CA 证书的作用

张无忌

      CA的英文全称是 Certificate Authority，即证书授权中心，是数字证书的发行机构。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。

　　数字证书是标志网络用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的身份，即要在Internet上解决'我是谁'的问题，就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样，以表明我们的身份或某种资格。

　　数字证书是由权威公正的第三方机构即CA中心签发的，以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。

       CA是证书的签发机构,它是 PKI (Public Key Infrastructure) 的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份，并对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权。。


　　CA 也拥有一个证书（内含公钥）和私钥。网上的公众用户通过验证 CA 的签字从而信任 CA ，任何人都可以得到 CA 的证书（含公钥），用以验证它所签发的证书。

　　如果用户想得到一份属于自己的证书，他应先向 CA 提出申请。在 CA 判明申请者的身份后，便为他分配一个公钥，并且 CA 将该公钥与申请者的身份信息绑在一起，并为之签字后，便形成证书发给申请者。


　　如果一个用户想鉴别另一个证书的真伪，他就用 CA 的公钥对那个证书上的签字进行验证，一旦验证通过，该证书就被认为是有效的。


　　证书


　　证书实际是由证书签证机关（CA）签发的对用户的公钥的认证。


　　证书的内容包括：电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。目前，证书的格式和验证方法普遍遵循X.509 国际标准。


　　加密：


　　我们将文字转换成不能直接阅读的形式（即密文）的过程称为加密。


　　解密：


　　我们将密文转换成能够直接阅读的文字（即明文）的过程称为解密。


　　如何在电子文档上实现签名的目的呢？我们可以使用数字签名。RSA公钥体制可实现对数字信息的数字签名，方法如下：


　　信息发送者用其私钥对从所传报文中提取出的特征数据（或称数字指纹）进行 RSA 算法操作，以保证发信人无法抵赖曾发过该信息（即不可抵赖性），同时也确保信息报文在传递过程中未被篡改（即完整性）。当信息接收者收到报文后，就可以用发送者的公钥对数字签名进行验证。


　　在数字签名中有重要作用的数字指纹是通过一类特殊的散列函数(HASH函数) 生成的。对这些 HASH 函数的特殊要求是：


　　1．接收的输入报文数据没有长度限制；


　　2．对任何输入报文数据生成固定长度的摘要(数字指纹)输出；


　　3．从报文能方便地算出摘要；


　　4．难以对指定的摘要生成一个报文，而由该报文可以算出该指定的摘要；


　　5．难以生成两个不同的报文具有相同的摘要。


　　验证：


　　收方在收到信息后用如下的步骤验证您的签名：


　　1．使用自己的私钥将信息转为明文；


　　2．使用发信方的公钥从数字签名部分得到原摘要；


　　3．收方对您所发送的源信息进行hash运算，也产生一个摘要；


　　4．收方比较两个摘要，如果两者相同，则可以证明信息签名者的身份。


　　如果两摘要内容不符，会说明什么原因呢？


　　可能对摘要进行签名所用的私钥不是签名者的私钥，这就表明信息的签名者不可信；也可能收到的信息根本就不是签名者发送的信息，信息在传输过程中已经遭到破坏或篡改。


　　数字证书：


　　答: 数字证书为实现双方安全通信提供了电子认证。在因特网、公司内部网或外部网中，使用数字证书实现身份识别和电子信息加密。数字证书中含有密钥对（公钥和私钥）所有者的识别信息，通过验证识别信息的真伪实现对证书持有者身份的认证。


　　使用数字证书能做什么?


　　数字证书在用户公钥后附加了用户信息及 CA 的签名。公钥是密钥对的一部分，另一部分是私钥。公钥公之于众，谁都可以使用。私钥只有自己知道。由公钥加密的信息只能由与之相对应的私钥解密。为确保只有某个人才能阅读自己的信件，发送者要用收件人的公钥加密信件；收件人便可用自己的私钥解密信件。同样，为证实发件人的身份，发送者要用自己的私钥对信件进行签名；收件人可使用发送者的公钥对签名进行验证，以确认发送者的身份。


　　在线交易中您可使用数字证书验证对方身份。用数字证书加密信息，可以确保只有接收者才能解密、阅读原文，信息在传递过程中的保密性和完整性。有了数字证书网上安全才得以实现，电子邮件、在线交易和信用卡购物的安全才能得到保证。


　　认证、数字证书和 PKI 解决的几个问题?


　　保密性 - 只有收件人才能阅读信息。


　　认证性 - 确认信息发送者的身份。


　　完整性 - 信息在传递过程中不会被篡改。


　　不可抵赖性 - 发送者不能否认已发送的信息