S/MIME是一套使用加密和數字簽名安全發送電子郵件的系統。目前的加密(隐藏)技術分為兩大類:對稱(秘密)密鑰算法,如資料加密标準(DES)或進階加密标準(AES);以及非對稱(公開/私密)密鑰算法,如 RSA 或橢圓曲線加密(ECC)。現代的發件人驗證工具是單向的算術函數,稱為哈希,它可以生成唯一的簽名。消息摘要MD5和安全雜湊演算法(SHA)是兩種常用的哈希方法。計算機可以使用這些算法來生成與單個源文本對應的唯一哈希或數字(相同的源文本會哈希成相同的值)。運用和結合這些簡單的工具可以建構公共密鑰基礎結構(PKI) 系統。
可驗證的身份
PKI系統中的身份通過數字證書進行管理,這跟大多數人跨國界時攜帶的政府身份識别 — 護照 — 并沒有什麼不同。數字證書世界的護照标準是 X.509 格式,這種格式廣泛用于各種技術中的簽名和加密操作,例如S/MIME、Internet 協定安全性(IPsec)、安全外殼(SSH)、無線網絡安全性、虛拟專用網(×××),甚至安全伺服器通信(例如SSL網站)也包括在内。
證書是以非對稱加密和哈希為基礎建構而成。若要建立證書,請求者(等候一些較高頒發機構簽署的密鑰的實體)會生成一個私鑰。該密鑰會被鎖定起來,這樣一來它的真實性永遠不會受到質疑。生成私鑰的同時還會生成一個對應的公鑰。顧名思義,這個密鑰對的公開部分并不是秘密,而且會公開釋出,但在某種程度上還是會確定它的真實性。
這個密鑰對允許進行兩項基本的操作。首先,任何人都可以使用公鑰來加密隻有私鑰可以解密的内容,其次,公鑰可用來解密以私鑰加密的内容。這對于驗證隻有私鑰可能建立的簽名很重要。
對證書頒發機構提出的請求包括各種詳細資訊,例如密鑰的目标人員或計算機的身份、算法類型和強度,以及密鑰對的公開部分。證書頒發機構 (CA) 會接收請求中的資訊并對其進行驗證,并使用雜湊演算法建立與該資訊相對應的唯一辨別符。
CA 會使用它的私鑰加密資訊的哈希,并把它組合成标準格式(例如 X.509),然後建立與原始要求相對應的證書。X.509 證書将包含聲明清單,包括證書(主體)的身份、有效期限、公鑰,以及可使用證書進行的操作等。然後将證書傳回給請求者,證書事實上是個令牌,表明:“我,CA,擔保這個公鑰,以及與之對應的私密部分,僅作為此處所描述的這些用途”。
對于根CA(位于信任鍊最進階别),證書是自簽名的。大部分可接受的根CA 都會預安裝在基本作業系統或應用程式中,但可通過程式包或企業配置進行更新或更改。在根CA和葉節點(通常是指個體或系統)之間,可以有一或多個中間CA。
信任鍊包括所有節點以及其中先前内嵌的所有證書,由CA在該級别簽名。嘗試驗證證書的第三方可以檢查本地計算的哈希,并将其與從證書解密(使用該特定CA或個體的相應公鑰)的哈希進行比較。就是這麼一回事 — 從葉到根經過完整驗證的信任鍊 — 當然前提是假設根是受信任的。
更新證書狀态
每個良好的CA 都有方法可以分發不應該再受信任的證書清單。這份證書吊銷清單(CRL)說明CA特别取消了哪些已頒發的證書。友善的是,CRL的位置通常是CA憑證的屬性。
![加密解密-簽名驗簽-學習[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)