菜鳥我覺得數(shù)字證書就是有人管理的數(shù)字簽名。
數(shù)字證書就類似于手寫的簽章,雖然你認(rèn)識(shí)這個(gè)簽章,但你無法模仿這個(gè)簽章。
比如我可以根據(jù)RSA的方法找到一對(duì)公鑰和私鑰,然后告訴每個(gè)我的朋友或者商業(yè)伙伴這個(gè)公鑰。這樣我就可以發(fā)送用私鑰簽名的信息給他們,他們也可以用我的公鑰加密信息后發(fā)送給我。(這就是數(shù)字簽名了)
但是我怎么告訴我的朋友或者商業(yè)伙伴我的公鑰?用internet告訴他們?別忘了上網(wǎng)就像裸奔,別人也可以找到另一對(duì)公鑰私鑰,以你的身份通過Internae把公鑰發(fā)送給你的朋友(你認(rèn)為沒有這個(gè)可能?因?yàn)殡娮余]箱是需要身份認(rèn)證的?你的密碼不可能泄露,電腦上一定沒有木馬,黑客偽裝不了你的電子郵件,更竊聽不了你發(fā)送的數(shù)據(jù)包,競(jìng)爭對(duì)手不會(huì)竊取你的商業(yè)秘密,沒有人試圖知道你的銀行帳號(hào),F(xiàn)BI更不知道你發(fā)表了什么言論。恩,那數(shù)字證書確實(shí)沒什么用)。那么一個(gè)個(gè)打電話告訴他們,或者發(fā)送一堆掛號(hào)信?這樣看起來不大現(xiàn)實(shí)。
所以有了數(shù)字證書。數(shù)字證書就是數(shù)字認(rèn)證機(jī)構(gòu)(CA)頒發(fā)給我的簽名,由數(shù)字認(rèn)證機(jī)構(gòu)來證明這個(gè)證書的有效性。假如有了某個(gè)機(jī)構(gòu)的數(shù)字證書,我就可以向所有人發(fā)送用這個(gè)數(shù)字證書簽名過的信息。信息的接收者只要驗(yàn)證這個(gè)認(rèn)證機(jī)構(gòu)的簽名就可以了。
但這樣還是不現(xiàn)實(shí),誰會(huì)拿著我的電子郵件跑去找廈門數(shù)字認(rèn)證中心或者北京數(shù)字認(rèn)證中心呢?所以這些機(jī)構(gòu)的數(shù)字證書上也有更上層的簽名,那就是根證書。打開IE-工具-Internet選項(xiàng)-內(nèi)容-證書.你就可以看到一堆的受信任的根證書和中級(jí)證書機(jī)構(gòu)頒發(fā)的證書.根證書給中級(jí)機(jī)構(gòu)的證書簽名,中級(jí)機(jī)構(gòu)的證書給我的證書簽名.所以只要根證書是可信的.我的證書就是可信的.
通俗一點(diǎn)就是說比如安南公布了自己的簽名,聲稱他是可信的。然后布什去找安南,讓安南在他的簽名上簽名,這樣布什的簽名就是可信的,然后布什在我的簽名上簽名。這樣我的簽名上就有布什的簽名,而布什的簽名上有安南的簽名,這樣如果你認(rèn)識(shí)安南的簽名,你就知道我的簽名大概不是假的。大概就是這樣了。
但是也許某一天布什會(huì)認(rèn)為我有搞恐怖的嫌疑,決定把我的簽名扔進(jìn)黑名單。這時(shí)如果你收到了一份我簽名的文件,說布什有裸奔的習(xí)慣,你怎么知道我是否還是可信的呢?布什想了個(gè)辦法,把他黑名單公布在白宮的墻上,并在他的簽名上寫下白宮地址。這樣你收到我的簽名后,因?yàn)槲业暮灻锩嬗胁际驳暮灻际驳暮灻锩嬗邪讓m地址,你就可以去白宮看看我是否上了黑名單榜。
聽起來這個(gè)方式很好。。可惜找布什在我的簽名上簽名是要錢的,直接找安南簽名要的錢更多。人吃人的社會(huì)啊。所以據(jù)說有另外一種簽名的方式。但目前偶還不清楚。
|
|
|
|
|
試驗(yàn)CryptoAPI的失敗:
微軟提供的Microsoft Cryptographic Service Providers里的The Microsoft Base Cryptographic Provider和The Microsoft Enhanced Cryptographic Provider不支持導(dǎo)入導(dǎo)出密鑰對(duì)。唯一的收獲。寂寥,郁郁,挫敗。
|