私钥保护密码才能打开。
5. 我需要在家里和办公室都使用我的数字证书,我可以安全的在计算机之间移动我的私钥和数字证书吗?
在计算机之间移动密钥和数字证书是可能的,只要两台计算机都使用同样的软件。你需要询问软件供应商是否有这样的软件应用。在你打算移动密钥时,使用安全的密码来保护你的密钥是非常重要的。
6. 我在没有获得一个新证书的情况下可以更改我保护私钥的密码吗?
可以。你的密码加密了你的证书私钥。可以用产生这个密码的程序更改密码(重新加密你的私钥)。如果你认为其它人有可能知道你的密码时,你应该立刻更改密码。
7. 我忘了我的私钥密码,有人能帮我更换掉它吗?
不能。如果你忘了你的私钥密码,没有人能帮助你。你只能产生新的密钥对和获得新的证书。所有用你的公钥加密的安全电子邮件都会失效,除非你的PKI体系具有密钥备份和密钥恢复系统并且该系统已经备份了你的私钥(该方式一般在支持双密钥对体系中)。有些情况下,你还需要重新安装你的电子邮件程序和网络浏览器。
8. 在我忘了我的密码时没有人能帮助我,这听起来非常不友好,为什么?
这是介于安全和便利之间的矛盾。如果有方法让其他人能为你恢复私钥密码,那他或者她也能盗用密码以达到其不可告人的目的。证书仍然是新的,但证书私钥可能已经被外泄,也就是说,该证书持有者进行的交易已经不具备不可否认性。将来可能可以将你的私钥不加密地保存在一张软盘上(不需要密码),而软盘被放在安全的地方,比如保管箱。微软和网景都是在这样的系统上运作的。如果你忘了正常加密的密码,可以用这张软盘来恢复你的证书的私钥。
9. 有人偷了我的计算机,他们现在拥有我的证书的私钥吗?
如果你使用了一个好的密码来保护你的私钥,那别人就不可能使用你的私钥。你应该和给你发证的CA中心联系,要求废除你的证书,然后给你发放一个新的证书(有新的密钥对)。
10. 有人偷了我的计算机,而我已经选择不要密码保护我的私钥,我现在该怎么办?
你应该立即通知你的CA你的私钥受到安全威胁,它会安排撤销你的证书并给你颁发新的证书。注意:虽然关系伙伴一般都会检查证书的撤销状态,但仍然有些不会去这么做。最好的办法是通知所有可能受到影响的人你的私钥已经不安全了。
CA认证功能介绍
概括地说,认证中心(CA)的功能有:证书发放、证书更新、证书撤销和证书验证。CA的核心功能就是发放和管理数字证书,具体描述如下:
(1)接收验证最终用户数字证书的申请。
(2)确定是否接受最终用户数字证书的申请-证书的审批。
(3)向申请者颁发、拒绝颁发数字证书-证书的发放。
(4)接收、处理最终用户的数字证书更新请求-证书的更新。
(5)接收最终用户数字证书的查询、撤销。
(6)产生和发布证书废止列表(CRL)。
(7)数字证书的归档。
(8)密钥归档。
(9)历史数据归档。
认证中心为了实现其功能,主要由以下三部分组成:
(1)注册服务器:通过 Web Server 建立的站点,可为客户提供每日24小时的服务。因此客户可在自己方便的时候在网上提出证书申请和填写相应的证书申请表,免去了排队等候等烦恼。 (2)证书申请受理和审核机构:负责证书的申请和审核。它的主要功能是接受客户证书申请并进行审核。 (3)认证中心服务器:是数字证书生成、发放的运行实体,同时提供发放证书的管理、证书废止列表(CRL)的生成和处理等服务。
CA认证简介
为保证网上数字信息的传输安全,除了在通信传输中采用更强的加密算法等措施之外,必须建立一种信任及信任验证机制,即参加电子商务的各方必须有一个可以被验证的标识,这就是数字证书。数字证书是各实体(持卡人/个人、商户/企业、网关/银行等)在网上信息交流及商务交易活动中的身份证明。该数字证书具有唯一性。它将实体的公开密钥同实体本身联系在一起,为实现这一目的,必须使数字证书符合X.509国际标准,同时数字证书的来源必须是可靠的。这就意味着应有一个网上各方都信任的机构,专门负责数字证书的发放和管理,确保网上信息的安全,这个机构就是CA认证机构。各级CA认证机构的存在组成了整个电子商务的信任链。如果CA机构不安全或发放的数字证书不具有权威性、公正性和可信赖性,电子商务就根本无从谈起。
数字证书认证中心(Certficate Authority,CA)是整个网上电子交易安全的关键环节。它主要负责产生、分配并管理所有参与网上交易的实体所需的身份认证数字证书。每一份数字证书都与上一级的数字签名证书相关联,最终通过安全链追溯到一个已知的并被广泛认为是安全、权威、足以信赖的机构--根认证中心(根CA)。
电子交易的各方都必须拥有合法的身份,即由数字证书认证中心机构(CA)签发的数字证书,在交易的各个环节,交易的各方都需检验对方数字证书的有效性,从而解决了用户信任问题。CA涉及到电子交易中各交易方的身份信息、严格的加密技术和认证程序。基于其牢固的安全机制,CA应用可扩大到一切有安全要求的网上数据传输服务。
数字证书认证解决了网上交易和结算中的安全问题,其中包括建立电子商务各主体之间的信任关系,即建立安全认证体系(CA);选择安全标准(如SET、SSL);采用高强度的加、解密技术。其中安全认证体系的建立是关键,它决定了网上交易和结算能否安全进行,因此,数字证书认证中心机构的建立对电子商务的开展具有非常重要的意义。
认证中心(CA),是电子商务体系中的核心环节,是电子交易中信赖的基础。它通过自身的注册审核体系,检查核实进行证书申请的用户身份和各项相关信息,使网上交易的用户属性客观真实性与证书的真实性一致。认证中心作为权威的、可信赖的、公正的第三方机构,专门负责发放并管理所有参与网上交易的实体所需的数字证书。
数字证书就是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,即要在Internet上解决"我是谁"的问题,就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样,以表明我们的身份或某种资格。
数字证书是由权威公正的第三方机构即CA中心签发的,以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。
数字证书采用公钥密码体制,即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥(私钥),用它进行解密和签名;同时拥有一把公共密钥(公钥)并可以对外公开,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样,信息就可以安全无误地到达目的地了,即使被第三方截获,由于没有相应的私钥,也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。在公开密钥密码体制中,常用的一种是RSA体制。
用户也可以采用自己的私钥对信息加以处理,由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。采用数字签名,能够确认以下两点:
(1)保证信息是由签名者自己签名发送的,签名者不能否认或难以否;
(2)保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。
数字证书可用于:发送安全电子邮件、访问安全站点、网上证券、网上招标采购、网上签约、网上办公、网上缴费、网上税务等网上安全电子事务处理和安全电子交易活动。
数字证书的格式一般采用X.509国际标准。
9. 数字证书的基本原理是什么
egates问的是数字证书,而非数字签名,这两者经常相关联,但不是一个概念。
数字证书是数字形式的标识,与护照或驾驶员执照十分相似。数字证书是数字凭据,它提供有关实体标识的信息以及其他支持信息。数字证书是由成为证书颁发机构(CA)的权威机构颁发的。由于数字证书有证书权威机构颁发,因此由该权威机构担保证书信息的有效性。此外,数字证书只在特定的时间段内有效。
数字证书包含证书中所标识的实体的公钥(就是说你的证书里有你的公钥),由于证书将公钥与特定的个人匹配,并且该证书的真实性由颁发机构保证(就是说可以让大家相信你的证书是真的),因此,数字证书为如何找到用户的公钥并知道它是否有效这一问题提供了解决方案。
至于这个公钥有何用则属于另一个主题:公钥加密。也解释一下吧。
公钥加密属于“非对称密钥”加密,为了解释得更清楚,先说下“对称密钥”加密。
举个例子,如果发件人希望加密邮件,那么发件人需要知道纯文本中的字母 A 的每个实例都将被密钥更改为密码中的字母 D;纯文本中的字母 B 的每个实例都将更改为密码中的字母 E,依此类推。使用此密钥(采用“将字母前移三位”的算法),纯文本中的单词“help”将加密为“khos”密码。
当收件人收到密码邮件时,需要将它重新转换为纯文本,方法是使用密钥来解密信息,在本例中即是将字母后移三位,从而撤消更改。
在本例中,发件人和收件人必须将密钥保存在隐秘的地方,因为任何知道密钥的人都可以使用它来解密并阅读邮件。密钥丢失会使得加密变得毫无价值。此外,算法的强度也很重要。未经授权的一方可以获取加密后的密码,并通过根据密码来确定密钥的方法,设法破解加密。
请注意,发件人和收件人使用的是相同的密钥。此类加密称为“对称密钥”加密,因为双方使用相同的密钥。
注意这个示例中,算法强度相当小。
我们所说的“公钥加密”是使用两个密钥,而不是使用一个共享的密钥。一个密钥(称为“私钥”)是保密的。它只能由一方保存,而不能各方共享。第二个密钥(称为“公钥”)不是保密的,可以广泛共享。这两个密钥(称为“密钥对”)在加密和解密操作中配合使用。密钥对具有特殊的互补关系,从而使每个密钥都只能与密钥对中的另一个密钥配合使用。这一关系将密钥对中的密钥彼此唯一地联系在一起:公钥与其对应的私钥组成一对,并且与其他任何密钥都不关联。
由于公钥和私钥的算法之间存在特殊的数学关系,从而使得这种配对成为可能。密钥对在数学上彼此相关,例如,配合使用密钥对可以实现两次使用对称密钥的效果。密钥必须配合使用:不能使用每个单独的密钥来撤消它自己的操作。这意味着每个单独密钥的操作都是单向操作:不能使用一个密钥来撤消它的操作。此外,设计两个密钥使用的算法时,特意设计无法使用一个密钥确定密钥对中的另一个密钥。因此,不能根据公钥确定出私钥。但是,使得密钥对成为可能的数学原理也使得密钥对具有对称密钥所不具有的一个缺点。这就是,所使用的算法必须足够强大,才能使人们无法通过强行尝试,使用已知的公钥来解密通过它加密的信息。公钥利用数学复杂性以及它的单向特性来弥补它是众所周知的这样一个事实,以防止人们成功地破解使用它编码的信息。
如果将此概念应用于前面的示例,则发件人将使用公钥将纯文本加密成密码。然后,收件人将使用私钥将密码重新解密成纯文本。
由于密钥对中的私钥和公钥之间所存在的特殊关系,因此一个人可以在与许多人交往时使用相同的密钥对,而不必与每个人分别使用不同的密钥。只要私钥是保密的,就可以随意分发公钥,并让人们放心地使用它。使许多人使用同一个密钥对代表着密码学上的一个重大突破,因为它显著降低了密钥管理的需求,大大提高了密码学的可用性。用户可以与任意数目的人员共享一个密钥对,而不必为每个人单独设立一个密钥。
(等待3点的球赛,无聊中)