2024年3月20日发(作者:)

PKI工作原理

随着电子商务的迅速发展,信息安全已成为焦点问题之一,尤其

是网上支付和网络银行对信息安全的要求显得更为突出。为了能在因

特网上开展安全的电子商务活动,公开密钥基础设施

(PKI,PublicKeyInfrastructure)逐步在国内外得到广泛应用。我

们是否真的需要PKI,PKI究竟有什么用?

下面通过一个案例一步步地来剖析这个问题:甲想将一份合同文

件通过Internet发给远在国外的乙,此合同文件对双方非常重要,

不能有丝毫差错,而且此文件绝对不能被其他人得知其内容。如何才

能实现这个合同的安全发送?

问题1:最自然的想法是,甲必须对文件加密才能保证不被其他

人查看其内容,那么,到底应该用什么加密技术,才能使合同传送既

安全又快速呢?

可以采用一些成熟的对称加密算法,如DES、3DES、RC5等对文件

加密。对称加密采用了对称密码编码技术,它的特点是文件加密和解

密使用相同的密钥,即加密密钥也可以用做解密密钥,这种方法在密

码学中叫做对称加密算法,

问题2:如果黑客截获此文件,是否用同一算法就可以解密此文

件呢?

不可以,因为加密和解密均需要两个组件:加密算法和对称密钥,

加密算法需要用一个对称密钥来解密,黑客并不知道此密钥。

问题3:既然黑客不知密钥,那么乙怎样才能安全地得到其密钥

呢?用电话通知,若电话被窃听,通过Internet发此密钥给乙,可

能被黑客截获,怎么办?方法是用非对称密钥算法加密对称密钥后进

行传送。与对称加密算法不同,非对称加密算法需要两个密钥:公开

密钥(PublicKey)和私有密钥(PrivateKey)。公开密钥与私有密

钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥

才能解密;如果用私有密钥对数据进行加密,只有用对应的公开密钥

才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法

叫做非对称加密算法(公/私钥可由专门软件生成)。甲乙双方各有一

对公/私钥,公钥可在Internet上传送,私钥自己保存。这样甲就可

以用乙的公钥加密问题1中提到的对称加密算法中的对称密钥。即使

黑客截获到此密钥,也会因为黑客不知乙的私钥,而解不开对称密钥,

因此也解不开密文,只有乙才能解开密文。

问题4:既然甲可以用乙的公钥加密其对称密钥,为什么不直接

用乙的公钥加密其文件呢?这样不仅简单,而且省去了用对称加密算

法加密文件的步骤?

不可以这么做。因为非对称密码算法有两个缺点:加密速度慢,

比对称加密算法慢10~100倍,因此只可用其加密小数据(如对称密

钥),另外加密后会导致得到的密文变长。因此一般采用对称加密算

法加密其文件,然后用非对称算法加密对称算法所用到的对称密钥。

问题5:如果黑客截获到密文,同样也截获到用公钥加密的对称

密钥,由于黑客无乙的私钥,因此他解不开对称密钥,但如果他用对

称加密算法加密一份假文件,并用乙的公钥加密一份假文件的对称密