天天射天天舔天天看,国产最新在线视频网址,亚洲中文在线字幕av

如何進(jìn)行證書管理與密鑰管理？

- 編輯：admin - 2018-06-22 22:12:33

證書有一定的生存期，從發(fā)布、分發(fā)到取消，它可以到期再更新。當(dāng)然，任何認(rèn)證中的數(shù)據(jù)庫都必須進(jìn)行有效的備份，并為任何不測做好準(zhǔn)備。

證書有一定的生存期，從發(fā)布、分發(fā)到取消，它可以到期再更新。當(dāng)然，任何認(rèn)證中的數(shù)據(jù)庫都必須進(jìn)行有效的備份，并為任何不測做好準(zhǔn)備。應(yīng)該為認(rèn)證中心制定政策并公布，它要指明證書的有效期，與密鑰持有有人的密鑰對連接的證據(jù)，以及防范正在雇用但不被信任的雇員應(yīng)采取的步驟。認(rèn)證中心系統(tǒng)應(yīng)具備最基本的性能和很高的保密性。在一個(gè)可以互操作的公共密鑰體系結(jié)構(gòu)中，折中的密鑰可能破解許多信任鏈并使特殊用戶的安全性消失。對專用密鑰的訪問就好像是用口令保護(hù)一樣，處理被忘掉的口令的方法也值得認(rèn)真考慮，除了密鑰持有人外，其他人員是不能使用專用密鑰進(jìn)行訪問的。用于加密的密鑰也需要備份，否則密鑰可能丟失或改變，用此密鑰加密的數(shù)據(jù)也會(huì)丟失。但是數(shù)字簽名的密鑰卻不能用工具備份，因?yàn)槿绻腥藖G失了用于數(shù)字簽名的專用密鑰，還可以產(chǎn)生一個(gè)新的專用密鑰使它與原來的公共密鑰一起工作。

將密鑰交與第三方保存是與密鑰備份不同的另一個(gè)問題。一般來說，有一個(gè)或多個(gè)第三方保存密鑰的工具或部分密鑰工具，所有第三方密鑰持有人一起才能生成一個(gè)完整的工具。另一個(gè)較好的方法是周期型地更新密鑰，就像生成公共/專用密鑰對一樣，更新密鑰也要花費(fèi)CPU的周期，比較好的辦法是錯(cuò)開更新的日期。

證書管理不是一個(gè)直觀的機(jī)制，它不僅發(fā)布數(shù)字證書，它還要建立、維護(hù)證書作廢列表(CRL，Certificate Revocation List)。如果用戶的專用密鑰丟失，或者被解雇，或者工作發(fā)生了改變，不需要訪問現(xiàn)在的東西，那么必須有一種方法使原來有效的證書失效。因此需要一個(gè)驗(yàn)證數(shù)字證書有效性的過程，以檢查證書管理者的公共密鑰對證書是否有效，驗(yàn)證證書是否被修改，是否過期，是否作廢。一個(gè)值得注意的問題是CRL的可伸縮性，如果有效期過長，CRL就不斷加長，這需要更多的計(jì)算機(jī)資源來搜索它:如果證書更新太快，又給管理帶來麻煩。

證書管理的另一個(gè)問題是如何相互作用，或者說，信任是否可以傳遞:如果Y信任Z，而且X信任Y，那么X是否能自動(dòng)信任Z呢?這個(gè)問題可歸結(jié)為，轉(zhuǎn)介認(rèn)證機(jī)制具有傳遞性。PGP的作者Phil Zimmermann有句話:“信賴不具有傳遞性。我有個(gè)我相相信他決不

撒謊的朋友，可是他是個(gè)認(rèn)定總統(tǒng)不撒謊的傻瓜，但很顯然，我并不認(rèn)為總統(tǒng)決不撒謊。”那么網(wǎng)站建設(shè)用戶是否可以在與用戶信任的認(rèn)證中心和他不知道的認(rèn)證中心之間達(dá)成相互信任關(guān)系呢?如果能得到這樣一個(gè)信任鏈，那么它們的擴(kuò)展是否可以接受?X.509標(biāo)準(zhǔn)提供一個(gè)反向證書，它包括其他認(rèn)證中心經(jīng)過認(rèn)證的密鑰，這種能力提供了靈活的交叉認(rèn)證，但它不能解決識別和實(shí)現(xiàn)信任鏈的擴(kuò)展。

你會(huì)喜歡下面的文章? You'll like the following article.