信任链

✍ dations ◷ 2025-06-08 03:18:45 #电脑安全,认证方法,公钥密码学

信任链,或称数字证书链,是一连串的数字证书,由根证书为起点,透过层层信任,使终端实体证书的持有者可以获得转授的信任,以证明身份。基于信息安全的考虑,在进行电子商务或使用政府服务时,交易的另一方用户,以根证书为基础,凭借对签发机构的信任,相信当时持有信任链终端的证书持有者确为其人,并透过公开密钥加密确保通信保密、透过数字签名确保内容无误、以及保证对方无法抵赖(英语:Non-repudiation)。

公开密钥基础建设已经在X.509及RFC 5280指定了使用信任链的认证路径验证算法(英语:Certification path validation algorithm)。其中,会透过证书吊销列表及OCSP检查手上得到的证书是否已被证书机构在到期前撤消。另一方面,证书机构签发新的证书时,也可能透过证书透明度公布签发证书的记录,让公众查核,避免有其他机构在未得到当事人同意下滥发欺诈证书伪冒身份。CA/浏览器论坛通过了DNS证书颁发机构授权协议,参与的证书机构会在签发证书前透过域名系统检查是否已获授权。

在互联网中,任何机构都可以登记域名以设立服务器,供大众连接沟通并进行电子商务或使用政府服务。虽然公开密钥加密可以确保通信保密、数字签名可以确保内容无误、以及保证对方无法抵赖;但如果数字证书未获得可供信任的数字证书认证机构数字签名(即自签证书(英语:Self-signed certificate)),对方的真实身份仍然可疑(除非通信双方早已互相认识并预先透过安全渠道交换数字证书)。数字证书认证机构在公开密钥加密基建担任了非常重要的角色,电脑软件安装并信任了其根证书,根据其私钥签发的下层证书都可(基于数字签名)被自动信任,如果是中介证书,则再下层的终端实体证书也一样被自动信任,此即构成了一条信任链。

以维基百科为例,其信任链包含了三张数字证书:

总括来说,由于用户信任 GlobalSign,所以由 GlobalSign 所担保的维基百科可以被信任。而由于用户信任操作系统或浏览器的软件商,所以由软件商预载了根证书的 GlobalSign 都可被信任。

相关

  • X0在这个系统中,只有一种染色体,称为男性的只有一个X染色体(X0),而女性有两个(XX)。有时字母0表示缺少第二个X.母性配子总是包含X染色体,因此动物后代的性别取决于雄性配子中是否存在
  • 跗猴型下目眼镜猴科(Tarsiidae),也叫跗猴,是哺乳纲灵长目的一科,也是跗猴型下目目前仍生存的唯一科,其下共有3属约13种现存眼镜猴。在欧亚非大陆都有本科的化石记录,但目前现存物种的分布范围
  • CV-7 胡蜂号坐标:12°25′00″S 164°08′00″E / 12.41667°S 164.13333°E / -12.41667; 164.13333胡蜂号航空母舰 (CV-7)是胡蜂级航空母舰的一号舰(亦是唯一一艘),也是美国第八艘以胡蜂
  • 伊萨克·阿尔贝尼斯伊萨克·曼努埃尔·弗兰西斯科·阿尔贝尼斯·帕斯卡尔(西班牙语:Isaac Manuel Francisco Albéniz Pascual,1860年5月29日-1909年5月18日),西班牙作曲家,钢琴家。阿尔贝尼斯4岁登台
  • 保护费保护费是指黑帮的一种勒索行为,常见于买卖活动集中地如商场、商业中心和小贩中心里。黑帮成员会向商户勒索定期的保护费,若不从则会骚扰、恐吓他们,甚至破坏他们的货品、财物、
  • 乔治·德朗乔治·华盛顿·德朗(George Washington DeLong,1844年8月22日-1881年10月31日),美国海军军官及探险家。乔治·德朗于纽约出生,在罗德岛纽波特的美国海军学院接受教育。在1879年得
  • 前田纲纪前田纲纪(まえだつなのり 1643年12月26日-1724年6月29日),加贺藩的第四代藩主。父亲是第三代藩主前田光高,母亲是正室清泰院大姬(水户藩德川赖房四女,三代将军德川家光的养女),幼名犬
  • 普鲁士皇家陆军普鲁士陆军(德语:Königlich Preußische Armee)是普鲁士王国的陆军,在普鲁士成为欧洲列强的道路上起到了极其重要的作用。普鲁士陆军起源于勃兰登堡侯国于三十年战争中恶劣的的
  • 鲜于一扇鲜于一扇(선우일선,1919年3月5日-1990年),朝鲜女歌手。她的职业生涯历经了朝鲜日治时期和朝鲜民主主义人民共和国两个时期。
  • 光纤激光器光纤激光器,固体激光器的一种,只是其工作介质为掺杂稀土元素的光纤。目前,光纤激光器有单端泵浦,双端泵浦两种,后者的功率可以达到很高。 也有相干合成技术在研发中用于扩展输出