brent's hut

菜鸟学习数字什么证书

菜鸟我觉得数字证书就是有人管理的数字签名
数字证书就类似于手写的签章,虽然你认识这个签章,但你无法模仿这个签章。

比如我可以根据RSA的方法找到一对公钥和私钥,然后告诉每个我的朋友或者商业伙伴这个公钥。这样我就可以发送用私钥签名的信息给他们,他们也可以用我的公钥加密信息后发送给我。(这就是数字签名了)

但是我怎么告诉我的朋友或者商业伙伴我的公钥?用internet告诉他们?别忘了上网就像裸奔,别人也可以找到另一对公钥私钥,以你的身份通过Internae把公钥发送给你的朋友(你认为没有这个可能?因为电子邮箱是需要身份认证的?你的密码不可能泄露,电脑上一定没有木马,黑客伪装不了你的电子邮件,更窃听不了你发送的数据包,竞争对手不会窃取你的商业秘密,没有人试图知道你的银行帐号,FBI更不知道你发表了什么言论。恩,那数字证书确实没什么用)。那么一个个打电话告诉他们,或者发送一堆挂号信?这样看起来不大现实。

所以有了数字证书。数字证书就是数字认证机构(CA)颁发给我的签名,由数字认证机构来证明这个证书的有效性。假如有了某个机构的数字证书,我就可以向所有人发送用这个数字证书签名过的信息。信息的接收者只要验证这个认证机构的签名就可以了。

但这样还是不现实,谁会拿着我的电子邮件跑去找厦门数字认证中心或者北京数字认证中心呢?所以这些机构的数字证书上也有更上层的签名,那就是根证书。打开IE-工具-Internet选项-内容-证书.你就可以看到一堆的受信任的根证书和中级证书机构颁发的证书.根证书给中级机构的证书签名,中级机构的证书给我的证书签名.所以只要根证书是可信的.我的证书就是可信的.

通俗一点就是说比如安南公布了自己的签名,声称他是可信的。然后布什去找安南,让安南在他的签名上签名,这样布什的签名就是可信的,然后布什在我的签名上签名。这样我的签名上就有布什的签名,而布什的签名上有安南的签名,这样如果你认识安南的签名,你就知道我的签名大概不是假的。大概就是这样了。

但是也许某一天布什会认为我有搞恐怖的嫌疑,决定把我的签名扔进黑名单。这时如果你收到了一份我签名的文件,说布什有裸奔的习惯,你怎么知道我是否还是可信的呢?布什想了个办法,把他黑名单公布在白宫的墙上,并在他的签名上写下白宫地址。这样你收到我的签名后,因为我的签名里面有布什的签名,布什的签名里面有白宫地址,你就可以去白宫看看我是否上了黑名单榜。

听起来这个方式很好。。可惜找布什在我的签名上签名是要钱的,直接找安南签名要的钱更多。人吃人的社会啊。所以据说有另外一种签名的方式。但目前偶还不清楚。

试验CryptoAPI的失败:
微软提供的Microsoft Cryptographic Service Providers里的The Microsoft Base Cryptographic Provider和The Microsoft Enhanced Cryptographic Provider不支持导入导出密钥对。唯一的收获。寂寥,郁郁,挫败。

posted on 2005-12-19 09:15 brent 阅读(396) 评论(0)  编辑 收藏 引用 所属分类: Encrypt


只有注册用户登录后才能发表评论。
网站导航: 博客园   IT新闻   BlogJava   知识库   博问   管理