热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

深入解析OpenSSL生成SM2证书:非对称加密技术与数字证书、数字签名的关联分析

本文深入探讨了OpenSSL在生成SM2证书过程中的技术细节,重点分析了非对称加密技术在数字证书和数字签名中的应用。非对称加密通过使用公钥和私钥对数据进行加解密,确保了信息传输的安全性。公钥可以公开分发,用于加密数据或验证签名,而私钥则需严格保密,用于解密数据或生成签名。文章详细介绍了OpenSSL如何利用这些原理生成SM2证书,并讨论了其在实际应用中的安全性和有效性。


非对称加密(一句话概括)



f9e71fd71bebb35408e5204cf4cedc6c.png

给你一把打开的锁,用它锁住重要的东西寄回给我,钥匙我自己留着谁也不给。


锁=公钥;钥匙=私钥


公钥就是下面这东西


-----BEGIN PUBLIC KEY-----MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC8sBFht3URDLrQrJ/CCUe3zrIJQPYJuBUMfnXV11aV38NEFvzr2I89MAsv7PBl0yEusAhsoOssZuaqRpUatMoScqy8Ap0c0yAD3OY2SjFeqWdn7p2qjRjBLjVwGwA5gRDaX34Yo/r8fGq9WwDPQTkya5paVkyiyROU9q/q8XppGQIDAQAB-----END PUBLIC KEY-----

私钥就是这东西


-----BEGIN PRIVATE KEY-----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-----END PRIVATE KEY-----

具体指的是加、解密使用不同的密钥,一把作为公开的公钥,另一把作为私人保留的私钥。公钥加密的信息,只有私钥才能解密。反之,私钥加密的信息,只有公钥才能解密。


再举个例子,你向某公司服务器请求公钥,服务器将公钥发给你,你使用公钥对消息加密,那么只有私钥的持有人才能对你的消息解密。


与对称加密不同的是(指的是加解密使用同一串密钥,常见的对称加密算法有:DES、AES等。),公司服务器不需要将私钥通过网络发送出去,因此安全性大大提高。



d5b26fadb577a12ae95e741f28ee1b47.png

最常用的非对称加密算法:RSA(RSA是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的。当时他们三人都在麻省理工学院工作。RSA就是他们三人姓氏开头字母拼在一起组成的。)


那么有了一些概念后,我们来代入,加密过程是怎么样?解密过程是怎么样?


先介绍个软件,GPG(一款免费软件,由自由软件基金会开发,全称:GnuPG)。


重要功能命令有:


gpg --gen-key#生成自己的密钥,需设定长度(长度越长越安全)、有效期、用户标识(姓名、邮件、注释)、私钥密码(防止系统入侵,或非法使用私钥,相当于给私钥在加层保护)

生成后,系统会提示:



  gpg: 密钥 EDDD6D76 被标记为绝对信任


  公钥和私钥已经生成并经签名。



请注意上面的字符串"EDDD6D76",这是"用户ID"的Hash字符串,可以用来替代"用户ID"。


这时,最好再生成一张"撤销证书",以备以后密钥作废时,可以请求外部的公钥服务器撤销你的公钥。


gpg --gen-revoke[用户ID]#生成撤销证书,防止以后密钥需要作废,可以使用该撤销证书撤销公钥。

gpg --import test.key#撤销本地证书

gpg -send-keys[ID]#将被撤销的公钥ID发送到CA,即可撤销服务器上的公钥。

gpg --send-keys [用户ID] --keyserver hkp://subkeys.pgp.net#上传公钥至对应密钥管理服务器(可以是公网托管服务器也可以是自己布署的私有CA)

gpg --recipient [用户ID] --output demo.en.txt --encrypt demo.txt#recipient后跟着接收者的公钥,即此文件接收方。

gpg --decrypt demo.en.txt --output demo.de.txt#接收者收到后,即可解密。

gpg --sign demo.txt#有时不需要加密,只需要证明该文件由我发出,就需要用到签名

运行上面的命令后,当前目录下生成demo.txt.gpg文件,这就是签名后的文件。这个文件默认采用二进制储存,如果想生成ASCII码的签名文件,可以使用clearsign参数。


gpg --local-user [发信者ID] --recipient [接收者ID] --armor --sign --encrypt demo.txt#签名+加密

local-user参数指定用发信者的私钥签名,recipient参数指定用接收者的公钥加密,armor参数表示采用ASCII码形式显示,sign参数表示需要签名,encrypt参数表示指定源文件。


gpg --verify demo.txt.asc demo.txt#收到签名文件后,可以使用对方公钥来验证,参数为verify

了解底层生成方法后,我们来看看数字证书和数字签名的关系


可视化的数字证书长这样



718314a561ac88bcdbee6f739c69c8e6.png


522932e14f1791c05d50a34267d14188.png

可以看到颁发者为:DigiCert Global Root CA,颁发给了自己,有效期为25年,如同上面所提到的GPG命令一样,设置了有效期、算法、长度等信息。


PS:除了GPG,还有其他开源工具,如OpenSSL,也可以生成证书。


如何生成?


生成要区分公网和私网环境,如果需要发布到公网就需要向对应的可信任CA机构申请,这样你申请的证书才会在公网上被认可,私网可以自己搭建CA,比如GPG或OpenSSL等开源工具部署,最后手动添加信任即可。


作用?


可以用于网页传输、电子邮件传输、软件安装包等,确保数据交互时,不会被窃听或篡改。


可视化数字签名长这样



d34ec966256f27589d0c0f3896d1d55a.png

软件安装包一般都会有证书内嵌,如果没有签名的话一安装就会提示这样:



14de253f029f4e23487414a2f630edcb.png

这是因为该软件没有内签,所以Microsoft会有安全提示,当然你可以直接运行,但是该安装包因为没有权威机构签名,所以可能有未知风险。



0ce66a6bdea37a033788f90d9fb07ff5.png

另外在此路径可以查看到系统所有受信任的根证书颁发机构,当然你也可以手动添加。(注:根证书所签发的所有证书均默认被信任,所以自己添加根证书请谨慎。)


程序怎么签名?



33ce45de613bc394d375550c1f1aa0bd.png

以微软系统举例,使用SignCode.exe,根据步骤,将公、私钥导入,选择加密算法、时间戳等,即可将安装包进行签名。


那如果是文件签名的话,请参照上方GPG命令,签名过程是这样的:


A:发送文件B用户,确保由A发送


A:将文件Hash后,得到概要(固定长度)


A:将概要使用私钥加密


A:将加密后的概要、原文件、公钥三者发送 给B用户


B:收到原文件,使用相同Hash算法后得到概要


B:使用A的公钥解密加密后的概要


B:比对概要,无差别即为A签名的文件。


作用?


确保文件或软件、数据由对应签名者发送,未被篡改。


以上。


最后:


个人的学习见解,希望有技术大佬可以多多指正。




推荐阅读
  • vsftpd配置(虚拟用户、匿名用户登录)
    一、ftp服务搭建(一)概述1.ftp连接及传输模式(1)控制连接TCP21,用于发送FTP命令信息 ... [详细]
  • 对象存储与块存储、文件存储等对比
    看到一篇文档,讲对象存储,好奇,搜索文章,摘抄,学习记录!背景:传统存储在面对海量非结构化数据时,在存储、分享与容灾上面临很大的挑战,主要表现在以下几个方面:传统存储并非为非结 ... [详细]
  • 本文详细介绍了如何搭建一个高可用的MongoDB集群,包括环境准备、用户配置、目录创建、MongoDB安装、配置文件设置、集群组件部署等步骤。特别关注分片、读写分离及负载均衡的实现。 ... [详细]
  • http:blog.csdn.netzeo112140articledetails7675195使用TCPdump工具,抓TCP数据包。将数据包上传到PC,通过Wireshark查 ... [详细]
  • 调试利器SSH隧道
    在开发微信公众号或小程序的时候,由于微信平台规则的限制,部分接口需要通过线上域名才能正常访问。但我们一般都会在本地开发,因为这能快速的看到 ... [详细]
  • 了解多域名SAN SSL证书及其工作原理
    本文介绍了多域名SAN SSL证书的概念及其工作方式,探讨其在现代网络安全中的重要性和应用。 ... [详细]
  • Windows操作系统提供了Encrypting File System (EFS)作为内置的数据加密工具,特别适用于对NTFS分区上的文件和文件夹进行加密处理。本文将详细介绍如何使用EFS加密文件夹,以及加密过程中的注意事项。 ... [详细]
  • 3.[15]Writeaprogramtolistallofthekeysandvaluesin%ENV.PrinttheresultsintwocolumnsinASCIIbet ... [详细]
  • 本文详细探讨了在Web开发中常见的UTF-8编码问题及其解决方案,包括HTML页面、PHP脚本、MySQL数据库以及JavaScript和Flash应用中的乱码问题。 ... [详细]
  • 本文介绍了实时流协议(RTSP)的基本概念、组成部分及其与RTCP的交互过程,详细解析了客户端请求格式、服务器响应格式、常用方法分类及协议流程,并提供了SDP格式的深入解析。 ... [详细]
  • 花生壳内网穿透:实现企业智能网关远程管理和维护
    随着物联网技术的发展,企业对智能网关的需求日益增加。本文介绍如何利用花生壳内网穿透技术,实现企业智能网关的远程管理和维护,提高效率,降低成本。 ... [详细]
  • 浏览器提示网站‘不安全’的原因及解决方法
    在日常上网过程中,我们经常会遇到浏览器提示网站‘不安全’的情况。面对这种情况,不同的人有不同的处理方式,但浏览器为什么会发出这样的警告?本文将详细解析其中的原因,并提供相应的解决方案。 ... [详细]
  • 本文总结了设计、开发和部署Web应用程序时应遵循的一些最佳实践,这些实践结合了个人经验和权威资料,旨在帮助开发者提高Web应用的安全性。 ... [详细]
  • 本文介绍了多种方法来恢复或重置 Windows XP 系统中的管理员密码,包括使用密码重设盘、借助其他管理员账户以及利用第三方软件等。 ... [详细]
  • 阿里云 Aliplayer高级功能介绍(八):安全播放
    如何保障视频内容的安全,不被盗链、非法下载和传播,阿里云视频点播已经有一套完善的机 ... [详细]
author-avatar
寻找初心
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有