求索阁

一、公钥基础结构如何工作

看了上期内容的同学们想必都了解了什么是PKI以及它与公钥密码学之间的关系，接下来就讨论它的作用及其工作方式。

1. PKI通过验证用户和服务器进行工作

PKI流程的第一部分是身份验证。通过使用数字证书（例如客户端证书和SSL / TLS证书），你可以使用非对称加密对自己、客户端或服务器进行身份验证。（同样，非对称加密是两对公钥和私钥。）

例如让我们把“有人连接到wotrus.com”的场景进行身份验证的简单分步说明：

i.Web客户端（例如）连接到http://wotrus.com Web服务器以获取服务器的证书和公共密钥。

ii.然后，客户端使用其受信任的根证书和信任链存储来验证该站点的证书是否由受信任的CA颁发。（注意：信任链是基于数字签名的，不能被伪造。因此，如果信任链签出，则你的浏览器可以确信它正在与正确的服务器通信。）

iii.最后，客户端使用证书的公钥加密一条数据，并将其发送到服务器。如果服务器可以读取它，则表明该服务器具有正确的私钥，并且已连接到正确的服务器。

为了简化此过程（并最终创建一个安全的加密连接），用户的Web客户端和你的服务器开始进行所谓的SSL或TLS握手。此过程可减轻中间人（MitM）攻击和窃听的风险，从而使客户端能够：

确定它们都可以使用哪些加密参数;

验证服务器（如上所述），并生成双方都可以用来交换加密信息的唯一会话密钥。

PKI的工作方式：TLS 1.2握手的说明

PKI的工作方式：TLS 1.3握手的图示，该往返次数比TLS 1.2以前的版本少

但是，如果服务器要验证你作为用户怎么办？这也是可能的。在这种情况下，你需要由服务器信任的CA颁发的证书（客户端证书或所谓的电子邮件签名证书）在允许你访问服务器上的应用程序或内容之前，服务器会检查你的数字证书，过程与此类似。

2.PKI通过加密数据（或数据通过其传输的连接）进行工作

公钥基础结构的工作方式是，它使用不对称的，数学上相关的密钥来加密和解密数据。基本上，我们正在谈论获取一条你可以阅读的消息（纯文本）并将其扰乱为不可解密的格式（密文）。然后，当到达另一方时，需要对其进行解密或解密。

加密如何运作

易于理解的加密是一种老式的移位密码（替代密码），或者更普遍地称为凯撒密码。

在这种类型的加密中，纯文本字母根据秘密密钥“移动”一定数量的空格。例如，如果你的密钥是“ 6”，则单词“ CERTIFICATE”将成为密文“ IKXZOLOIGZK”，因为你已将每个字母移了六个空格。

当然，这是其最基本形式之一的加密。自古罗马时代以来，现代密码技术就已经走了很长一段路程。毕竟，我们现在拥有超级计算机和技术来帮助我们加密（和解密）数据、消息和其他敏感信息。

如何将加密应用于数据的不同状态

数据有三种主要状态：传输中的数据，静止的数据和使用中的数据。但是，出于本文的目的，我们在这里仅讨论其中两个数据状态。不管你是否知道，周围都在使用加密来保护传输中的数据和静止数据：

传输中的数据（又名移动中的数据）：在传输中的数据加密创建了一个安全通道，信息可以通过该通道从一方传输到另一方。当使用SSL / TLS证书对客户的浏览器和网站的服务器之间的通信通道进行加密时，对传输中的数据进行加密的一个示例。此过程可确保用户使用安全的HTTPS连接而不是不安全的HTTP协议连接到你的站点。

静态数据：保护静态数据加密涉及使用文件或设备加密。加密静态数据的一个很好的例子是，你在点击“发送”之前使用电子邮件签名证书对电子邮件进行加密。这会对邮件本身（以及所有附件）的数据进行加密，因此即使有人黑了你的邮件服务器，如果他们也没有相应的私钥，他们就无法读取邮件。

这是在服务器上安装SSL/TLS证书如何促进网站访问者的客户端与其连接的Web服务器之间的安全加密连接的说明。

3.PKI通过确保数据完整性进行工作

公钥基础结构如何工作的最关键方面之一是，它有助于确保数据的合法来源，并且不会以任何方式被篡改。它执行此操作的方法之一是使你能够将数字签名应用于电子邮件，软件或文件。此外，每个数字证书本身都是使用CA的私钥签名的。

基本上，数字签名的作用是通知用户或其客户有关文件，电子邮件或文档的信息：

由真实且经过身份验证的个人或企业签名;

并且自最初签署以来未进行任何修改。