11. 密碼學專題 - 密鑰管理

密碼學專題 - 密鑰管理

11. 密鑰管理

11.1 PKI

公鑰密碼使密鑰管理變得簡單篷角,但是 Alice 仍要獲得 Bob 的公鑰卑吭,她如何才能相信那是 Bob 的公鑰僚焦,而不是其他人的公鑰呢逼侦?也許 Eve 創(chuàng)建了一個密鑰對宇弛,并且冒充 Bob 公開密鑰鸡典。一般的解決辦法是利用 PKI,或者稱為公鑰基礎設施 (Public Key Infrastructure)枪芒。

PKI 的主要思想是設立一個中心機構彻况,稱為證書機構或者 CA。每個用戶都把他的公鑰報給 CA 并向 CA 證明自己舅踪,然后 CA 使用數(shù)字簽名簽署用戶的公鑰纽甘,簽署的消息或證書聲明:“我,CA硫朦,已經(jīng)驗證公鑰 P_{Bob} 屬于 Bob贷腕。” 證書通常包括有效期及其他有用信息咬展。

利用證書泽裳,Alice 更容易找到 Bob 的公鑰。我們假定 Alice 擁有 CA 的公鑰并且已經(jīng)驗證是正確的公鑰破婆,現(xiàn)在 Alice 可以從數(shù)據(jù)庫中檢索 Bob 的公鑰涮总,Bob 也可以通過電子郵件將公鑰發(fā)送給 Alice,然后 Alice 利用已得到的 CA 公鑰驗證 Bob 公鑰的證書祷舀,該證書保證她使用正確的公鑰與 Bob 進行通信瀑梗。Bob 可同樣地獲得 Alice 的公鑰烹笔,并且確信他在與正確的人進行通信。

在 PKI 中抛丽,每一個參與方只需要讓 CA 給他的公鑰頒發(fā)證書谤职,并知道 CA 的公鑰以驗證其他參與方的證書。這樣的工作量遠比與每一個通信方交換密鑰小得多亿鲜,這正是 PKI 的巨大優(yōu)勢:一次注冊允蜈,隨處使用。

由于實際原因蒿柳,PKI 通常設置多層次的 CA饶套。其中有一個最高層的 CA,稱為根垒探,它為低層 CA 的公鑰頒發(fā)證書妓蛮,而低層 CA 則給用戶的公鑰頒發(fā)證書。這個系統(tǒng)以同樣的方式工作圾叼,但是現(xiàn)在 Alice 需要檢驗兩個證書以驗證 Bob 的公鑰蛤克。

PKI 并不是最終的解決方案,其中還有很多問題褐奥。首先咖耘,CA 必須被每一個人信任。在有些情況下撬码,這是容易做到的儿倒。一個公司的人力資源部門知道所有的員工,可以擔任 CA 的角色呜笑。但是世界上沒有一個實體能夠被所有人信任夫否,僅憑一個 PKI 來管理整個世界的想法顯然是不行的。

第二個問題是責任問題叫胁。如果 CA 頒發(fā)了一個錯誤的證書凰慈,或者 CA 的私鑰被竊取了,那么該怎么辦呢驼鹅?Alice 將信任一個錯誤的證書微谓,并且因此可能損失很多錢,那么該由誰來負責输钩?CA 愿意以某種保險的形式來提供支持嗎豺型?這就需要 Alice 和 CA 之間建立非常全面的商業(yè)關系。

目前有很多公司都試圖成為世界性的 CA买乃,VeriSign 大概是其中最有名的一個姻氨。然而,對于未能履行職責的情況剪验,VeriSign 明確地限制了自己的賠償責任肴焊,大多數(shù)情況下賠償不超過 100 美元前联,這可以比我們利用 VeriSign 簽署的證書安全地購買書籍所支付的金額都少。不過這并不是一個問題娶眷,因為使用信用卡支持對消費者來說是安全的似嗤。然而在購買下一輛汽車時,我們就不會相信只有 100 美元保證金的 VeriSign 證書了届宠。

項目源代碼

項目源代碼會逐步上傳到 Github双谆,地址為 https://github.com/windstamp

Contributor

  1. Windstamp, https://github.com/windstamp
?著作權歸作者所有,轉載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末席揽,一起剝皮案震驚了整個濱河市,隨后出現(xiàn)的幾起案子谓厘,更是在濱河造成了極大的恐慌幌羞,老刑警劉巖,帶你破解...
    沈念sama閱讀 222,681評論 6 517
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件竟稳,死亡現(xiàn)場離奇詭異属桦,居然都是意外死亡,警方通過查閱死者的電腦和手機他爸,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 95,205評論 3 399
  • 文/潘曉璐 我一進店門聂宾,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人诊笤,你說我怎么就攤上這事系谐。” “怎么了讨跟?”我有些...
    開封第一講書人閱讀 169,421評論 0 362
  • 文/不壞的土叔 我叫張陵纪他,是天一觀的道長。 經(jīng)常有香客問我晾匠,道長茶袒,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 60,114評論 1 300
  • 正文 為了忘掉前任凉馆,我火速辦了婚禮薪寓,結果婚禮上,老公的妹妹穿的比我還像新娘澜共。我一直安慰自己向叉,他們只是感情好,可當我...
    茶點故事閱讀 69,116評論 6 398
  • 文/花漫 我一把揭開白布咳胃。 她就那樣靜靜地躺著植康,像睡著了一般。 火紅的嫁衣襯著肌膚如雪展懈。 梳的紋絲不亂的頭發(fā)上销睁,一...
    開封第一講書人閱讀 52,713評論 1 312
  • 那天供璧,我揣著相機與錄音,去河邊找鬼冻记。 笑死睡毒,一個胖子當著我的面吹牛,可吹牛的內(nèi)容都是我干的冗栗。 我是一名探鬼主播演顾,決...
    沈念sama閱讀 41,170評論 3 422
  • 文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼隅居!你這毒婦竟也來了钠至?” 一聲冷哼從身側響起,我...
    開封第一講書人閱讀 40,116評論 0 277
  • 序言:老撾萬榮一對情侶失蹤胎源,失蹤者是張志新(化名)和其女友劉穎棉钧,沒想到半個月后,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體涕蚤,經(jīng)...
    沈念sama閱讀 46,651評論 1 320
  • 正文 獨居荒郊野嶺守林人離奇死亡宪卿,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 38,714評論 3 342
  • 正文 我和宋清朗相戀三年,在試婚紗的時候發(fā)現(xiàn)自己被綠了万栅。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片佑钾。...
    茶點故事閱讀 40,865評論 1 353
  • 序言:一個原本活蹦亂跳的男人離奇死亡,死狀恐怖烦粒,靈堂內(nèi)的尸體忽然破棺而出休溶,到底是詐尸還是另有隱情,我是刑警寧澤扰她,帶...
    沈念sama閱讀 36,527評論 5 351
  • 正文 年R本政府宣布邮偎,位于F島的核電站,受9級特大地震影響义黎,放射性物質發(fā)生泄漏禾进。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點故事閱讀 42,211評論 3 336
  • 文/蒙蒙 一廉涕、第九天 我趴在偏房一處隱蔽的房頂上張望泻云。 院中可真熱鬧,春花似錦狐蜕、人聲如沸宠纯。這莊子的主人今日做“春日...
    開封第一講書人閱讀 32,699評論 0 25
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽婆瓜。三九已至,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間廉白,已是汗流浹背个初。 一陣腳步聲響...
    開封第一講書人閱讀 33,814評論 1 274
  • 我被黑心中介騙來泰國打工, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留猴蹂,地道東北人院溺。 一個月前我還...
    沈念sama閱讀 49,299評論 3 379
  • 正文 我出身青樓,卻偏偏與公主長得像磅轻,于是被迫代替她去往敵國和親珍逸。 傳聞我的和親對象是個殘疾皇子,可洞房花燭夜當晚...
    茶點故事閱讀 45,870評論 2 361