CA知识

一、电子认证(Electronic Authentication)
电子认证是以电子认证证书(又称数字证书)为核心的加密技术,它以PKI(公开密钥基础设施)为基础,对网络上传输的信息进行加密和解密、数字签名以及签名验证。电子认证是电子政务和电子商务中的核心环节,可以确保网络上传递的信息的保密性、完整性和不可抵赖性。

二、数字证书(Digital Certificate)
数字证书是由权威身份认证机构发放、用来标志和证明持有者身份的数字信息。数字证书中包含证书持有者的姓名、证书持有者的公钥、公钥的有效期、颁发数字证书的机构、数字证书的序列号等信息。数字证书一般由数字证书颁发机构(Certificate Authority,CA)制作颁发。获得数字证书后,可以将其保存在计算机、IC卡或USB Key中。数字证书在电子商务、电子邮件等领域的作用包括:保证信息除发送方和接收方之外,不被其他人读识;保证信息在传输过程中不被篡改;发送方对自己所发信息不能抵赖等。数字证书的另一个好处是在证认使用者身份时,使用者的敏感个人资料不会被过度泄露。我国各省、自治区、直辖市都设有权威的数字证书颁发机构。国际上权威的数字证书颁发认证机构包括VeriSign、GeoTrust等。

三、数字签名(Digital Signature)
数字签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。数字签名不是指将书面签名扫描成数字图像,或者用触摸板获取的签名,但是数字签名与书面签名一样可以确认信息是由签名者发送的,可以确认信息自签发后到收到为止未曾做过任何修改。数字签名依靠公钥加密技术来实现。首先,发送方必须向身份认证机构注册公钥,注册后身份认证机构颁发数字证书;其次,对文件签名时用私钥加 密原文摘要,签名后发送方把文件、签名以及数字证书一同发给接收方,接收者只有用发送者的公钥才能解密被加密的摘要。接收方可以向身份认证机构求证文件的真实性。一般的数字签名算法包括三种算法:密码生成算法、标记算法和验证算法。在电子商务系统中,数字签名技术有着特别重要的地位,源鉴别、完整性服务、不可抵赖服务都要用到数字签名技术。广泛应用的数字签名方法有RSA签名、DSS签名和Hash签名三种。数字签名在中国具有法律效力。2000年,中华人民共和国的新《合同法》首次确认了电子合同、数字签名的法律效力。2005年4月1日起,中华人民共和国《电子签名法》正式实施。

四、数据加密
数据加密就是按照确定的密码算法将敏感的明文变换成难以识别的密文(这个过程称为加密);当需要时,再使用密钥将密文还原成明文(这个过程称为解密)。其中,明文是指加密前的原始数据,密文是指加密后的数据。经过加密后的数据即使在存储或传输过程被非授权人员获得,也可保证信息不被其认知,从而达到保护信息的目的。数据加密技术是最基本的安全技术,被誉为信息安全的核心。数据加密方法的保密程度直接取决于所采用的密码算法和密钥长度。根据密钥类型的不同,可以将现代加密技术分为对称加密(私钥密码体系)和非对称加密(公钥密码体系)两类。

五、对称加密(Symmetric Encryption)
对称加密是一种数据加密方法,其最重要的特征是在加密和解密过程中使用相同的密钥。在使用对称加密进行加密通信前,发信方须通过秘密信道向收信方告知密钥。双方通信时,发信方使用特定加密算法和密钥对数据进行加密;收信方收到密文后,需要使用加密时使用的相同密钥以及加密算法的逆算法对密文进行解密,这样才能使其恢复成可读明文。对称加密的优点是算法公开、数字运算量小、加密速度快。由于对称加密方法的保密度主要取决于对密钥的保密程度,一个发信方要确保与每一个可能的收信方都使用唯一的密钥,这会带来密钥管理和密钥安全交换的问题。此外,对称加密方法无法鉴别数据发送方和数据接受方。数据加密标准(DES)、国际数据加密算法(IDEA)和高级加密标准(AES)是几种广泛使用的对称加密技术。其中,传统的DES算法使用56位密钥,在计算机速度快速提升的今天被认为是不安全的;AES则提供128位密钥,是美国联邦政府采用的商业及政府数据加密标准,预计将在未来几十年里代替DES。

六、非对称加密(Asymmetric Encryption)
非对称加密又称公开密钥加密,是一种数据加密方法,其最重要的特征是在加密和解密过程中使用两个完全不同但又完全匹配的密钥:加密密钥(公开密钥,简称公钥)和解密密钥(私有密钥,简称私钥),前者是公开的,而后者是保密的。这两个密钥紧密相关,用某用户的加密密钥加密后得的信息只能用该用户的解密密钥才能解密。这种方法的核心是一种特殊的数学函数——单向函数与单向陷门函数,这种函数很容易从一个方向求值,但其逆运算却很困难,并在实际上成为不可能。非对称加密的基本原理是:若发信方想发送只有收信方才能解读的加密信息,收信方必须在通信前将随机生成的公钥送给发信方,而自己保留私钥;然后,发信方利用收信方的公钥加密原文;当收信方收到加密密文后,使用自己的私钥才能解密密文。非对称加密的保密度依赖于从公开的加密密钥或密文与明文的对照推算解密密钥在计算上的不可能性。与对称加密相比,非对称加密的优点在于无需共享通用密钥,解密私钥不发往任何用户。即使公钥在网上被截获,如果没有与其匹配的私钥,也无法解密。RSA算法、椭圆曲线算法是常用的非对称加密算法。非对称加密的另一用途是身份认证——用私钥加密的信息,可以用公钥对其解密,接收者由此可知这条信息确实来自于拥有私钥的某人。