公开密钥认证
维基百科,自由的 encyclopedia
公开密钥认证(英语:Public key certificate),又称数码证书(digital certificate)或身份证书(identity certificate)。是用于公开密钥基础建设的电子文件,用来证明公开密钥拥有者的身份。此文件包含了公钥资讯、拥有者身份资讯(主体)、以及数码证书认证机构(发行者)对这份文件的数码签名,以保证这个文件的整体内容正确无误。拥有者凭着此文件,可向电脑系统或其他用户表明身份,从而对方获得信任并授权存取或使用某些敏感的电脑服务。电脑系统或其他用户可以透过一定的程序核实证书上的内容,包括证书有否过期、数码签名是否有效,如果你信任签发的机构,就可以信任证书上的密钥,凭公钥加密与拥有者进行可靠的通讯。
简而言之,认证机构用自己的私钥对需要认证的人(或组织机构)的公钥施加数码签名并生成证书,即证书的本质就是对公钥施加数码签名。[1]
数码证书的其中一个最主要好处是在认证拥有者身份期间,拥有者的敏感个人资料(如出生日期、身份证号码等)并不会传输至索取资料者的电脑系统上。透过这种资料交换模式,拥有者既可证实自己的身份,亦不用过度披露个人资料,对保障电脑服务存取双方皆有好处。
人们透过信任数码证书认证机构的根证书、及其使用公开密钥加密作数码签名核发的公开密钥认证,形成信任链架构,已在TLS实现并在万维网的HTTPS、在电邮的SMTPS和STARTTLS广泛应用。业界现行的标准是国际电信联盟电信标准化部门制定的X.509[2],并由IETF发行的RFC 5280详细述明。而在不少国家/地区,都已立法承认使用数码证书所作的数码签名拥有等同亲笔签名的法律效力(如欧洲联盟[3][4]、香港[5][6]、台湾[7]、美国、加拿大)。