數位憑證
驗證對於保護通訊很重要。 使用者必須能將其識別身分提供給與其通訊的人員,並且必須能驗證他人的識別身分。 因為通訊各方在通訊時並沒有實際接觸,所以網路上的身分識別驗證相當複雜。 不懷好意的人可藉此截取訊息,或是假裝他人或實體。 必須解決方法,以維護通訊程式內的必要信任層級。
數位憑證是常見的認證,可提供驗證身分識別的方法。 本節提供憑證如何提供安全通訊的概觀,以及如何使用 CryptoAPI 來使用和管理這些憑證。
憑證是一組可識別實體的資料。 信任的組織會將憑證指派給個人或將公開金鑰與個人建立關聯的實體。 簽發憑證的個人或實體稱為該憑證的主體。 發行憑證的信任組織是憑證授權單位 單位 (CA) ,稱為憑證的簽發者。 信任的 CA 只會在驗證憑證主體的身分識別之後發出憑證。
憑證會使用密碼編譯技術來解決這些通訊之間缺少實體接觸的問題。 使用這些技術可限制非道德人士攔截、改變或偽造訊息的可能性。 這些密碼編譯技術會使憑證難以修改。 因此,實體很難模擬其他人。
憑證中的資料包含來自憑證主體 公開/私密金鑰組的公開密碼編譯金鑰。 使用寄件者私密金鑰簽署的郵件只能由訊息的收件者使用寄件者的公開金鑰來擷取。 您可以在寄件者憑證的複本上找到此金鑰。 從憑證擷取具有 公開金鑰 的簽章,可證明簽章是使用憑證主體的 私密金鑰來產生。 如果寄件者已警覺且已保留私密金鑰秘密,則接收者可以確信訊息傳送者的身分識別。
在網路上,通常有一個稱為 憑證服務器的信任應用程式。 在安全電腦上執行的 CA 會管理憑證服務器。 此應用程式可存取其所有用戶端的公開金鑰。 憑證伺服器會分配稱為憑證的訊息,每個憑證都包含其中一個用戶端使用者的公開金鑰。 每個憑證都會使用 CA 的私密金鑰來簽署。 因此,這類憑證的接收者可以驗證指定的 CA 是否已傳送它。
數位憑證也包含延伸模組和擴充屬性,可提供憑證主體的其他資訊,例如主體的電子郵件地址,以及憑證主體可執行檔活動。