菜鳥我覺得數字證書就是有人管理的數字簽名。
數字證書就類似于手寫的簽章,雖然你認識這個簽章,但你無法模仿這個簽章。
比如我可以根據RSA的方法找到一對公鑰和私鑰,然后告訴每個我的朋友或者商業伙伴這個公鑰。這樣我就可以發送用私鑰簽名的信息給他們,他們也可以用我的公鑰加密信息后發送給我。(這就是數字簽名了)
但是我怎么告訴我的朋友或者商業伙伴我的公鑰?用internet告訴他們?別忘了上網就像裸奔,別人也可以找到另一對公鑰私鑰,以你的身份通過Internae把公鑰發送給你的朋友(你認為沒有這個可能?因為電子郵箱是需要身份認證的?你的密碼不可能泄露,電腦上一定沒有木馬,黑客偽裝不了你的電子郵件,更竊聽不了你發送的數據包,競爭對手不會竊取你的商業秘密,沒有人試圖知道你的銀行帳號,FBI更不知道你發表了什么言論。恩,那數字證書確實沒什么用)。那么一個個打電話告訴他們,或者發送一堆掛號信?這樣看起來不大現實。
所以有了數字證書。數字證書就是數字認證機構(CA)頒發給我的簽名,由數字認證機構來證明這個證書的有效性。假如有了某個機構的數字證書,我就可以向所有人發送用這個數字證書簽名過的信息。信息的接收者只要驗證這個認證機構的簽名就可以了。
但這樣還是不現實,誰會拿著我的電子郵件跑去找廈門數字認證中心或者北京數字認證中心呢?所以這些機構的數字證書上也有更上層的簽名,那就是根證書。打開IE-工具-Internet選項-內容-證書.你就可以看到一堆的受信任的根證書和中級證書機構頒發的證書.根證書給中級機構的證書簽名,中級機構的證書給我的證書簽名.所以只要根證書是可信的.我的證書就是可信的.
通俗一點就是說比如安南公布了自己的簽名,聲稱他是可信的。然后布什去找安南,讓安南在他的簽名上簽名,這樣布什的簽名就是可信的,然后布什在我的簽名上簽名。這樣我的簽名上就有布什的簽名,而布什的簽名上有安南的簽名,這樣如果你認識安南的簽名,你就知道我的簽名大概不是假的。大概就是這樣了。
但是也許某一天布什會認為我有搞恐怖的嫌疑,決定把我的簽名扔進黑名單。這時如果你收到了一份我簽名的文件,說布什有裸奔的習慣,你怎么知道我是否還是可信的呢?布什想了個辦法,把他黑名單公布在白宮的墻上,并在他的簽名上寫下白宮地址。這樣你收到我的簽名后,因為我的簽名里面有布什的簽名,布什的簽名里面有白宮地址,你就可以去白宮看看我是否上了黑名單榜。
聽起來這個方式很好。。可惜找布什在我的簽名上簽名是要錢的,直接找安南簽名要的錢更多。人吃人的社會啊。所以據說有另外一種簽名的方式。但目前偶還不清楚。
|
|
|
|
|
試驗CryptoAPI的失敗:
微軟提供的Microsoft Cryptographic Service Providers里的The Microsoft Base Cryptographic Provider和The Microsoft Enhanced Cryptographic Provider不支持導入導出密鑰對。唯一的收獲。寂寥,郁郁,挫敗。
|