1.什么是CA,英文全称是什么?
英文全称是 Certificate Authority,即证书认证中心。
2.什么是数字证书?
数字证书是一个经证书认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。
3.为什么要用数字证书?
由于 Internet网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险.买方和卖方都必须对于在因特网上进行的一切金融交易运作都是真实可靠的,并且要使顾客、商家和企业等交易各方都具有绝对的信心,因而因特网(Internet)电子商务系统必须保证具有十分可靠的安全保密技术,也就是说,必须保证网络安全的四大要素,即信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性。
4.如何获得您自己的数字证书?
数字证书由独立的证书发行机构发布。数字证书各不相同,每种证书可提供不同级别的可信度。可以从证书发行机构获得您自己的数字证书。
5.什么叫电子签名
电子签名是一种电子代码,这种技术基于数字证书和 PKI技术,通过电子签名,收件人便能在网上轻松验证发件人的身份和签名。它还能验证出文件的原文在传输过程中有无变动。
数字签名的产生是根据消息产生摘要,并对摘要用自身的签名私钥加密。消息和用自身签名私钥加密的数字摘要组合成数字签名。
6.如果我申请了一张个人数字证书,但我丢失证书或者系统重装以后该如何恢复原来的证书?
要恢复原来的证书,必须事先备份,如果没有备份,就只有从新申请了。
7.如果我是 Internet Explorer来申请数字证书的,在Netscape上能否使用同一张证书?
不可以。这是因为 Internet Explorer和Netscape本身是不兼容的。一张证书只能使用在一种版本内,如果您想在Netscape上使用安全E-MAIL,必须再在Netscape申请一张证书。
8.我有很多电子邮件地址,是否能够使用同一个数字证书?
不可以。一个数字证书对应一个电子邮件地址。所以,每个电子邮件地址必须有自己对应的数字证书。
9.如何获得好友的数字证书?
最简单的方法是要求对方将他的数字证书以签名邮件的方式发送过来。您也可以在 LDAP查询对方电子邮件的数字证书,下载并安装。
10.web证书是不是只能用于一个域名?
是的,一张证书与一个域名绑定。
11.网上认证是否不用实时性,定期去认证可以吗?主要目的是想不受并发量限制。
不行,这样不符合安全标准。证书作废了以后,那么离线认证带来的结果就是证书还在继续生效。
客户“想不受并发量限制”,市场人员可以找出客户真正关心的因素 (比如说价格、性能),从其他方面来引导客户。
12.如果客户端不用硬件,证书应该怎样存放,如果是纯软的是否与网上银行的证书相同?
证书存放方式有很多种,除了特殊的硬件设备存储方式以外,还可以有软盘、文件存储、注册表等存储方式,这些方式也就是所谓的“纯软”。跟网上银行的证书思路上基本差不多,但是在实现的细节可能有不同。
13.详细介绍一下B/S,C/S的区别,各自优缺点。为什么B/S易被攻击?与我们产品结合有什么不同?
B/S: Browser – Server的软件使用模式。C/S: Client – Server的软件使用模式;B/S与C/S模式对比,客户端只需要一套浏览器。优点是客户端不需要安装专门的软件,客户使用方便,开发商维护也方便。缺点是不能完成复杂的图形界面操作界面和胖客户端那种复杂的运算;反之就为C/S的有缺点。
B/S是轻量级的C/S,B/S易被攻击是因为它的协议是公开的结合完全一样。
14.数字证书类型划分的依据有哪几点?
数字证书的分类方法有多种,这里表示的是比较常用的一种分类方法。数字证书可以按照证书拥有者和不同功能分为以下几种:
认证实体的证书,即 CA证书。CA证书按功能可以分为等级证书和交叉证书两种。
终端用户的证书,按功能分可以分为加密证书、签名证书和属性证书三种。
其他证书: 这一类证书不常用,主要有时间戳证书和公正证书等。
15.别人拷贝了我的数字证书将会产生怎样的后果?
你需要别的用户获取你的数字证书(其中包含了你的公共密钥),从而使他们能使用你的数字证书验证你的身份,并解密你用自己的私人密钥加密的报文,以及验证你的数字签名。但这并不会对你的安全造成影响,因为没有你的私人密钥,数字证书将无法使用,而私人密钥是不必传送给认证中心的。
16.为什么下载了数字证书却不能加密或签名我的电子邮件?
这是因为您的数字证书下载以后没有跟你的电子邮件绑定造成的;具体的设置方法请看下面。 1) 在 Outlook Express 中,单击 工具 菜单中的 帐号 。 2) 选取邮件 选项卡中用于发送安全邮件的邮件帐号,然后单击 属性 。 3) 选取 安全 选项卡中的 从以下地点发送安全邮件时使用数字标识复选框,然后单击 数字证书 按健 4) 选择与该帐号有关的数字证书 (电脑只显示与该帐号相对应的电子邮箱的数字证书) 。如果想查看证书,请单击 查看证书 ,您将会看到详细的证书信息。 点击 确定 ,设置完毕。至此,您就可以使用安全电子邮件功能了
17.数字证书可以解决问题是什么?
保密性: 通过使用收件人的数字证书对电子邮件加密。如此以来,只有收件人才能阅读加密的邮件,在 Internet上传递的电子邮件信息不会被人窃取,即使发错邮件,收件人也无法看到邮件内容。
认证身份: 在 Internet上传递电子邮件的双方互相不能见面,所以必须有方法确定对方的身份。利用发件人数字证书在传送前对电子邮件进行数字签名即可确定发件人身份,而不是他人冒充的。
完整性: 利用发件人数字证书在传送前对电子邮件进行数字签名不仅可确定发件人身份,而且传递的电子邮件信息也不能被人在传输过程中修改。
不可否认性: 由于发件人的数字证书只有发件人唯一拥有,故发件人利用其数字证书在传送前对电子邮件进行数字签名,发件人就无法否认发过这个电子邮件。
18.数字证书的原理是什么?
数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程 ,即只有用私有密钥才能解密. 在公开密钥密码体制中,常用的一种是RSA体制。
用户也可以采用自己的私钥对信息加以处理,由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。采用数字签名,能够确认以下两点:
1)保证信息是由签名者自己签名发送的,签名者不能否认或难以否认;
2)保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。
19.使用数字签名为何能帮助发现文件被篡改或传输时出错?
与普通签名相比,数字签名有这样的优点: 它不仅能用于标识签名者的身份,还能对文件内容加以确认。因为数字签名使用了一种安全化的 HASH函数,只要使用了这种函数就没有办法从一个文件中复制某人的签名并将签名伪造到另一文件上,同样无论什么方法都不能修改被签名过的文件的内容。一份被签名过的文件只要有丝毫的改动,都会导致数字签名验证过程的失败,这样,人们就可以验证被签名的文件有效性。当然,如果签名验证失败,到底是由于力图伪造导致的还是因为传输出错造成的是无法确定的。 20.什么是PKI公钥基础设施体系?
PKI(Public Key Infrastructure 的缩写)是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。
原有的单密钥加密技术采用特定加密密钥加密数据,而解密时用于解密的密钥与加密密钥相同,这称之为对称型加密算法。采用此加密技术的理论基础的加密方法如果用于网络传输数据加密,则不可避免地出现安全漏洞。因为在发送加密数据的同时,也需要将密钥通过网络传输通知接收者,第三方在截获加密数据的同时,只需再截取相应密钥即可将数据解密使用或进行非法篡改。区别于原有的单密钥加密技术, PKI采用非对称的加密算法,即由原文加密成密文的密钥不同于由密文解密为原文的密钥,以避免第三方获取密钥后将密文解密。
21.认证、数字证书和PKI解决的几个问题?
保密性 - 只有收件人才能阅读信息。认证性 - 确认信息发送者的身份。 完整性 - 信息在传递过程中不会被篡改。 不可抵赖性 - 发送者不能否认已发送的信息。
22.什么是密钥对,怎样使用它?
不像有的加密技术中采用相同的密钥加密、解密数据,公共密钥加密技术采用一对匹配的密钥进行加密、解密。每把密钥执行一种对数据的单向处理,每把的功能恰恰与另一把相反,一把用于加密时,则另一把就用于解密。
公共密钥是由其主人加以公开的,而私人密钥必须保密存放。为发送一份保密报文,发送者必须使用接收者的公共密钥对数据进行加密,一旦加密,只有接收方用其私人密钥才能加以解密。
相反地,用户也能用自己私人密钥对数据加以处理。换句话说,密钥对的工作是可以任选方向的。这提供了 "数字签名"的基础,如果要一个用户用自己的私人密钥对数据进行了处理,别人可以用他提供的公共密钥对数据加以处理。由于仅仅拥有者本人知道私人密钥,这种被处理过的报文就形成了一种电子签名----一种别人无法产生的文件。
数字证书中包含了公共密钥信息,从而确认了拥有密钥对的用户的身份。
23.如何用数字证书对我的电子邮件进行签名?
您可以预先设置您的电子邮件程序,对所有发出的电子邮件进行签名,也可以在发送时选择进行签名。
24 . 如何用数字证书对我的电子邮件进行加密?
您可以预先设置程序,对所有发送的电子邮件进行加密,或者在发送每个电子邮件时进行加密。需要注意的是: 您如果希望给某人的某个电子邮件地址发送加密电子邮件,您必须已经下载或安装了对方电子邮件地址对应的数字证书。最简单的方法是要求对方发送一个包含数字证书的签名邮件,您也可以在数字证书服务中心查询对方电子邮件的数字证书,下载并安装。电子邮件客户程序在加密邮件时会检查自己的证书库中是否已经包含了收信人地址所对应的数字证书。如果给多个人发送加密邮件,只会给有证书的收信人发 送加密邮件。
25 . 签名电子邮件和加密电子邮件之间的区别是什么?
签名一个电子邮件意味着,您将自己的数字证书附加到电子邮件中,接收方就可以确定您是谁,以及信件在发送过程中没有被篡改。签名提供了验证功能,但是无法保护信息内容的隐私,第三方有可能看到其中的内容。加密电子邮件意味着只有指定的收信人才能够看到信件的内容。为了发送签名邮件,您必须有自己的数字证书。为了加密邮件,您必须有收信人的数字证书。
26 . 请问我该如何阅读收到的加密电子邮件?
如果电子邮件信息已被正确地加密,你将不需要任何其他的软件工具来阅读,信息自动出现在你电子邮件的收件夹中,就跟一般信息没有两样,你的数字证书会自动进行辨识工作并解开以此数字证书(收件人数字证书的公开密钥)加密的信息。
27.请问我可以将安全电子邮件发送给没有数字证书的人?
只要收件人的电子邮件软件支持 S/MIME协议,你就可以向没有数字证书的人发送数字签名邮件,然而,如果你没有对方的数字证书,你将无法对他(她)发送加密信息。
28.用户如何获得密钥对?
大多数情况下,当你申请数字证书时,浏览器会为你产生密钥对。出于安全性考虑,密钥对应当在您的机器产生并且私人密钥不会在网上传输。
一旦产生,就应在认证中心上登记自己的公共密钥,随后认证中心将发送给用户数字证书,以证实你的公共密钥及其他一些信息。为简化对密钥的管理工作,大多数用户都不应为一把密钥申请多份数字证书。
29.与数字证书相应的密钥是如何进行管理的?
对密钥进行安全管理是极为重要的,事实上,对公共场所密钥系统的大多数攻击都发生在密钥管理级别上,而非针对加密算法。
用户必须能够通一种安全渠道获得适于他们需要的密钥对,必须有办法来查找别人的公共密钥并公布自己的公共密钥。必须向用户确保他人的公共密钥的合法性。否则,攻击者就会更改目录中的公共密钥或冒充别人。数字证书提供了这种保证,使得入侵者不能为所欲为。数字证书必须以一种安全方式签发。
如果某人的私人密钥丢失或被窃,必须立即通知别人,使他们不再以失效的公共密钥加密报文,也不再接受以失效的私人密钥签发的邮件。用户必须能安全地存放他们的私人密钥,这样攻击者就找不到它们。然而私人密钥必须对合法使用开放。在特定的失效日期前,密钥都必须有效,失效日期必须妥善选择并以安全方式加以公布。
30.当一把密钥失效时会发生什么?
为防止有人长期不懈地解密,每把密钥都必须设定一个失效日期,过期后,该密钥就不再有效。失效期限应远比可能有被破解的期限短。换句话说,密钥应当足够长,使得在有效期内破解的可能性微乎其微。尽管存在标准时间期限,密钥对的有效期限同样也取决于密钥使用的环境。有效期限密钥值以及对预期中的攻击者能力的估计,决定了相应密钥的长度。
密钥的失效日期要么置于数字证书的公共密钥上,要么存于目录表中。签名验证程序应应当核查失效日期,并且拒绝使用失效密钥签名的报文。这意味着,一旦一个人的一个人的密钥过期,所有用该密钥签名的报文都将失效。因此,对于一份想要长期认定有效的签名文件,需要加上时间性戳。
31.密钥失效后如何更换新的密钥
密钥一旦失效,用户应当选用一把新的密钥。新的密钥应当比老的有更长位数,从而跟上计算机硬件发展及安全算法发展的步伐。
当一把密钥过期后,如果它足够长而且未被窃取,用户可重新使之生效,认证中心将给这把密钥签发新的数字证书,所有新的数字签名都针对新的数字证书,而非旧的。然而,因为计算机硬件的飞速发展,最好在密钥失效后,用新的、更长的密钥来更新它,密钥的更新使得可以随着硬件的发展而提高加密系统的安全性,当然要跟上硬件发展,就必须经常性地增长密钥长度。
32.如何发现别人的公共密钥?
假设你想要找到 BOB的公共密钥,有许多可行方法。你能打电话给他,请他将公共密钥通过电子邮件发给你,你也可能发电子邮件向他提出请求,认证中心也可能提供了目录服务。例如,如果BOB为Z公司服务,就可通过Z公司的认证中心提供的目录进行查找。由于目录提供了抗攻击能力,用户可以确信其上所列的公共密钥都属于相应人员的。 |
