轉(zhuǎn)載自:http://www.reibang.com/p/42bf7c4d6ab8
數(shù)字證書就是網(wǎng)絡(luò)通訊中標(biāo)志通訊各方身份信息的一系列數(shù)據(jù)珊佣,其作用類似于現(xiàn)實(shí)生活中的身份證拔妥。它是由一個(gè)權(quán)威機(jī)構(gòu)發(fā)行的竿裂,人們可以在互聯(lián)網(wǎng)上用它來識別對方的身份许帐。
證書的格式遵循ITUTX.509國際標(biāo)準(zhǔn)
一個(gè)標(biāo)準(zhǔn)的X.509數(shù)字證書包含以下一些內(nèi)容:
證書的版本信息盾致;
證書的序列號主经,每個(gè)證書都有一個(gè)唯一的證書序列號;
證書所使用的簽名算法庭惜;
證書的發(fā)行機(jī)構(gòu)名稱罩驻,命名規(guī)則一般采用X.500格式;
證書的有效期护赊,現(xiàn)在通用的證書一般采用UTC時(shí)間格式惠遏,它的計(jì)時(shí)范圍為1950-2049;
證書所有人的名稱骏啰,命名規(guī)則一般采用X.500格式节吮;
證書所有人的公開密鑰;
證書發(fā)行者對證書的簽名判耕。
1.密碼學(xué)
在密碼學(xué)中课锌,有一個(gè)五元組:{明文、密文祈秕、密鑰渺贤、加密算法、解密算法}请毛,對應(yīng)的加密方案稱為密碼體制(或密碼)志鞍。
明文:是作為加密輸入的原始信息,即消息的原始形式所有可能明文的有限集稱為明文空間方仿。
密文:是明文經(jīng)加密變換后的結(jié)果固棚,即消息被加密處理后的形式,所有可能密文的有限集稱為密文空間仙蚜。
密鑰:是參與密碼變換的參數(shù)此洲,一切可能的密鑰構(gòu)成的有限集稱為密鑰空間。
加密算法:是將明文變換為密文的變換函數(shù)委粉,相應(yīng)的變換過程稱為加密呜师,即編碼的過程。
解密算法:是將密文恢復(fù)為明文的變換函數(shù)贾节,相應(yīng)的變換過程稱為解密汁汗,即解碼的過程衷畦。
對稱算法:
加密和解密使用同一密鑰
主要算法包括:DES、3DES、RC2、RC4
加/解密速度快企锌,但密鑰分發(fā)問題嚴(yán)重
非對稱算法:
不需要首先共享秘密
兩個(gè)密鑰同時(shí)產(chǎn)生:一把密鑰(公鑰)是公開的,任何人都可以得到菩混。另一把密鑰(私人密鑰)只有密鑰的擁有者知道。
用其中一把密鑰(公鑰或者是私鑰)加密的信息扁藕,只能用另一把打開墨吓。
RSA算法,ECC(橢圓曲線)算法
由已知的公鑰幾乎不可能推導(dǎo)出私鑰
強(qiáng)度依賴于密鑰的長度
很慢-不適合加密大數(shù)據(jù)
公鑰可以廣泛地纹磺、開放地分發(fā)
用于加密,簽名/校驗(yàn)亮曹,密鑰交換
數(shù)字摘要:
把可變輸入長度串轉(zhuǎn)換成固定長度輸出串的一種函數(shù)橄杨。稱輸出串為輸入串的指紋,或者數(shù)字摘要照卦;
不同明文的摘要相同的概要是非常非常小的式矫;而同樣明文其摘要必定一致;
明文的長度不固定役耕,摘要的長度固定采转。
沒有密鑰
不可回溯
典型算法:MD5,SHA-1
用于完整性檢測,產(chǎn)生數(shù)字簽名
最好的解決方案:
使用對稱算法加密大的數(shù)據(jù)
每次加密先產(chǎn)生新的隨機(jī)密鑰
使用非對稱算法交換隨機(jī)產(chǎn)生的密鑰
用非對稱算法做數(shù)字簽名(對散列值即摘要做數(shù)字簽名)
四條基本規(guī)則
先簽名瞬痘,然后加密
加密之前先壓縮
用你自己的私鑰做簽名
用接收者的公鑰做加密
加密:
解密:
怎樣解決4個(gè)通訊安全需求故慈?
私密性 加密
完整性 框全?
不可否認(rèn)性〔毂痢?
身份認(rèn)證? 津辩?
數(shù)字簽名
數(shù)字簽名采用公鑰體制(PKI)拆撼,即利用一對互相匹配的密鑰進(jìn)行加密、解密喘沿。每個(gè)用戶自己設(shè)定一把特定的僅為本人所知的私有密鑰(私鑰)闸度,用它進(jìn)行解密和簽名;同時(shí)設(shè)定一把公共密鑰(公鑰)并由本人公開蚜印,為一組用戶所共享莺禁,用于加密和驗(yàn)證簽名。當(dāng)發(fā)送一份保密文件時(shí)窄赋,發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密睁宰,而接收方則使用自己的私鑰解密肪获,這樣信息就可以安全無誤地到達(dá)目的地了。通過這種手段保證加密過程是一個(gè)不可逆過程柒傻,即只有用私有密鑰才能解密孝赫。在公開密鑰密碼體制中,常用的一種是RSA體制红符。其數(shù)學(xué)原理是將一個(gè)大數(shù)分解成兩個(gè)質(zhì)數(shù)的乘積青柄,加密和解密用的是兩個(gè)不同的密鑰。即使已知明文预侯、密文和加密密鑰(公開密鑰)致开,想要推導(dǎo)出解密密鑰(私密密鑰),在計(jì)算上是不可能的萎馅。按現(xiàn)在的計(jì)算機(jī)技術(shù)水平双戳,要破解目前采用的1024位RSA密鑰,需要上千年的計(jì)算時(shí)間糜芳。公開密鑰技術(shù)解決了密鑰發(fā)布的管理問題飒货,商戶可以公開其公開密鑰,而保留其私有密鑰峭竣。購物者可以用人人皆知的公開密鑰對發(fā)送的信息進(jìn)行加密塘辅,安全地傳送給商戶,然后由商戶用自己的私有密鑰進(jìn)行解密皆撩。
用戶也可以采用自己的私鑰對信息加以處理扣墩,由于密鑰僅為本人所有,這樣就產(chǎn)生了別人無法生成的文件扛吞,也就形成了數(shù)字簽名呻惕。采用數(shù)字簽名,能夠確認(rèn)以下兩點(diǎn):
(1)保證信息是由簽名者自己簽名發(fā)送的滥比,簽名者不能否認(rèn)或難以否認(rèn)蟆融;
(2)保證信息自簽發(fā)后到收到為止未曾作過任何修改,簽發(fā)的文件是真實(shí)文件守呜。
數(shù)字簽名具體做法是:
(1)將報(bào)文按雙方約定的HASH算法計(jì)算得到一個(gè)固定位數(shù)的報(bào)文摘要型酥。在數(shù)學(xué)上保證:只要改動(dòng)報(bào)文中任何一位,重新計(jì)算出的報(bào)文摘要值就會(huì)與原先的值不相符查乒。這樣就保證了報(bào)文的不可更改性弥喉。
(2)將該報(bào)文摘要值用發(fā)送者的私人密鑰加密,然后連同原報(bào)文一起發(fā)送給接收者玛迄,而產(chǎn)生的報(bào)文即稱數(shù)字簽名由境。這樣就保證了簽發(fā)者不可否認(rèn)性。
(3)接收方收到數(shù)字簽名后,用同樣的HASH算法對報(bào)文計(jì)算摘要值虏杰,然后與用發(fā)送者的公開密鑰進(jìn)行解密解開的報(bào)文摘要值相比較讥蟆。如相等則說明報(bào)文確實(shí)來自所稱的發(fā)送者。
數(shù)字證書是如何生成的纺阔?
數(shù)字證書是數(shù)字證書在一個(gè)身份和該身份的持有者所擁有的公/私鑰對之間建立了一種聯(lián)系瘸彤,由認(rèn)證中心(CA)或者認(rèn)證中心的下級認(rèn)證中心頒發(fā)的。根證書是認(rèn)證中心與用戶建立信任關(guān)系的基礎(chǔ)笛钝。在用戶使用數(shù)字證書之前必須首先下載和安裝质况。
認(rèn)證中心是一家能向用戶簽發(fā)數(shù)字證書以確認(rèn)用戶身份的管理機(jī)構(gòu)。為了防止數(shù)字憑證的偽造玻靡,認(rèn)證中心的公共密鑰必須是可靠的结榄,認(rèn)證中心必須公布其公共密鑰或由更高級別的認(rèn)證中心提供一個(gè)電子憑證來證明其公共密鑰的有效性,后一種方法導(dǎo)致了多級別認(rèn)證中心的出現(xiàn)囤捻。
數(shù)字證書頒發(fā)過程如下:用戶產(chǎn)生了自己的密鑰對臼朗,并將公共密鑰及部分個(gè)人身份信息(稱作P10請求)傳送給一家認(rèn)證中心。認(rèn)證中心在核實(shí)身份后蝎土,將執(zhí)行一些必要的步驟视哑,以確信請求確實(shí)由用戶發(fā)送而來,然后瘟则,認(rèn)證中心將發(fā)給用戶一個(gè)數(shù)字證書,該證書內(nèi)附了用戶和他的密鑰等信息枝秤,同時(shí)還附有對認(rèn)證中心公共密鑰加以確認(rèn)的數(shù)字證書醋拧。當(dāng)用戶想證明其公開密鑰的合法性時(shí),就可以提供這一數(shù)字證書淀弹。
證書的產(chǎn)生:認(rèn)證中心把用戶證書的基本信息做哈希算法丹壕,然后用自己的私鑰對哈希值進(jìn)行加密。
五.數(shù)字證書是如何分發(fā)的薇溃?
CA將證書分發(fā)給用戶的途徑有多種菌赖。第一種途徑是帶外分發(fā)(Out-of-band Distribution),即離線方式沐序。例如琉用,密鑰對是由軟件運(yùn)營商代替客戶生成,證書也是由運(yùn)營商代替客戶從CA下載策幼,然后把私鑰和下載的證書一起儲存在軟盤里邑时,再交給用戶的。這樣做的好處是免去了用戶上網(wǎng)下載證書的麻煩特姐。第二種途徑是帶內(nèi)分發(fā)(In-band distribution)晶丘,即用戶從網(wǎng)上下載數(shù)字證書到自己的電腦中。下載時(shí),用戶要向CA出示“參考號”和“授權(quán)碼”浅浮,以向CA證明自己的身份沫浆。這樣做成本較低,但對使用計(jì)算機(jī)不太熟悉的用戶來說滚秩,可能在下載時(shí)會(huì)碰到一些麻煩专执。除了以上兩種方式外,CA還把證書集中放置在公共的數(shù)據(jù)庫中公布叔遂,用戶可以隨用隨查詢隨調(diào)用他炊。
六.數(shù)字證書是如何存儲的?
數(shù)字證書和私鑰儲存的介質(zhì)有多種已艰,大致分為硬證書和軟證書痊末。可以存儲在計(jì)算機(jī)硬盤哩掺、軟盤凿叠、智能卡或USB key里。
1嚼吞、關(guān)于私鑰的唯一性
嚴(yán)格地講盒件,私鑰既然是世上唯一且只由主體本身持有,它就必須由主體的計(jì)算機(jī)程序來生成舱禽。因?yàn)槿绻趧e處生成將會(huì)有被拷貝的機(jī)會(huì)炒刁。然而在實(shí)際應(yīng)用上并非如此,出于某些特殊需要(例如誊稚,如果只有一份私鑰翔始,單位的加密文件就會(huì)因?yàn)殡x職員工帶走 私鑰而無法解密。)加密用的公/私鑰對會(huì)要求在可信的第三方儲存其備份里伯。這樣城瞎,加密用的私鑰可能并不唯一。然而簽名用的私鑰則必須保持唯一疾瓮,否則就無法保證被簽名信息的不可否認(rèn)性脖镀。
在生成用戶的密鑰對時(shí),用于加密的公/私鑰對可以由CA狼电、RA產(chǎn)生蜒灰,也可以在用戶終端的機(jī)器上用專用的程序(如瀏覽器程序或認(rèn)證軟件)來產(chǎn)生。用于數(shù)字簽名的密鑰對原則上只能由用戶終端的程序自行產(chǎn)生肩碟,才能保證私鑰信息的私密性以及通信信息的不可否認(rèn)性卷员。
有人可能會(huì)產(chǎn)生疑問:有的加密和簽名的密鑰對都是由軟件運(yùn)營商代替客戶生成的,這是否破壞了上述的私鑰唯一性原則呢腾务?答案是否定的毕骡。這時(shí)候,私鑰的唯一性要依靠法律合同的保證以及操作過程中相應(yīng)制度的約束,使得不可否認(rèn)性得到支持未巫。出于這種機(jī)制窿撬,我們?nèi)匀豢梢哉J(rèn)為,用戶的簽名私鑰是唯一的叙凡。
2劈伴、證書,私鑰握爷,到底保護(hù)哪一個(gè)跛璧?
我們常常聽到有人說:“保管好你的軟盤,保管好你的KEY新啼,不要讓別人盜用你的證書追城。”有些教科書上也這樣講燥撞。應(yīng)該說座柱,這句話是有毛病的。數(shù)字證書可以在網(wǎng)上公開物舒,并不怕別人盜用和篡改色洞。因?yàn)樽C書的盜用者在沒有掌握相應(yīng)的私鑰的情況下,盜用別人的證書既不能完成加密通信冠胯,又不能實(shí)現(xiàn)數(shù)字簽名火诸,沒有任何實(shí)際用處。而且荠察,由于有CA對證書內(nèi)容進(jìn)行了數(shù)字簽名置蜀,在網(wǎng)上公開的證書也不怕黑客篡改。我們說割粮,更該得到保護(hù)的是儲存在介質(zhì)中的私鑰盾碗。如果黑客同時(shí)盜走了證書和私鑰媚污,危險(xiǎn)就會(huì)降臨舀瓢。
七.如何驗(yàn)證數(shù)字證書?
以Alice驗(yàn)證Bob證書為例:
校驗(yàn)Bob的證書的合法性
(1)Alice獲得Bob的證書和簽發(fā)Bob證書的CA的證書
(2)用CA的公鑰解密Bob的證書摘要
(3)計(jì)算Bob的證書的摘要
(4)比較這兩個(gè)摘要
(5)校驗(yàn)Bob的證書證書有效期
(6)校驗(yàn)簽發(fā)者簽名(證書鏈)
(7)檢查證書作廢列表(CRL,OCSP)
八.CRL和OCSP是什么耗美?
證書的有效性取決于兩個(gè)方面因素:第一個(gè)因素是證書有效期:證書的有效期在證書被頒發(fā)之日就已經(jīng)確定了京髓,例如CFCA(中國金融認(rèn)證中心)規(guī)定個(gè)人證書的有效期是一年(可擴(kuò)展),企業(yè)證書的有效期是三年商架。證書的有效期(Validity Period)作為一項(xiàng)內(nèi)容被寫進(jìn)了數(shù)字證書之中堰怨,它用兩個(gè)日期——證書開始生效的日期和證書失效的日期來表示。顯然蛇摸,已經(jīng)過了有效期的證書不能通過驗(yàn)證备图。
證書有效期的設(shè)定是出于安全的考慮,當(dāng)一張證書有效期將結(jié)束時(shí),如果想繼續(xù)使用就需要更新揽涮,證書更新時(shí)將產(chǎn)生新的公私密鑰對抠藕,密鑰定期更新對于證書的安全性是有好處的。
第二個(gè)因素是證書注銷:雖然證書有效期沒有過蒋困,但是如果發(fā)生了特殊情況盾似,例如用戶發(fā)現(xiàn)證書遺失或私鑰失密,用戶會(huì)向CA/RA提出注銷證書的申請雪标,CA/RA經(jīng)過審核后將實(shí)施證書注銷零院。那么,被注銷的證書也不能通過驗(yàn)證村刨「娉 第一種情況比較簡單,證書的有效期就寫在了證書之中烹困,安全認(rèn)證應(yīng)用軟件只要調(diào)出證書的內(nèi)容玄妈,判斷一下就知道這張數(shù)字證書當(dāng)前是否還在有效期內(nèi)∷杳罚 第二種情況則比較復(fù)雜拟蜻,證書一旦發(fā)出,是不可能收回的枯饿。怎么辦呢酝锅?只能申請注銷。所謂注銷奢方,就是要求當(dāng)初頒發(fā)這張證書的單位(CA)出一張告示搔扁,宣布某張證書已經(jīng)被注銷作廢,警告有關(guān)的交易者注意蟋字,不要再使用與這張證書綁定的公鑰稿蹲。在PKI安全認(rèn)證體系中,這種“告示”稱為證書注銷列表(或證書撤銷清單鹊奖、證書注銷清單苛聘、證書廢止列表等),英文原文是Certificate Revocation List忠聚,縮寫為CRL设哗。 對于第二種情況两蟀,安全認(rèn)證應(yīng)用軟件在驗(yàn)證證書的有效性時(shí)就需要去訪問證書注銷列表(CRL)网梢。這個(gè)列表相當(dāng)于“黑名單”,一旦發(fā)現(xiàn)通信對方的證書在這張列表中赂毯,就不能通過驗(yàn)證战虏〖鹪祝 證書注銷機(jī)制可以防止證書遺失或發(fā)現(xiàn)私鑰失密后,不法分子冒用用戶證書烦感、私鑰實(shí)行欺詐交易所帶來的損失徐裸。這和信用卡注銷、有效證件注銷的機(jī)制十分類似啸盏≈睾兀 注銷證書的其他原因還包括:銀行方面認(rèn)為證書用戶信用喪失、用戶身份姓名發(fā)生改變回懦、用戶從他所屬單位離職气笙、崗位和職權(quán)發(fā)生變更等情況。
CRL的內(nèi)容
根據(jù)X.509標(biāo)準(zhǔn)怯晕,CRL的內(nèi)容和數(shù)據(jù)結(jié)構(gòu)定義如所示:
版本
簽名算法
簽發(fā)者
更新時(shí)間
下一次更新時(shí)間
廢止的證書列表
用戶證書序列號
廢止時(shí)間
CRL入口擴(kuò)展
CRL的內(nèi)容包括CRL的版本號潜圃、計(jì)算本CRL的數(shù)字簽名所用的算法的標(biāo)識符(如加密算法RSA、數(shù)字摘要算法MD5等算法的標(biāo)識符)舟茶、頒發(fā)CRL的CA的可識別名(DN)谭期、CRL的發(fā)布/更新時(shí)間、被注銷證書的列表(僅列出被注銷證書的唯一序列號)以及擴(kuò)展項(xiàng)吧凉。
擴(kuò)展項(xiàng)中的內(nèi)容有:
(1)理由代碼——指出該證書被注銷的理由隧出,如:密鑰損壞、CA損壞阀捅、關(guān)系變動(dòng)胀瞪、操作終止等;
(2)證書頒發(fā)者——列出該證書頒發(fā)者的名字饲鄙;
(3)控制指示代碼——用于證書的臨時(shí)凍結(jié)凄诞;
(4)失效日期——列出該證書不再有效的日期。? ?? 為了保證CRL的真實(shí)性和完整性忍级,CRL數(shù)據(jù)的后面附有頒發(fā)CRL的CA對CRL的數(shù)字簽名帆谍。
九.常見的數(shù)字證書格式
1.在Security編程中,有幾種典型的密碼交換信息文件格式:
DER-encoded certificate: .cer, .crt
PEM-encoded message: .pem
PKCS#12 Personal Information Exchange: .pfx, .p12
PKCS#10 Certification Request: .p10
PKCS#7 cert request response: .p7r
PKCS#7 binary message: .p7b
.cer/.crt是用于存放證書轴咱,它是2進(jìn)制形式存放的汛蝙,不含私鑰。
.pem跟crt/cer的區(qū)別是它以Ascii來表示嗦玖。
pfx/p12用于存放個(gè)人證書/私鑰患雇,他通常包含保護(hù)密碼跃脊,2進(jìn)制方式
p10是證書請求
p7r是CA對證書請求的回復(fù)宇挫,只用于導(dǎo)入
p7b以樹狀展示證書鏈(certificate chain),同時(shí)也支持單個(gè)證書酪术,不含私鑰器瘪。
2.數(shù)字證書文件格式(cer和pfx)的區(qū)別
作為文件形式存在的證書一般有這幾種格式:
1.帶有私鑰的證書
由Public Key Cryptography Standards #12翠储,PKCS#12標(biāo)準(zhǔn)定義,包含了公鑰和私鑰的二進(jìn)制格式的證書形式橡疼,以
pfx作為證書文件后綴名援所。
2.二進(jìn)制編碼的證書
證書中沒有私鑰,DER 編碼二進(jìn)制格式的證書文件欣除,以cer作為證書文件后綴名住拭。
3.Base64編碼的證書
證書中沒有私鑰,BASE64 編碼格式的證書文件历帚,也是以cer作為證書文件后綴名滔岳。 由定義可以看出挽牢,只有pfx格式的數(shù)字證書是包含有私鑰的谱煤,cer格式的數(shù)字證書里面只有公鑰沒有私鑰。在pfx證書的導(dǎo)入過程中有一項(xiàng)是“標(biāo)志此密鑰是可導(dǎo)出的禽拔。這將您在稍候備份或傳輸密鑰”刘离。一般是不選中的,如果選中睹栖,別人就有機(jī)會(huì)備份你的密鑰了硫惕。如果是不選中,其實(shí)密鑰也導(dǎo)入了野来,只是不能再次被導(dǎo)出疲憋。這就保證了密鑰的安全。
如果導(dǎo)入過程中沒有選中這一項(xiàng)梁只,做證書備份時(shí)“導(dǎo)出私鑰”這一項(xiàng)是灰色的缚柳,不能選。只能導(dǎo)出cer格式的公鑰搪锣。如果導(dǎo)入時(shí)選中該項(xiàng)秋忙,則在導(dǎo)出時(shí)“導(dǎo)出私鑰”這一項(xiàng)就是可選的。
如果要導(dǎo)出私鑰(pfx),是需要輸入密碼的构舟,這個(gè)密碼就是對私鑰再次加密灰追,這樣就保證了私鑰的安全,別人即使拿到了你的證書備份(pfx),不知道加密私鑰的密碼狗超,也是無法導(dǎo)入證書的弹澎。相反,如果只是導(dǎo)入導(dǎo)出cer格式的證書努咐,是不會(huì)提示你輸入密碼的苦蒿。因?yàn)楣€一般來說是對外公開的,不用加密
3.X.509定義了兩種證書:公鑰證書和屬性證書
PKCS#7和PKCS#12使用的都是公鑰證書
PKCS#7的SignedData的一種退化形式可以分發(fā)公鑰證書和CRL
一個(gè)SignedData可以包含多張公鑰證書
PKCS#12可以包含公鑰證書及其私鑰渗稍,也可包含整個(gè)證書鏈
十.數(shù)字證書命名
C(county)? 國家
O(organization)頒發(fā)機(jī)構(gòu)名稱
OU(Organizational Unit) 組織單位名稱
CN (common name) 持有者的名稱
例如:CN=zhangsan佩迟,OU=beijingICBCbank团滥,O=ICBCbank
十一.證書工具使用
1.KeyTool工具
Java自帶的keytool工具是個(gè)密鑰和證書管理工具。它使用戶能夠管理自己的公鑰/私鑰對及相關(guān)證書报强,用于(通過數(shù)字簽名)自我認(rèn)證(用戶向別的用戶/服務(wù)認(rèn)證自己)或數(shù)據(jù)完整性以及認(rèn)證服務(wù)灸姊。它還允許用戶儲存他們的通信對等者的公鑰(以證書形式)。keytool 將密鑰和證書儲存在一個(gè)所謂的密鑰倉庫(keystore)中秉溉。缺省的密鑰倉庫實(shí)現(xiàn)將密鑰倉庫實(shí)現(xiàn)為一個(gè)文件力惯。它用口令來保護(hù)私鑰。
Java KeyStore的類型
JKS和JCEKS是Java密鑰庫(KeyStore)的兩種比較常見類型(我所知道的共有5種召嘶,JKS, JCEKS, PKCS12, BKS夯膀,UBER)。
JKS的Provider是SUN苍蔬,在每個(gè)版本的JDK中都有诱建,JCEKS的Provider是SUNJCE,1.4后我們都能夠直接使用它碟绑。
JCEKS在安全級別上要比JKS強(qiáng)俺猿,使用的Provider是JCEKS(推薦),尤其在保護(hù)KeyStore中的私鑰上(使用TripleDes)格仲。
PKCS#12是公鑰加密標(biāo)準(zhǔn)押袍,它規(guī)定了可包含所有私鑰、公鑰和證書凯肋。其以二進(jìn)制格式存儲谊惭,也稱為 PFX 文件,在 windows中可以直接導(dǎo)入到密鑰區(qū)侮东,注意圈盔,PKCS#12的密鑰庫保護(hù)密碼同時(shí)也用于保護(hù)Key。
BKS 來自BouncyCastle Provider悄雅,它使用的也是TripleDES來保護(hù)密鑰庫中的Key驱敲,它能夠防止證書庫被不小心修改(Keystore的keyentry改掉1個(gè) bit都會(huì)產(chǎn)生錯(cuò)誤),BKS能夠跟JKS互操作宽闲,讀者可以用Keytool去TryTry众眨。UBER比較特別,當(dāng)密碼是通過命令行提供的時(shí)候容诬,它只能跟keytool交互娩梨。整個(gè)keystore是通過PBE/SHA1/Twofish加密,因此keystore能夠防止被誤改览徒、察看以及校驗(yàn)狈定。以前,Sun JDK(提供者為SUN)允許你在不提供密碼的情況下直接加載一個(gè)Keystore吱殉,類似cacerts掸冤,UBER不允許這種情況。
