1976年,美国学者Diffie和Hellman为解决信息公开传送和密钥管理问题,提出一种新的密钥交换协议,允许在不安全的媒体上的通讯双方交换信息,安全地达成一致的密钥,这就是“公开密钥系统”。相对于“对称加密算法”这种方法也叫做“非对称加密算法”。
与对称加密算法不同之处在于,非对称加密算法需要两个密钥:公开密钥(public key)和私有密钥(private key)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。
如前所述,数字证书包含公钥、私钥对,只有公钥与私钥之间互相配合才能完成数据加密和数字签名的操作。以下是工作原理图:
主要实现过程如下:
(1)A、B均为证书拥有者,即双方都有自己的私钥,和公开给他人使用的公钥;
(2)A将自己的原文采用单向Hash函数算出一个128位的原文数字摘要,然后采用自己的私钥对该摘要进行签名;
(3)签名与原文作为一个整体,用B的公钥进行加密,形成密文并发送给B;
(4)B接到密文后,用B的私钥来解密,最终得到原文以及A当初签过名的原文数字摘要;
(5)为了判断该文件是否真的是由A发送的,B再采用A的公钥对原文进行如步骤(2)一样的数字摘要计算,计算出来的值和步骤(4)中解密出来的数字摘要进行比对,只要两者相同,即可认为是A发送的了。
由于B收到的资料含有A用私钥处理过的文件,A无法否认传送的事实,同时CA具有举证的义务,当信息交互纠纷发生时,其必须提供相关证据资料,以协助仲裁单位处理纠纷。如此一来,也就达到了信息交互时所需的保密性、身份可认证性、信息完整性、操作的不可否认性四大需求。
联系客服