證書頒發機構如何頒發數字證書?
我是密碼學的新手,我想知道證書頒發機構如何頒發數字證書的詳細資訊。
據我所知(如果我的解釋有任何錯誤,請糾正我):
如果 Alice 想要申請數字證書,Alice 會將她的公鑰發送給證書頒發機構。
證書頒發機構隨後將檢查 Alice 發送的公鑰是否合法,並使用證書頒發機構的私鑰對 Alice 的公鑰進行簽名生成數字證書。
現在,如果 Bob 想和 Alice 通信,Bob 會得到 Alice 的數字證書來確認 Alice 的身份。如果 Bob 確認接收者確實是 Alice,那麼他將使用 Alice 的數字簽名公鑰加密他的消息,而 Alice 將使用她的私鑰解密消息。
我想到了三個問題:
- Alice 是否只發送她的公鑰來向證書頒發機構請求證書?
- 證書頒發機構如何證明公鑰是
合法的並且屬於 Alice,因為證書頒發機構也不認識 Alice?
- 證書頒發機構在向個人頒發數字證書之前會檢查哪些內容?
好問題。我分幾個部分來回答。
Alice 發送哪些密鑰?
Alice 可能想做兩種加密操作:加密/解密和簽名/驗證。您可以為兩者使用相同的密鑰對,也可以擁有兩對單獨的密鑰。
1個密鑰對方法:
在這裡,Alice 將簽署傳出消息,並使用相同的私鑰解密傳入消息。Bob 將驗證她傳出消息的簽名,並使用相同的公鑰為她加密消息。
2 密鑰對方法:
在這裡,Alice 會有一個
(signing_private_key, validation_public_key)
密鑰對和一個單獨的(decryption_private_key, encryption_public_key)
密鑰對。在這兩種情況下,她只將 發送
public keys
到證書頒發機構 (CA) 以製成證書。這些private keys
是私人的,她從不分享它們,它們永遠不會離開她的機器,它們永遠不會成為證書。證書頒發機構 (CA) 如何信任 Alice?
不同的組織使用多種信任模型。許多大公司/政府部門為內部電子郵件、文件儲存等運營自己的 CA。在這些情況下,當有人被雇用時,他們會獲得數字證書以及他們的身份證、停車證等。我們相信 Alice 就是她聲稱的那個人是因為她正坐在簽發身份證的保安員面前。
對於像 SSL 這樣的 Web 證書,建立信任稍微複雜一些。CA/瀏覽器論壇為 CA 提供了有關如何驗證申請人身份的指南。這是一長串指南。大多數 CA 提供的常見形式是域驗證 (DV)和擴展驗證 (EV) SSL 證書。
域驗證 (DV) 證書
這基本上要求您提供電子郵件地址和人名以及您想要證書的網路域。它會
whois
在域上進行查找,以確保您提供的名稱和電子郵件與域的註冊資訊相匹配。此外,他們可以向電子郵件地址發送確認資訊,以確保您對其進行控制。DV 證書可以完全自動化,事實上,“2014 年 11 月 18 日,包括 Electronic Frontier Foundation、Mozilla、Cisco 和 Akamai 在內的一組公司和非營利組織宣布了“ Let’s Encrypt ”,一個新的非營利證書頒發機構計劃提供免費的 TLS 證書”(維基百科)。擴展驗證 (EV)
CA/瀏覽器論壇指定了頒發 EV 證書的標準,這些都需要一個人參與,並且與對申請組織的身份研究的嚴格程度有關。CA 和申請人之間的電話是一項基本要求。通常會簽署文件,甚至可能需要在 CA 頒發 EV 證書之前進行面對面的會議。執行的驗證級別將包含在證書中,以提高其公共可信度,因此頒發 CA 對更高質量的 EV 證書收取更多費用。
許多發行人還提供不屬於 DV 或 EV 類別的 SSL 證書的變體。例如,GlobalSign 還提供組織驗證 (OV)作為中間類別。Entrust 提供多種不同類型的證書,具體取決於申請人使用的網路結構和軟體系統。