公开金钥认证
维基百科,自由的 encyclopedia
公开金钥认证(英语:Public key certificate),又称数位凭证(digital certificate)或身份凭证(identity certificate)。是用于公开金钥基础建设的电子档案,用来证明公开金钥拥有者的身份。此档案包含了公钥资讯、拥有者身份资讯(主体)、以及数字证书认证机构(发行者)对这份文件的数位签章,以保证这个文件的整体内容正确无误。拥有者凭著此档案,可向电脑系统或其他使用者表明身分,从而对方获得信任并授权存取或使用某些敏感的电脑服务。电脑系统或其他使用者可以透过一定的程序核实凭证上的内容,包括凭证有否过期、数位签章是否有效,如果你信任签发的机构,就可以信任凭证上的金钥,凭公钥加密与拥有者进行可靠的通讯。
简而言之,认证机构用自己的私钥对需要认证的人(或组织机构)的公钥施加数字签名并生成证书,即证书的本质就是对公钥施加数字签名。[1]
数位凭证的其中一个最主要好处是在认证拥有者身分期间,拥有者的敏感个人资料(如出生日期、身分证号码等)并不会传输至索取资料者的电脑系统上。透过这种资料交换模式,拥有者既可证实自己的身分,亦不用过度披露个人资料,对保障电脑服务存取双方皆有好处。
人们透过信任数字证书认证机构的根证书、及其使用公开密钥加密作数位签章核发的公开金钥认证,形成信任链架构,已在TLS实作并在万维网的HTTPS、在电子邮件的SMTPS和STARTTLS广泛应用。业界现行的标准是国际电信联盟电信标准化部门制定的X.509[2],并由IETF发行的RFC 5280详细述明。而在不少国家/地区,都已立法承认使用数位凭证所作的数位签章拥有等同亲笔签名的法律效力(如欧洲联盟[3][4]、香港[5][6]、台湾[7]、美国、加拿大)。