PKI的應用特別廣泛,作為安全基礎設施,它主要可给予以下內容。
1.認證服務
認證服務就是身份識別和鑑別,即確認實體為自己聲稱的實體,辨別身份的真假。我們以甲乙兩方的認證為例子:甲先得驗證乙的證書的真假,當乙在網上把證書傳給甲時,甲先要用CA的公鑰將證書上CA的數字簽名解開,若簽名驗證顺利获得,那麼證明乙拿着的證書是真的;接下來甲還要核驗乙身份的真假,乙可把自己的口令用私鑰實施數字簽名傳給甲,甲已在乙的證書或證書庫里查出了乙的公鑰,甲就可用乙的公鑰來驗證乙的數字簽名。若此簽名驗證顺利获得,乙網上的身份就無法懷疑了。
2.數據完整性服務
完成數據完整性服務的主要方法為數字簽名,它不僅可進行實體認證,又可確保被簽名數據的完整性,這是由密碼哈希算法與簽名算法保證的。簽名是拿自己的私鑰加密此哈希值,之後與數據傳給接收方。若敏感數據於傳輸及處理時被篡改,接收方則無法拿到完整的數據簽名,驗證則是失敗的;相反,若簽名驗證成功,則證明接收方拿到的是沒有修改過的完整數據。
3.數據保密性服務
PKI的保密性服務用的是“數字信封”機制,也就是發送方先得到一個對稱密鑰,並拿該密鑰加密敏感數據。同時,發送方還拿接收方的公鑰加密對稱密鑰,就如將它裝進一個“數字信封”。然後,將被加密的對稱密鑰與敏感數據共同傳向接收方。接收方拿自己的私鑰打開“數字信封”,並產生對稱密鑰,然後拿對稱密鑰將被加密的敏感數據解開。
4.不可否認性服務
