非对称加密,通常称为公钥加密,基于即使使用当今最强大的计算机也极难破解的计算。但是,使用私钥和公钥加密仍然存在一个问题。假定公钥是开放的,这意味着任何人都可以访问它们。没有什么可以阻止恶意方声称拥有不属于他们的公钥。公钥基础设施可用于解决此完整性问题。
可以使用 PKI 在不安全的网络(例如 Internet)上安全且私密地交换信息。为了实现这一点,PKI 使用了两种关键技术:数字签名和数字证书,它们是证书颁发机构信任模型中的关键组件。
术语数字签名由两个词组成:数字和签名,因此让我们尝试一一详细说明这些术语。
Digital 详细阐述了以正态和负态生成、存储和处理数据的电子技术。正数用数字 1 表示,0 表示非正数。因此,数据表示为一串 0 和 1,通过数字技术传输或存储。
为了显示文件是由我们批准还是由我们创建,我们通常会签署文件。此签名向收件人证明此文档来自或生成自合法来源。文件上的这个签名表示文件的真实性。
例如,当 X 向 Y 发送消息时,Y 想要检查消息的合法性并确认消息是否来自 X,而不是来自某个第三方或恶意 Z。因此,Y 可以要求 X 对消息进行电子签名。X 的身份是通过这种电子签名来证明的,这种电子签名称为数字签名。
消息完整性
在签名和验证算法中,消息的完整性通过使用散列函数来保持。
消息认证
消息的验证是通过使用发送者的公钥来完成的。当 X 向 Y 发送消息时,X 的公钥被 Y 用于验证,X 的公钥不能创建与 Z 的私钥相同的签名。
消息不可否认性
不可否认性是保证消息的发起者不能否认任何先前发送的消息、承诺或操作。
数字证书是电子证书的集合,用于使用加密密钥(公钥和私钥)确认证书持有者的身份。这些密钥以数字方式对信息进行签名和加密。数字证书保证该证书包含一个公钥,该公钥属于向其颁发证书的 SSL 请求者。数字证书由证书颁发机构颁发。
数字证书包含两个密钥:公钥和私钥。虽然接收者拥有接收者的私钥,但证书包含公钥。使用公钥加密的消息只能使用数学关联的私钥解密。当证书由证书颁发机构颁发时,它包含加密算法、数字签名、序列号、到期日期和证书所有者的姓名。
证书颁发过程从提交CSR(证书签名请求)和提交所需信息开始。提交信息后,将验证域名所有权以及商业注册文件。验证后,由证书颁发机构颁发数字证书,需要安装在服务器上。
颁发数字证书的责任落在证书颁发机构身上。他们会将他们的签名附在证书上,作为提出请求的实体的合法性和可靠性的证据。域控制验证的管理主要由证书颁发机构负责。从本质上讲,证书颁发机构对于公钥基础设施的运作和互联网的安全至关重要。
数字证书在网络安全领域发挥着重要作用。拥有数字证书的一些主要优势包括以下几点:
通过加密实现数据安全性、机密性和完整性
保护敏感数据是数字证书提供的最重要的功能之一。由于数字证书,任何不被允许阅读的人都无法查看信息。因此,拥有数字证书将有利于传输大量数据的个人和组织。考虑使用 SSL 证书,它通过帮助加密网站服务器和浏览器之间发送的数据来确保黑客无法拦截用户数据。
此外,数字证书有助于解决消息机密性和隐私问题。它们支持使用公共网络的各方之间的私人通信。数字证书还通过防止在传输过程中故意或无意篡改数据,有助于维护数据完整性。
真实性或识别优势
在广泛的数据泄露和日益增加的网络攻击的时代,数字证书一直处于打击欺诈者和假冒网站的最前沿。他们表明,网站和服务器正是他们声称的身份,并识别了通信链中的每个参与者。如您所知,在授予数字证书之前,证书颁发机构会调查公司或网站。证书详细信息将包含有关该网站的所有必要信息。这些数据有助于证明网站的合法性。
可扩展性
通过 SSL 证书等数字证书为各种形式和规模的企业提供相同的加密强度。这些证书也具有很强的可扩展性,因为它们可以在几秒钟内颁发、取消和更新。
可靠性和成本效益
受信任的证书颁发机构负责颁发数字证书。CA 要颁发证书,必须彻底调查每个申请人,这意味着使用证书的组织不能被黑客欺骗。数字证书还以合理的成本提供必要的加密强度。您不应该惊讶地发现大多数数字证书每年花费大约 100 美元或更少。
公共信托
您网站的访问者担心他们的安全,不会冒险访问不安全的网站。因此,他们中的大多数人会寻求确认您的网站是值得信赖和安全的。您可以通过多种方式使用它来获得用户的信任,而获得数字证书是理想的选择。
数字证书与数字签名的基本区别在于,证书将数字签名附加到一个实体上,而数字签名必须从发送数据或信息的那一刻起就保证数据或信息的安全。数字证书用于验证发送者的身份,数字签名用于验证发送的数据。
数字证书是由受信任的证书颁发机构颁发的数字或电子证书(文件或密码)的集合,并链接到数字消息/通信,以使用公钥基础设施 (PKI) 验证发送者、服务器或设备的合法性.
相比之下,数字签名是一种散列方法,可以验证用户的身份并使用数字字符串提供真实性。使用加密密钥技术,只需将数字签名附加到电子邮件或文档。当接收者收到消息时,签名使用相同的散列算法来解密消息。
电子签名 | 数字证书 |
---|---|
它验证文档的身份。 | 它验证了在线媒体所有权的合法性。 |
授权机构将其发布给特定个人。 | 申请人的背景经证书颁发机构(CA)审核后颁发。 |
它保证文件的签名者不能被签名者否认。 | 它保证了交换信息的双方的安全。 |
它基于 DSS(数字签名标准)。 | 它基于公钥密码标准的原则。 |
数字签名中使用了数学函数(哈希函数)。 | 它使用个人信息来识别所有者的踪迹。 |
它经常用于防止文件伪造。 | 它用于在线交易中,以确定发送者和数据的可靠性。 |
它是作为签名替代品的文档的扩展。 | 它用作验证特定交易持有人身份的媒介。 |
它保证发送者和接收者都可以访问相同的文档和数据。 | 它增加了客户和企业(证书持有者)之间的信任。 |
公钥基础设施 (PKI) 被用来保护广泛的数字应用程序,验证从交易和身份到供应链的一切。然而,基础设施漏洞对仅依赖 PKI 来保护数字应用程序的组织构成重大风险。
揽阁信息通过Thales(泰雷兹)提供 PKI 加密密钥管理解决方案,帮助您保护 PKI 核心的密钥,以及基于 PKI 的身份验证令牌,利用 PKI 提供的安全优势来提供可靠的身份保护。这些解决方案可以在本地使用,也可以作为云中的服务使用。
私钥的安全存储和保护对于 PKI 中使用的非对称密钥加密的安全性是不可或缺的。如果证书颁发机构 (CA) 的根密钥遭到破坏,金融交易、业务流程和复杂访问控制系统的可信度就会受到不利影响。
因此,在 PKI 环境中——尤其是业务流程、金融交易或访问控制不可或缺的环境——必须通过专用安全设备——硬件安全模块 (HSM) 以最高级别的安全保护私钥。Thales通过市场领先的Thales Luna HSM 在本地提供这些解决方案,并通过其突破性的Thales按需数据保护(一种基于云的 HSM)作为云服务。
组织部署 Thales 的 HSM(Luna HSM、ProtectServer HSM),它与主机 CA 服务器一起工作,为 CA 的根密钥或从属 CA 的私钥提供安全的硬件存储位置。它在操作系统软件之外单独管理和存储,从而防止盗窃、篡改和访问密钥材料。
FIPS 140-2 验证
硬件安全的密钥生成、存储和备份
硬件安全数字签名
PKI 认证的软件更新
独立于主机的两因素身份验证
强制执行的操作角色
在页面下方留言或直接联系揽阁信息,我们会为您提供更为专业的资料和定制化的解决方案。
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
数据库访问控制:揽阁LGPAC系统
通用HSM:Luna HSM、ProtectServer HSM
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!