CA证书合法性验证
https連接建立
加密的三種方式
1.對稱加密:一把密鑰,密鑰加密,密鑰解密
2.非對稱加密:兩把密鑰,一把加密,另一把解密。公開的那個叫公鑰,自己留的叫私鑰
3.hash加密:通過一種算法,把大量信息壓縮映射成唯一的短字符,且通過這段字符不能反解出該大量信息
三個角色
未建立前分別都有什么信息
1.client:CA機構的公鑰A,內(nèi)置在系統(tǒng)中
2.server: 從CA機構申請的證書,和該證書對應得私鑰B
3.CA機構:產(chǎn)生證書
CA證書有什么信息
1.文件包(公鑰B,hash算法,用途,頒發(fā)者,有效時間等)
2.把文件包進行hash加密,得到短字符,然后CA機構用私鑰A進行加密得到的——數(shù)字簽名/指紋
驗證流程
使用了兩次非對稱加密解密
1.1、CA機構使用它的私鑰A對CA證書的文件包hash短字符進行加密的簽名
1.2、client使用寫入到系統(tǒng)的公鑰A對簽名解密,得到短字符
2.1、client用從server端請求得來的公鑰D對自己生成的字符串進行加密,發(fā)送給server
2.2、server用其私鑰B對加密字符串解密,獲取字符串
client驗證CA證書合法性:排除中間人攻擊
1.利用公鑰A對證書里的簽名解密,得短字符
2.利用hash算法對證書里的文件包進行加密,獲取短字符
兩者比較,不同就是文件包被篡改了,或者簽名不是CA機構私鑰A加密過的。
總結
- 上一篇: 使用tcpdump找出PP用户
- 下一篇: informix GBase锁表处理 |