菜鳥我覺得數(shù)字證書就是有人管理的數(shù)字簽名。
數(shù)字證書就類似于手寫的簽章,雖然你認識這個簽章,但你無法模仿這個簽章。
比如我可以根據(jù)RSA的方法找到一對公鑰和私鑰,然后告訴每個我的朋友或者商業(yè)伙伴這個公鑰。這樣我就可以發(fā)送用私鑰簽名的信息給他們,他們也可以用我的公鑰加密信息后發(fā)送給我。(這就是數(shù)字簽名了)
但是我怎么告訴我的朋友或者商業(yè)伙伴我的公鑰?用internet告訴他們?別忘了上網(wǎng)就像裸奔,別人也可以找到另一對公鑰私鑰,以你的身份通過Internae把公鑰發(fā)送給你的朋友(你認為沒有這個可能?因為電子郵箱是需要身份認證的?你的密碼不可能泄露,電腦上一定沒有木馬,黑客偽裝不了你的電子郵件,更竊聽不了你發(fā)送的數(shù)據(jù)包,競爭對手不會竊取你的商業(yè)秘密,沒有人試圖知道你的銀行帳號,F(xiàn)BI更不知道你發(fā)表了什么言論。恩,那數(shù)字證書確實沒什么用)。那么一個個打電話告訴他們,或者發(fā)送一堆掛號信?這樣看起來不大現(xiàn)實。
所以有了數(shù)字證書。數(shù)字證書就是數(shù)字認證機構(gòu)(CA)頒發(fā)給我的簽名,由數(shù)字認證機構(gòu)來證明這個證書的有效性。假如有了某個機構(gòu)的數(shù)字證書,我就可以向所有人發(fā)送用這個數(shù)字證書簽名過的信息。信息的接收者只要驗證這個認證機構(gòu)的簽名就可以了。
但這樣還是不現(xiàn)實,誰會拿著我的電子郵件跑去找廈門數(shù)字認證中心或者北京數(shù)字認證中心呢?所以這些機構(gòu)的數(shù)字證書上也有更上層的簽名,那就是根證書。打開IE-工具-Internet選項-內(nèi)容-證書.你就可以看到一堆的受信任的根證書和中級證書機構(gòu)頒發(fā)的證書.根證書給中級機構(gòu)的證書簽名,中級機構(gòu)的證書給我的證書簽名.所以只要根證書是可信的.我的證書就是可信的.
通俗一點就是說比如安南公布了自己的簽名,聲稱他是可信的。然后布什去找安南,讓安南在他的簽名上簽名,這樣布什的簽名就是可信的,然后布什在我的簽名上簽名。這樣我的簽名上就有布什的簽名,而布什的簽名上有安南的簽名,這樣如果你認識安南的簽名,你就知道我的簽名大概不是假的。大概就是這樣了。
但是也許某一天布什會認為我有搞恐怖的嫌疑,決定把我的簽名扔進黑名單。這時如果你收到了一份我簽名的文件,說布什有裸奔的習慣,你怎么知道我是否還是可信的呢?布什想了個辦法,把他黑名單公布在白宮的墻上,并在他的簽名上寫下白宮地址。這樣你收到我的簽名后,因為我的簽名里面有布什的簽名,布什的簽名里面有白宮地址,你就可以去白宮看看我是否上了黑名單榜。
聽起來這個方式很好。。可惜找布什在我的簽名上簽名是要錢的,直接找安南簽名要的錢更多。人吃人的社會啊。所以據(jù)說有另外一種簽名的方式。但目前偶還不清楚。
|
|
|
|
|
試驗CryptoAPI的失敗:
微軟提供的Microsoft Cryptographic Service Providers里的The Microsoft Base Cryptographic Provider和The Microsoft Enhanced Cryptographic Provider不支持導入導出密鑰對。唯一的收獲。寂寥,郁郁,挫敗。
|