私钥、证书、USBKey

关于私钥的唯一性严格地讲，私钥既然是世上唯一且只由主体本身持有，它就必须由主体的计算机程序来生成。因为如果在别处生成将会有被拷贝的机会。然而在实际应用上并非如此，出于某些特殊需要(例如，如果只有一份私钥，单位的加密文件就会因为离职员工带走私钥而无法解密。)加密用的公/私钥对会要求在可信的第三方储存其备份。这样，加密用的私钥可能并不唯一。然而签名用的私钥则必须保持唯一，否则就无法保证被签名信息的不可否认性。在生成用户的密钥对时，用于加密的公/私钥对可以由CA、 RA产生，也可以在用户终端的机器上用专用的程序一、关于私钥的唯一性严格地讲，私钥既然是世上唯一且只由主体本身持有，它就必须由主体的计算机程序来生成。因为如果在别处生成将会有被拷贝的机会。然而在实际应用上并非如此，出于某些特殊需要(例如，如果只有一份私钥，单位的加密文件就会因为离职员工带走私钥而无法解密。)加密用的公/私钥对会要求在可信的第三方储存其备份。这样，加密用的私钥可能并不唯一。然而签名用的私钥则必须保持唯一，否则就无法保证被签名信息的不可否认性。在生成用户的密钥对时，用于加密的公/私钥对可以由CA、 RA产生，也可以在用户终端的机器上用专用的程序(如浏览器程序或认证软件)来产生。用于数字签名的密钥对原则上只能由用户终端的程序自行产生，才能保证私钥信息的私密性以及通信信息的不可否认性。我们常常听到有人说：保管好你的软盘，保管好你的 KEY，不要让别人盗用你的证书。有些教科书上也这样讲。应该说，这句话是有毛病的。数字证书可以在网上公开，并不怕别人盗用和篡改。因为证书的盗用者在没有掌握相应的私钥的情况下，盗用别人的证书既不能完成加密通信，又不能实现数字签名，没有任何实际用处。而且，由于有CA对证书内容进行了数字签名，在网上公开的证书也不怕黑客篡改。我们说，更该得到保护的是储存在介质中的私钥。如果黑客同时盗走了证书和私钥，危险就会降临。不同的存储介质，安全性是不同的。如果证书和私钥储存在计算机的硬盘里，计算机一旦受到黑客攻击，(例如被埋置了木马程序)证书和私钥就可能被盗用。使用软盘或存储型 IC卡来保存证书和私钥，安全性要比硬盘好一些，因为这两种介质仅仅在使用时才与电脑相连，用完后即被拔下，证书和私钥被窃取的可能性有所降低。但是黑客还是有机会，由于软盘和存储型 IC卡不具备计算能力，在进行加密运算时，用户的私钥必须被调出软盘或 IC卡进入外部的电脑，在这个过程中就会造成一定的安全隐患。产生公私密钥对的程序(指令集)是智能卡生产者烧制在芯片中的 ROM中的，密码算法程序也是烧制在 ROM中。公私密钥对在智能卡中生成后，公钥可以导出到卡外，而私钥则存储于芯片中的密钥区，不允许外部访问。 USB Key和智能卡除了I/O物理接口不一样以外，内部结构和技术是完全一样的，其安全性也一样。只不过智能卡需要通过读卡器接到电脑的串行接口上，而 USB Key通过电脑的通用串行总线( USB)接口直接与电脑相接。另外，USB接口的通信速度要远远高于串行接口的通信速度。现在出品的电脑已经把USB接口作为标准配置，而使用智能卡则需要加配读卡器。出于以上原因，各家CA都把USB Key作为首选的证书和私钥存储介质而加以推广。为了防止USB key 不慎丢失而可能被他人盗用，不少证书应用系统在使用过程中还设置了口令认证机制。如口令输入得不对，即使掌握了USB key，也不能登录进入应用系统。(如浏览器程序或认证软件)来产生。用于数字签名的密钥对原则上只能由用户终端的程序自行产生，才能保证私钥信息的私密性以及通信信息的不可否认性。我们常常听到有人说：保管好你的软盘，保管好你的 KEY，不要让别人盗用你的证书。有些教科书上也这样讲。应该说，这句话是有毛病的。数字证书可以在网上公开，并不怕别人盗用和篡改。因为证书的盗用者在没有掌握相应的私钥的情况下，盗用别人的证书既不能完成加密通信，又不能实现数字签名，没有任何实际用处。而且，由于有CA对证书内容进行了数字签名，在网上公开的证书也不怕黑客篡改。我们说，更该得到保护的是储存在介质中的私钥。如果黑客同时盗走了证书和私钥，危险就会降临。不同的存储介质，安全性是不同的。如果证书和私钥储存在计算机的硬盘里，计算机一旦受到黑客攻击，(例如被埋置了木马程序)证书和私钥就可能被盗用。使用软盘或存储型 IC卡来保存证书和私钥，安全性要比硬盘好一些，因为这两种介质仅仅在使用时才与电脑相连，用完后即被拔下，证书和私钥被窃取的可能性有所降低。但是黑客还是有机会，由于软盘和存储型 IC卡不具备计算能力，在进行加密运算时，用户的私钥必须被调出软盘或 IC卡进入外部的电脑，在这个过程中就会造成一定的安全隐患。产生公私密钥对的程序(指令集)是智能卡生产者烧制在芯片中的 ROM中的，密码算法程序也是烧制在 ROM中。公私密钥对在智能卡中生成后，公钥可以导出到卡外，而私钥则存储于芯片中的密钥区，不允许外部访问。 USB Key和智能卡除了I/O物理接口不一样以外，内部结构和技术是完全一样的，其安全性也一样。只不过智能卡需要通过读卡器接到电脑的串行接口上，而 USB Key通过电脑的通用串行总线( USB)接口直接与电脑相接。另外，USB接口的通信速度要远远高于串行接口的通信速度。现在出品的电脑已经把USB接口作为标准配置，而使用智能卡则需要加配读卡器。出于以上原因，各家CA都把USB Key作为首选的证书和私钥存储介质而加以推广。为了防止USB key 不慎丢失而可能被他人盗用，不少证书应用系统在使用过程中还设置了口令认证机制。如口令输入得不对，即使掌握了USB key，也不能登录进入应用系统。

私钥、证书、USBKey相关推荐

如何制作pem公钥证书和私钥证书
1.先下载openssl 下载地址 https://pan.baidu.com/s/1kUK1MJX 2.下载之后保存在某个盘里(例如在F:/cer/openssl) 3.打开windows的 c ...
ios私钥证书和描述文件.mobileprovision的生成方法
苹果官方提供的创建私钥证书的方法需要使用mac电脑,但我们很多人没有mac电脑,这样我们就需要使用第三方工具来申请ios证书. 在这里我推荐使用香蕉云编这个在线工具: https://www.yune ...
IOS证书获取（证书profile文件，p12私钥证书，证书私钥密码，Bundle ID）
当我们在开发一个应用APP时需要真机测试,或者上架到对应的应用市场,这时就需要 App打包(打包流程),那么打包时就需要Bundle ID.证书私钥密码.证书profile文件.私钥证书. 申请这些资 ...
自己制作cer/pfx公钥私钥证书和导出CFCA申请证书
1. Windows安装方法 OpenSSL官网没有提供windows版本的安装包,可以选择其他开源平台提供的工具.例如 http://slproweb.com/products/Win32OpenS ...
OpenSSL公私钥证书哪些事儿
OpenSSL 教程 2022-07-30 09:41:34 sizaif 基础知识 .crt .pem .key PEM - Privacy Enhanced Mail 以"-----BE ...
公钥私钥证书与https
公钥私钥非对称加密: 在一个过程中使用两个密钥,公共密钥用于加密信息,私用密钥用于解译加密的信息.这种加密方法称为非对称加密,也称为公钥加密,因为其中一个密钥是公开的(另一个私钥则需要自己保密). ...
.net core 使用RSA获取私钥证书并签名
以前我们使用RSA加密主要是使用RSACryptoServiceProvider这个类,在.NET Core中也有这个类,但是这个类并不支持跨平台,所以如果你是用这个类来进行加/解密在windows上 ...
USBKey数字证书导入操作系统
USBKey是一种USB接口的硬件设备.如坚石诚信的ET199Auto,内置16位国外进口高性能智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USBKey内置的RSA公私钥算法实现 ...
CSP应用开发-将USBkey中的证书注册到Windows系统
本文转自和讯博客坚实诚金 http://zyf860825.blog.hexun.com/61812512_d.html USBKey是一种USB接口的硬件设备.如坚石诚信的ET199Auto,内置1 ...
如何将USBKey中的证书注册到Windows系统中、分享一个证书 C++安装
USBKey 是一种 USB 接口的硬件设备.如坚石诚信的 ET199Auto ,内置 16 位国外进口高性能智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用 USBKey内置的RS ...

私钥、证书、USBKey

私钥、证书、USBKey相关推荐

最新文章

热门文章