一、算法、密钥(对)、证书、证书库
令狐冲是个马场老板,这天,他接到店里伙计电话,说有人已经签了租马合同,准备到马场提马,,他二话不说,突突突就去了,到了之后,发现不认识租客。
令狐冲说,你把你租马合同给我看看,这就是证书。
没成想这租客是个二道贩子,他呼啦一下掏出来一个装满租马合同的文件袋,这就是证书库。
租客拿出来跟店里直签的合同,有双方的印章,这就是自签名证书。
令狐冲瞟了一眼,看到还有一些文件头写着什么 “大明战马管理公司xxx” 的租马合同,大家都信任朝廷牵头做的合同,这就是CA证书。
令狐冲看了租客的租马合同,发现上面确实是店里的印章,这就是公钥。
令狐冲掏出来一个钥匙串,挑选了一把造型奇特的钥匙,打开了大门,这就是私钥。
这些钥匙还有的是十字形的,有的是扁的,有的打凹点,有的划凹槽,有不同的型号,这就是算法。
钥匙和印章,这就是密钥对。
令狐冲提了匹乌骓给租客,这二道贩子骑上就走,大喊一句:俺老孙去也。
二、编码与证书格式
学习Java加解密的同学,常常被各种文件及其格式给弄的晕头转向,这里帮同学们做一下划分,帮助同学们理解
2.1 编码格式的基石 - ASN.1语法
ASN.1 只是一种语法,它只定义 编码怎么写 ,不定义 编码具体内容
下面是 ASN.1 的语法
类型名 ::= 基础类型 { 类型具体描述 }
它只有这么个东西,这只是个语法,下面是一个语法示例
Blog ::= SEQUENCE {
address PrintableString,
title UTF8String,
date UTCTime,
content String,
status BlogStatus
}
2.2 编码格式
编码格式的制定,遵循上述章节的语法,但是有自己的属性、属性占据长度等的定义。
比如,定义的基础类型有哪些(上章节中示例的基础类型为 SEQUENCE)。
比如,编码的前几个字节,分别代表什么意思。
这里不再展开,有兴趣的同学可以参阅各种编码格式的说明,我们只需要了解编码格式的概念就好了。
常见有如下编码格式
- BER 基本编码格式
- CER 规范编码格式 ber 的变种,变长,在实际应用中比较少
- DER 卓越编码格式 ber 的变种,定长,数字签名的默认编码
- PER 压缩编码格式
- XER XML编码格式
通常的,我们说的证书内容的编码格式,是指 DER 编码格式,下文中均指 DER 编码格式。
2.3 编码标准
有了格式之后,并不能直接用来定义证书内容,就比如我们有了长城砖,但是并不知道长城该怎么垒
而编码标准,就是告诉我们,通过已知的编码格式(长城砖),怎么去垒长城。
2.3.1 x509 编码标准
x509 是密码学中,关于 公钥证书格式 的一个编码标准,用于证书。
我们说的数字证书,通常意义上是指 x509 公钥证书,它含有公钥、身份信息(比如网络主机名,组织的名称或个体名称等)和签名信息(可以是证书签发机构 CA 的签名,也可以是自签名)
2.3.2 PKCS 编码标准
严格来讲,PKCS 是一个公钥密码学 标准组,它有一系列的编码标准,拓展了诸如加解密、签名、密钥交换、分发证书等过程中的一些规范。
PKCS已经发布了15个版本的标准,常用的版本对应的用途说明如下:
| 公钥加密标准 | 说明 | 文件后缀 |
|---|---|---|
| PKCS1 | RSA 加密规范,提供了基于 RSA 算法的公钥加密实现的建议 | |
| PKCS 7 | 密码消息语法标准 | .p7b .p7c .spc |
| PKCS 8 | 存储私钥信息的标准语法 | .key |
| PKCS 10 | 证书请求语法标准 | .p10 .csr |
| PKCS 12 | 个人信息交换语法标准 | .p12 .pfx |
其中,.p12 / .pfx 常用来做证书库文件
2.4 证书文件格式
DER 编码格式的证书是二进制文件,它不能在文本环境下交换信息,为了解决这个问题,出现了用 PEM 格式编码的证书
2.4.1 PEM 文本编码格式
简单来说,PEM 实际上就是把 DER 二进制内容用 Base64 编码一下,然后加上-----BEGIN label----- 形式的头部和 -----END label----- 形式的尾部
下面是一个 PEM 编码格式的公钥
-----BEGIN PUBLIC KEY-----
BASE64 ENCODER STRING ...
-----END PUBLIC KEY-----
密钥、证书都可以转为 PEM 格式,以方便在文本环境中传输
2.4.2 常见证书文件
通常的,有如下常见证书文件
| 扩展名 | 说明 |
|---|---|
| .der | 二进制证书文件,不常用 |
| .pem | 证书或密钥的文本存储格式文件 |
| .csr | 证书签名请求文件 |
| .key | 单独存放的 PEM 编码格式私钥文件 |
| .cer | window 环境下常见证书库文件,可以是二进制,也可以是 PEM 编码格式 |
| .crt | linux 环境下常见证书库文件,可以是二进制,也可以是 PEM 编码格式 |
2.5 常见证书库的文件编码格式
常用的证书生成工具有 jdk 自带的 keytool 、linux 体系的 openssl,对应的,他们生成的证书库文件编码格式如下:
- JKS -
keytool生成的证书库的文件编码格式,文件有*.jks,*.keystore - PEM -
openssl生成的证书库的文件编码格式,文件有*.pfx,*.p12
三、算法列举
在报文传输过程中,一定会有使用密钥对进行加密/解密、签名/验签、报文摘要等操作,这些都需要有针对性的算法
| 算法 | 分类 | 说明 |
|---|---|---|
| AES | 加解密 | 对称加密算法 |
| DES | 加解密 | 对称加密算法 |
| RSA | 加解密/签名 | 非对称加密算法 |
| MD | 摘要 | 常见MD5 |
| SHA | 摘要 | 安全散列算法 |
| Mac | 摘要 | 消息认证码算法 |
| DSA | 签名 | 数字签名算法,虽属于非对称加密,但不能加解密 |
| MD5withRSA | 签名 | |
| SHA1withRSA | 签名 | |
| SHA256withRSA | 签名 | |
| SHA1withDSA | 签名 | |
| SHA256withDSA | 签名 | |
| SHA512withDSA | 签名 |