公钥基础设施

公钥基础设施（PKI）是一种安全框架，它负责颁发和管理数字证书，从而在数字网络中建立信任。它通过验证身份、保护数据以及防止未经授权的访问，来确保通信的安全性。

• 为用户、设备和系统提供独特的数字身份。
• 使用公钥和私钥对来确保通信的安全性。
• 通过验证密钥的所有权，从而防止中间人攻击。
• 确保数据的保密性、完整性和真实性。

在加密系统中管理密钥

密码系统的安全性取决于强大的密钥管理机制。

关键管理的重点领域

• 对加密密钥的可靠管理
• 管理整个密钥的生命周期（生成→存储→轮换→过期→销毁）
• 保护私钥，确保公钥的安全

公钥职责

• 私钥的保密性：必须得到保护，且只能由所有者访问。
• 公钥验证：必须对公钥进行验证，这样攻击者就无法替换它了。
• PKI通过证书来确保公钥的验证过程能够顺利进行。

公钥基础设施的组成部分

• 数字证书（X.509）：包含身份信息以及公钥。
• 私钥令牌：用于存储私钥的安全存储空间
• 注册机构：验证用户的身份
• 认证机构：证书存在的问题和迹象
• 证书管理系统（CMS）：负责存储和撤销相关操作

正在处理PKI相关的工作

让我们逐步了解PKI的工作原理。

PKI与加密技术

• PKI解决了以下问题：
  我们如何确定一把公钥确实属于正确的那个人呢？
• 它通过颁发经过验证的数字证书来防止中间人攻击。

2. 数字证书（X.509）

• 能够唯一地识别人员、服务员或设备。
• 存储用户的公钥以及身份信息。
• 由认证机构签署
• 已通过CA的公钥进行验证

认证机构的作用

数字证书被颁发给个人和电子系统，用于在数字世界中唯一地识别它们。

CA的功能/作用

• 生成密钥对。
• 在身份验证完成后，即可颁发数字证书。
• 对证书进行数字签名
• 在目录中发布证书
• 在身份验证过程中验证证书的有效性。
• 如果证书受到威胁或存在安全漏洞，则将其撤销。

数字证书的类别

数字证书可以分为四大类。它们分别是：

• 第1类：只需提供电子邮件地址即可获取这些资源。
• 第二类：这类信息需要更多的个人资料。
• 第3类：首先，需要验证提出请求的人是否为合法身份者。
• 第4类：它们被各种组织和政府所使用。

证书的创建过程

证书的创建过程如下：

• 私钥和公钥被创建出来了。
• CA请求获取私有密钥所有者的身份信息。
• 公钥及其相关属性会被编码成一种名为“Certificate Signing Request”的文件。
• 主要所有者签署该文件，以证明自己拥有私钥。
• 在验证完成后，CA会签署该证书。