3月 27, 2011

認證機構(CA) / X.509

公開金鑰基礎建設
指發行用於公開金鑰密碼系統之公鑰(public key)及其憑證(certificate)系統稱之,包含確認(certification)與驗證(validation)。

確認是指將一個公鑰值與個體/組織身分(entity/organization identity)或個體相關資訊等繫連一起成為一個憑證,並公開該憑證。

驗證是指驗證一個憑證是否有效,因此,公開金鑰基礎建設是一個發行與提供公鑰憑證之存取的憑證管理基礎建設(certificate management infrastructure)

公開金鑰基礎建設基本參與角色:
1. 註冊機構(RA):執行使用者或CAs註冊程式的機構
2. 憑證機構(CA):PKI架構最底層部分,負責產生發行憑證,並提供憑證驗證
3. 目錄服務(Directory Service, DS):負責維護憑證資料庫

註冊機構之功能職掌
1. 要求CA產生使用者憑證
2. 公鑰是否唯一對應至其所持有的私鑰
3. 維護憑證擁有者的電話號碼、職務及通訊地址

憑證機構之功能職掌
1. 簽署及驗證數位簽章
2. 維護已發行憑證的記錄

註冊管理(Registration Authority, RA)

RA 指前端註冊管理中心(Registration Authority),負責執行憑證申請、廢止及資料審核等作業,透過資料庫比對、臨櫃或書面資料審核等方式進行身分認證,以核發憑證。

RA註冊中心主要任務:其中RA Server主要任務為轉送憑證申請訊息給CA、
轉送憑證註銷訊息給CA、憑證到期通知發送。

認證機構(Certificate Authority, CA)

1. 負責數位憑證(Digital Certificates)的產生、簽發、廢止的過程,它扮演著一個可被信賴的公正第三者。

2. 認證的目的是使某一方能夠確認經認證一方的身分,並獲得經認證一方公鑰。

3. 認證的流程是先由個人或公司自行產生一組具有唯一配對關係的密鑰(公鑰及私鑰)並將公鑰及相關的身分證明文件交由公正的認證機構認證。

4. 認證機構會先核對申請者的身份,及其公鑰是否正確,經驗證無誤後,認證機構將申請者的身份資料、公鑰資訊做成數位憑證,再利用「認證機構私鑰」將其加密 (此舉表示 CA 放上自己的簽章,作為擔保),就是完整的數位憑證。
[申請者 pub key ] +
+-> CA 認證 --> CA審可, 拿私key 簽--> 數位憑證
[申請者 身份文件] + (例 VeriSign)
X.509 憑證格式(包含) ... 有包含申請者的 public key

1. 版本 X.509 ver 3
2. 序號 用戶的識別號
3. 演算法 計算此憑證的簽章法
4. 發行者 核發此憑證的單位 (憑證中心)
5. public key 申請人的公鑰
6. 有效期限 憑證的有效期限
7. 數位簽章 由憑證中心簽署,以示認證過了

Smart Card 智慧卡 (自然人憑證卡) 存了什麼?

1. 個人的 private key 私鑰、數位憑證

2. 為了安全起見 private key 會以對稱金鑰(Symmetric key) 加密保護當用戶需要進行簽章作業時,要先把 private key 解出來,再進行簽章。

3. 當接收者收到 簽章、憑證後,可以從憑證中取出 public key ,針對簽章進行解密動作就可以驗證此份文件,是由發件者所簽署。

沒有留言:

張貼留言