对于用户来说,创建公钥/私钥对是一项简单的操作。由于公钥是公开的,且放在易被访问的位置,入侵者可自己生成密钥对,然后用他的公钥替换那个已用于标志某人的公钥。在替换后的公钥被公布后,入侵者就能用他有的私钥来生成一个签名,使用户确认该签名并错误的信任他。因此只拥有一对公钥/私钥是不足来确立一个可信任的身份的,而PKI利用技术处理了网络通信安全的所有阻碍,CA从运营、管理、存储、规范、法律、人员等多个角度解决了网络信任问题。PKI即公开密钥体系,是由公开密钥密码技术、数字证书、证书认证中心与有关公开密钥安全策略等基本成分一起构成的,给全部网络应用给出加密与数字签名等服务的一种密钥与证书管理体系。PKI技术为信息安全技术的核心,利用自动管理密钥数字证书,给用户建立起一个安全的网络运行环境,让用户可在多种应用环境中便捷地借助加密与数字签名技术,从而确保网上数据的机密性、完整性与不可抵赖性。简而言之,PKI是用公钥理论与技术构建的有安全服务的基础设施。
现在认为在国内特别广泛用的RSA1024位算法不再安全,国家密码管理局下达了通知:从2011年7月1日开始运行且用公钥密码的信息系统,应用SM2椭圆曲线密码算法。SM2与RSA算法相同,均在非对称算法体系中,SM2是椭圆曲线加密算法的一种,是基于椭圆曲线上点群离散对数难题。192位的SM2密码强度相对RSA 2048位的高,存储空间小,密码通常用192-256位,签名速度更快。SM2在私钥运算方面,速度远远相对RSA快很多。SM2为国产算法,是国家密码管理部门制定规范,没有不能公开的密码,保证没有国外能利用的后门,所以相对RSA算法,SM2安全性更高,被破解的可能是微不足道的。
