Openssl如何生成并验证公秘钥对
在没有PKI,也即Public Key Instrastructure的时候,用的是对称加密,也即双方持有同一个秘钥,用同一个秘钥进行加密和解密。
这种方式表面上看没有问题,但是仔细一想,共享的秘钥如何传给对方呢?如果从网络上传输,如果被截获了,那就惨了,有可能被仿冒。
只好使用传统的手段,打个电话,写封信,或者直接让你去柜台领取。
后来就有了公钥和私钥对,私钥放在每个人手里,不用给任何人,也不能给任何人,公钥可以放在网上,随人下载。私钥加密的,公钥可以解密,公钥加密的,私钥可以解密。
因为在秘钥之外引入了公钥,所以称为PKI。
然而一个问题是,既然公钥随处可下载,那么我怎么信任这个公钥呢?
需要有一个更加权威的机构来用它的秘钥在公钥上盖一个章,称为签名,权威机构认了,也就能够证明了。
权威机构是用自己的秘钥盖的章,怎么证明这个章没有伪造呢,需要从权威机构那里拿到他的秘钥对应的公钥,发现两个是一对,能够把章解的开,就说明章真的是这个权威机构盖得。
然而权威机构的公钥也是随处可以下载,怎么信任呢?还需要更高的权威机构在这个权
共有 0 条评论