要说明数字签名、数字证书、SSL、https这几者之间的关系,首选需要了解数字签名的作用和原理。
数字签名有两个作用,一是能确定消息确实是由发送方签名并发出来的。二是数字签名能确定数据电文内容是否被篡改,保证消息的完整性。数字签名的基本工作流程如下:
发送加密
1.数字签名用户发送电子文件时,发送方通过哈希函数对电子数据文件进行加密生成数据摘要(digest);
2.数字签名发送方用自己的私钥对数据摘要进行加密,私钥加密后的摘要即为数字签名;
3.数字签名和报文将一起发送给接收方。
接收解密
1.接收方首先用与发送方一样的哈希函数从接收到的原始报文中计算出报文摘要;
2.接收方用发送方的提供的公钥来对报文附加的数字签名进行解密,得到一个数字摘要;
3.如果以上两个摘要相一致,则可以确认文件内容没有被篡改。
4.发送方的公钥能够对数字签名进行解密,证明数字签名由发送方发送。
以上过程逆向也可以进行,即当文件接受者想要回信时,可以先通过hash函数生成数字摘要,再用公钥加密即可起到文件加密的作用,收信人(数字签名拥有者)可以用私钥解密查看文件数字摘要。
函数加密原理
Hash函数又叫加密散列函数,其特点在于正向输出结果唯一性和逆向解密几乎不可解,因此可用于与数据加密。
正向输出容易且结果唯一:由数据正向计算对应的Hash值十分容易,且任何的输入都可以生成一个特定Hash值的输出,完全相同的数据输入将得到相同的结果,但输入数据稍有变化则将得到完全不同的结果。
Hash函数逆向不可解:由Hash值计算出其对应的数据极其困难,在当前科技条件下被视作不可能。
了解了数字签名,再来看一下数字证书的概念:
数字证书
由于网络上通信的双方可能都不认识对方,那么就需要第三者来介绍,这就是数字证书。数字证书由Certificate Authority( CA 认证中心)颁发。图解如下:
首先A B双方要互相信任对方证书。然后就可以进行通信了,与上面的数字签名相似。不同的是,使用了对称加密。这是因为,非对称加密在解密过程中,消耗的时间远远超过对称加密。如果密文很长,那么效率就比较低下了。但密钥一般不会特别长,对对称加密的密钥的加解密可以提高效率。
了解完数字签名的原理和数字证书的概念之后,我们再来系列了解SSL证书、HTTPS的关系。
SSL证书,也称为服务器SSL证书,是遵守SSL协议的一种数字证书,由全球信任的证书颁发机构(CA)验证服务器身份后颁发。将SSL证书安装在网站服务器上,可实现网站身份验证和数据加密传输双重功能,指网站服务器验证证书等级。
SSL证书由浏览器中"受信任的根证书颁发机构"在验证服务器身份后颁发,具有网站身份验证和加密传输双重功能。
如果SSL证书不是由浏览器中"受信任的根证书颁发机构"颁发的,则浏览器会有安全警告 "此网站出具的安全证书不是受信任的证书颁发机构颁发的,安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据,建议关闭此网页,并且不要继续浏览该网站。"
目前互联网常用的HTTP协议是非常不安全的明文传输协议。而SSL协议及其继任者TLS协议,是一种实现网络通信加密的安全协议,可在客户端(浏览器)和服务器端(网站)之间建立一条加密通道,保证数据在传输过程中不被窃取或篡改。
SSL证书具有服务器身份验证和数据传输加密功能。这个证书总共有3个测评等级,其中,EV SSL证书最高,OV SSL证书其次,而DV SSL证书最弱。
具体而言,DV SSL证书只验证域名所有权,仅为加密传输信息的作用,并不能证明网站的真实身份;OV SSL证书是需要验证网站所有单位的真实身份的标准型SSL证书,而EV SSL证书则是遵循全球统一严格身份验证标准办法的SSL证书,是目前业界最高安全级别的SSL证书。其中,OV SSL主要在国内网站应用,而EV SSL则在国外网站应用更多。靠谱的商用网站一般都会部署EV SSL证书或 OV SSL证书,绝对不会部署已经被欺诈网站滥用的DV SSL证书。
目前国内众多的第三方电子签名平台,作为国内领先的第三方电子签名平台,法大大官网采取OV SSL证书,充分实现网站身份验证和数据加密传输的双重功能。
来源:知乎 www.zhihu.com
作者:法大大
【知乎日报】千万用户的选择,做朋友圈里的新鲜事分享大牛。 点击下载
此问题还有 11 个回答,查看全部。
延伸阅读:
现在的 SSL 加密技术,预计多少年以后会被轻易破解?
网页游戏都有哪些安全问题?如何做得更安全?
没有评论:
发表评论