2. 程式人生 > >數字簽名和數字證書的學習總結

數字簽名和數字證書的學習總結

阿新 發佈:2019-02-10

本文主要是對網上資源的一些列舉和總結,主要涉及的內容有以下幾點:

  • 非對稱加密,對稱加密,摘要演算法
  • 數字簽名
  • 數字證書
  • SSL/TLS
  • iOS中的證書以及簽名過程

非對稱加密,對稱加密,摘要演算法

非對稱加密
  • 需要一對公鑰和私鑰,對於一個私鑰,只有一個對應的公鑰
  • 公鑰可以公開,但是通過公鑰幾乎不可能推算出私鑰
  • 通過公鑰加密的內容只有私鑰才可以解密,反之,通過私鑰加密的內容,也只有公鑰才可以解密
  • 缺點:加密速度慢,效率低
對稱加密
  • 雙方使用同一個金鑰進行加密和解密
  • 加密速度快,加密效率高

主要演算法有:DES演算法

摘要演算法
  • 具有不可逆性,也就是通過加密後的內容無法知道原文(否則能量不守恆~~)
  • 不同的原文加密後的內容肯定不同

主要演算法有:MD5,SHA1,SHA256

題外話,Google在2017年2月23日宣佈攻破SHA-1加密技術,具體可參考Google震驚密碼界:攻破SHA-1加密技術, 但是也是非常費電費時的,不過保險起見,還是使用SHA256等更加不容易破解的加密方法。

數字簽名和數字證書

關於數字簽名和數字證書,阮一峰老師的這篇文章描寫的非常清晰。 我自己有如下一些認知:

數字簽名就相當於是用自己的私鑰對釋出的內容進行加密後得到的密文(此處一般為了提高效率,一般會先對原文進行摘要加密,然後在對密文進行簽名)

數字證書是為了解決客戶端的公鑰有可能被篡改,從而偽造中間人的問題。通過第三方CA認證機構簽發證書,從而保證證書中的釋出者的公鑰是正確的。 數字證書會包含以下內容:

  • 申請者的資訊
  • 申請者的公鑰(很重要的資訊)
  • 使用證書發行方(CA機構)的私鑰對整個證書資訊進行加密後的簽名(這個簽名主要就是用來驗證證書的內容是否被人篡改)
  • 其他資訊,比如證書有效期,CA機構的公鑰等等

SSL/TLS

  • 生成對話金鑰一共需要三個隨機數,其中兩個是客戶端生成,一個是伺服器生成,前兩個隨機數都是明文傳遞,只有第三個隨機數是加密傳遞
  • 整個握手階段都不加密(也沒法加密),都是明文的
  • 握手階段結束之後整個通話使用 對話金鑰 進行對稱加密
  • 公鑰私鑰(非對稱加密)只用於加密解密 Premaster secret (第三個隨機數),從而生成 對話金鑰
  • 伺服器的公鑰存放在伺服器的數字證書中

iOS中籤名,證書總結

關於iOS簽名相關的內容,漫談iOS程式的證書和簽名機制中的圖和描述很好,可供參考。 以下是我的一些總結內容。

(一)蘋果生成證書具體是幹了什麼?
  1. 開發者在本地做成CertificateSigningRequest檔案,其實就是生成公鑰私鑰,私鑰儲存在本地,公鑰會在csr檔案中,用於上傳。
  2. 開發者通過apple develop網站上傳csr檔案,生成證書。生成證書的過程其實就是蘋果對開發者的資訊(包括基本資訊,公鑰資訊)進行雜湊加密,然後使用自己的WWDR私鑰對雜湊加密的結果再次進行加密形成簽名,同時將基本資訊明文和簽名結果一併合成到證書中。
(二)蘋果系統如何驗證證書?
  1. 系統會拿到證書中的明文資訊,然後進行雜湊加密,得到雜湊結果A
  2. 系統使用WWDR公鑰對證書中的簽名信息進行解密,得到摘要資訊B
  3. 如果A和B相同的話,那麼說明證書沒有被篡改,從而可以拿出證書中的開發者的公鑰,用於驗證程式碼簽名
(三)程式碼簽名在幹什麼?

程式碼簽名就是使用開發者的私鑰對程式碼中的每個檔案進行簽名,然後把簽名的結果放到一個檔案中_CodeSignature/CodeResources

(四)iOS系統如何驗證程式包?
  1. 首先iOS會先提取出app包中的描述檔案(mobileprovision檔案),該檔案是通過apple develop網站生成下載的。
  2. 確認描述檔案沒有被篡改過(方法同上面的(二))
  3. 如果描述檔案正常,那麼拿出描述檔案中的證書資訊,從證書中可以拿到開發者的公鑰
  4. 使用開發者的公鑰對_CodeSignature/CodeResources中的簽名進行解密,同時對指定的檔案進行摘要加密,比對雙方的結果

參考連結部落格中提出的一些命令總結

列出系統中可用於簽名的有效證書:

security find-identity -v -p codesigning

檢視蘋果生成的證書中具體有哪些內容:

openssl x509 -inform der -in ios_development.cer -noout -text

檢視CertificateSigningRequest檔案中有啥內容:

openssl asn1parse -i -in CertificateSigningRequest.certSigningRequest

檢視描述檔案內容:

security cms -D -i embedded.mobileprovision

將描述檔案中的DeveloperCertificates中的證書單獨copy到一個檔案中,組織成如下格式後,

# 這裡要注意每行是64個字元,然後要有換行
-----BEGIN CERTIFICATE-----
MIIFnjCCBIagAwIBAgIIE/IgVItTuH4wDQYJKoZIhvcNAQEFBQAwgZYxCzA…
-----END CERTIFICATE-----

可通過命令檢視:

openssl x509 -text -in file.pem

列出一些有關 Example.app 的簽名信息:

codesign -vv -d Example.app

驗證簽名是否完好:

codesign --verify Example.app

參考連結

(The End)

相關推薦

數字簽名數字證書學習總結

本文主要是對網上資源的一些列舉和總結,主要涉及的內容有以下幾點: 非對稱加密,對稱加密,摘要演算法數字簽名數字證書SSL/TLSiOS中的證書以及簽名過程 非對稱加密,對稱加密,摘要演算法 非對稱加密 需要一對公鑰和私鑰,對於一個私鑰,只有一個對應的公鑰公鑰可以公開,

加密、數字簽名數字證書

對稱加密 非對稱加密 數字簽名 數字證書加密、數字簽名和數字證書 1 對稱加密對稱加密算法中,加密和解密使用的是同一個秘鑰,所以秘鑰的保護是非常重要的,對稱加密和解密過程如下圖:對稱算法加密過程對稱算法解密過程盡管對稱秘鑰能夠滿足對內容的加密了,但是對稱算法還是存在以下兩個問題的。1、秘鑰泄密風險

簽名證書數字簽名數字信封

簽名證書 作為檔案形式存在的證書一般有這幾種格式:   1.帶有私鑰的證書    由Public Key Cryptography Standards #12,PKCS#12標準定義,包含了公鑰和私鑰的二進位制格式的證書形式,以pfx作為證書檔案字尾名。   2.二進

深入理解加密、解密、數字簽名數字證書

)逐步在國內外得到廣泛應用。我們是否真的需要 PKI , PKI 究竟有什麼用?下面通過一個案例一步步地來剖析這個問題 : 甲想將一份合同檔案通過 Internet 發給遠在國外的乙,此合同檔案對雙方非常重要,不能有絲毫差錯,而且此檔案絕對不能被其他人得知其內容。如何才能實現這個合同的安全傳送?  問題 1:

數字簽名報文摘要學習筆記

數字簽名:用於對傳送的報文進行簽名。 認證傳送方; 傳送方不可抵賴; 接收方不可編造。 主要使用公開金鑰加密系統實現,如RSA;傳送者通過私鑰加密,接收方通過公祕解密。 報文摘要:用於對傳送的報文生成一個非常小的摘要資訊。這個摘要資訊保證原報文的完整性

數字簽名數字證書是什麼

今天,我讀到一篇好文章。 它用圖片通俗易懂地解釋了,"數字簽名"(digital signature)和"數字證書"(digital certificate)到底是什麼。 我對這些問題的理解,一直是模模糊糊的,很多細節搞不清楚。讀完這篇文章後,發現思路一下子就理清了

自己生產簽名數字證書的方法

-1 eat 選擇 height window lin eclips ati img 一、原因 1、如果apk發布到網上,系統默認的簽名debug.keystore存在安全問題,所以要自己寫簽名。 二、方法 方法一:利用JDK中的keytool.exe工具 利用JD

加密,認證疑難名詞總結----RSA, 公鑰,私鑰,CA,數字簽名數字證書

成功 digital 出現 直觀 證明 col 文件簽名 nat blog 在網絡和操作系統安全通信中經常涉及到這幾個名詞: RSA, 公鑰,私鑰,CA,數字簽名,數字證書。我找了很多資料,很少有把疑難點講全面的。但不講清楚這幾個,很難有一個清晰的認識和理解。我現在也嘗試這

什麼是數字簽名證書

什麼是數字簽名和證書?  趁風捲 關注 2016.09.18 15:50* 字數 1861 閱讀 10630評論 3喜歡 27 公鑰密碼系統是本文的理解基礎。 本文不對公鑰密碼系統做過多描述。若對公鑰密碼不熟悉,可以參考閱讀維基百科-公開金鑰加密

通俗理解數字簽名數字證書https

前言 最近在開發關於PDF合同文件電子簽章的功能,大概意思就是在一份PDF合同上簽名,蓋章,使其具有法律效應。簽章有法律效應必須滿足兩個條件: 能夠證明簽名,蓋章者是誰,無法抵賴 PDF合同在簽章後不能被更改 在紙質合同中,由於簽名字跡的不可複製性,蓋章的唯一性以及紙質合

對稱加密非對稱加密、數字簽名數字證書的區別

之前在面試的時候被問到了HTTPS,SSL這樣的知識點,也沒答上來,這裡也簡單整理一下。 首先還是來解釋一下基礎的東東: 對稱加密: 加密和解密都是用同一個金鑰 非對稱加密: 加密用公開的金鑰,解密用私鑰 (私鑰只有自己知道

安全有關的那些事(非對稱加密、數字摘要、數字簽名數字證書、SSL、HTTPS及其他)

本文原文連線:http://blog.csdn.net/bluishglc/article/details/7585965 對於一般的開發人員來說,很少需要對安全領域內的基礎技術進行深入的研究,但是鑑於日常系統開發中遇到的各種安全相關的問題,熟悉和了解這些安全技術的基本原理和使用場景還是非常必要的。本文將對

安全有關的那些事(非對稱加密、數字摘要、數字簽名數字證書、SSL、HTTPS)

對於一般的開發人員來說,很少需要對安全領域內的基礎技術進行深入的研究,但是鑑於日常系統開發中遇到的各種安全相關的問題,熟悉和了解這些安全技術的基本原理和使用場景還是非常必要的。本文將對非對稱加密、數字摘要、數字簽名、數字證書、SSL、HTTPS等這些安全領域內的技術進行一番

【上】安全HTTPS-全面詳解對稱加密,非對稱加密,數字簽名數字證書HTTPS

此文章轉載來源於http://blog.csdn.net/tenfyguo/article/details/40922813點選開啟連結 一,對稱加密 所謂對稱加密,就是它們在編碼時使用的金鑰e和解碼時一樣d(e=d),我們就將其統稱為金鑰k。 對稱加解密的過

【下】安全HTTPS-全面詳解對稱加密,非對稱加密,數字簽名數字證書HTTPS

此文章轉載來源於http://blog.csdn.net/tenfyguo/article/details/40958727點選開啟連結 1.  HTTPS 1.1. 什麼是HTTPS HTTPS(HypertextTransfer Protocol Secur

Exchange企業實戰技巧:郵件中使用數字簽名郵件加密功能

clip 節點 模式 chan 打開 ont 發送 菜單欄 電子郵件 SMTP最初是為了在封閉的網絡中傳送相對來說不太重要的簡短郵件,因此SMTP傳輸郵件時,安全性不高。自從安全、多用途INTERNET郵件擴展(S/MIME)成為增強SMTP電子郵件安全功能的標準,使得實現

數字簽名數字證書,CA認證等概念理解

ca 認證 https openssl 本文將介紹數字簽名,數字證書以及CA相關知識。 加密相關知識可見我的上一篇博文:http://watchmen.blog.51cto.com/6091957/1923426本文參考文獻引用鏈接:1、https://www.zhihu.com

數字簽名驗簽的詳細過程

簽名 post 對比 摘要算法 -- 數字信封 div body blog 將原文進行哈希計算 1)A-----------------------------------------------------------------------

數字簽名數字證書

  轉自   http://www.ruanyifeng.com/blog/2011/08/what_is_a_digital_signature.html   如有侵權 請聯絡我 聯絡方式個人資料 數字簽名是什麼?

公鑰密碼學_數字簽名訊息認證的區別

在公鑰密碼學不足的問題在於怎麼讓接收方確定訊息的傳送者是誰,以及傳送的訊息是否被攻擊者篡改過,解決這兩個問題就可以讓公鑰加密變得完善   訊息認證 訊息認證就是確定接收者接收到的訊息是否真實,例如有沒有被改動過啊,訊息認證又叫完整性校驗,在我們通訊OSI安全模型中稱