數字證書保護
① 如何保護數字證書和私鑰
需要澄清的概念 一、關於私鑰的唯一性 嚴格地講,私鑰既然是世上唯一且只由主體本身持有,它就必須由主體的計算機程序來生成。因為如果在別處生成將會有被拷貝的機會。然而在實際應用上並非如此,出於某些特殊需要(例如,如果只有一份私鑰,單位的加密文件就會因為離職員工帶走私鑰而無法解密。)加密用的公/私鑰對會要求在可信的第三方儲存其備份。這樣,加密用的私鑰可能並不唯一。然而簽名用的私鑰則必須保持唯一,否則就無法保證被簽名信息的不可否認性。 在生成用戶的密鑰對時,用於加密的公/私鑰對可以由CA、RA產生,也可以在用戶終端的機器上用專用的程序(如瀏覽器程序或認證軟體)來產生。用於數字簽名的密鑰對原則上只能由用戶終端的程序自行產生,才能保證私鑰信息的私密性以及通信信息的不可否認性。 我們常常聽到有人說:保管好你的軟盤,保管好你的KEY,不要讓別人盜用你的證書。有些教科書上也這樣講。應該說,這句話是有毛病的。數字證書可以在網上公開,並不怕別人盜用和篡改。因為證書的盜用者在沒有掌握相應的私鑰的情況下,盜用別人的證書既不能完成加密通信,又不能實現數字簽名,沒有任何實際用處。而且,由於有CA對證書內容進行了數字簽名,在網上公開的證書也不怕黑客篡改。我們說,更該得到保護的是儲存在介質中的私鑰。如果黑客同時盜走了證書和私鑰,危險就會降臨。 不同的存儲介質,安全性是不同的。如果證書和私鑰儲存在計算機的硬碟里,計算機一旦受到黑客攻擊,(例如被埋置了木馬程序)證書和私鑰就可能被盜用。 使用軟盤或存儲型IC卡來保存證書和私鑰,安全性要比硬碟好一些,因為這兩種介質僅僅在使用時才與電腦相連,用完後即被拔下,證書和私鑰被竊取的可能性有所降低。但是黑客還是有機會,由於軟盤和存儲型IC卡不具備計算能力,在進行加密運算時,用戶的私鑰必須被調出軟盤或IC卡進入外部的電腦,在這個過程中就會造成一定的安全隱患。 產生公私密鑰對的程序(指令集)是智能卡生產者燒制在晶元中的ROM中的,密碼演算法程序也是燒制在ROM中。公私密鑰對在智能卡中生成後,公鑰可以導出到卡外,而私鑰則存儲於晶元中的密鑰區,不允許外部訪問。 USB Key和智能卡除了I/O物理介面不一樣以外,內部結構和技術是完全一樣的,其安全性也一樣。只不過智能卡需要通過讀卡器接到電腦的串列介面上,而USB Key通過電腦的通用串列匯流排(USB)介面直接與電腦相接。另外,USB介面的通信速度要遠遠高於串列介面的通信速度。現在出品的電腦已經把USB介面作為標准配置,而使用智能卡則需要加配讀卡器。出於以上原因,各家CA都把USB Key作為首選的證書和私鑰存儲介質而加以推廣。 為了防止USB key 不慎丟失而可能被他人盜用,不少證書應用系統在使用過程中還設置了口令認證機制。如口令輸入得不對,即使掌握了USB key,也不能登錄進入應用系統。
② 在安裝數字證書時,總是提示沒有設置密碼保護,怎麼解決啊
你去換個瀏覽器試試看
③ 如何保護自己的企業數字證書
數字證書里主要是有私鑰,保護數字證書也就是保障私鑰的安全。
私鑰的保存有兩種方式:
1、以文件的形式保存在你的硬碟中,
2、產生私鑰時,瀏覽器會要求你提供密碼,通過密碼來保護私鑰的安全。
下列情況下第三方可以訪問到你的私鑰:1、能夠訪問用於存儲密鑰的文件(該文件往往是你的計算機系統配置文件的一部分);2、知道保護私鑰的密碼。某些軟體允許你選擇不使用密碼來保護你的私鑰,如果選擇了該選項,你必須確信現在或者將來不會有人在非授權的情況下使用你的計算機。
我該怎樣保存我的私鑰?
通過物理的安全保護來保護你的計算機不被非授權使用。要使用訪問控制產品或者操作系統保護措施(例如系統密碼),採取措施來防病毒,因為病毒能攻擊私鑰。一般選擇一個好的密碼來保護私鑰。
我需要在家裡和辦公室都使用我的數字證書,我可以安全的在計算機之間移動我的私鑰和數字證書嗎?
在計算機之間移動密鑰和數字證書是可能的,只要兩台計算機都使用同樣的軟體。你需要詢問軟體供應商是否有這樣的軟體應用。在你打算移動密鑰時,使用安全的密碼來保護你的密鑰是非常重要的。
我忘了我的私鑰密碼,有人能幫我更換掉它嗎?
不能。如果你忘了你的私鑰密碼,沒有人能幫助你。你只能產生新的密鑰對和獲得新的證書。所有用你的公鑰加密的安全電子郵件都會失效,除非你的PKI體系具有密鑰備份和密鑰恢復系統並且該系統已經備份了你的私鑰(該方式一般在支持雙密鑰對體系中)。有些情況下,你還需要重新安裝你的電子郵件程序和網路瀏覽器。
有人偷了我的計算機,而我已經選擇不要密碼保護我的私鑰,我現在該怎麼辦?
你應該立即通知CA數字證書受理點,你的私鑰受到安全威脅,它會安排撤銷你的證書並給你頒發新的證書。注意:雖然關系夥伴一般都會檢查證書的撤銷狀態,但仍然有些不會去這么做。最好的辦法是通知所有可能受到影響的人你的私鑰已經不安全了。
有人偷了我的計算機,他們現在擁有我的證書的私鑰嗎?
如果你使用了一個好的密碼來保護你的私鑰,那別人就不可能使用你的私鑰。你應該和給你發證的CA中心聯系,要求廢除你的證書,然後給你發放一個新的證書(有新的密鑰對)。
另外匯信科技的e照通服務可以很好的解決企業數字證書安全等一系列相關問題,幫您很好的承擔了的風險,希望以上回答能解決您的疑惑。
④ 數字證書的作用是什麼
數字證書:安全性很高,形式與一般的IE證書不同。作用是更高級別的保護你的個人資料的安全。並與你的個人設定的資料完全吻合,也就是說只有你知道,同時所謂的網路鉤子很難破解了。。。
⑤ 怎樣保護好你的數字證書和數字簽名麻煩告訴我
讀者看到了這個題目,可能會產生這樣的疑問:數字證書和數字簽名本來就是網銀交易的安全保護者,怎麼它們自己還需要保護呢?是的!它們也需要保護,正如戰士的槍是殺敵和自衛的武器,但槍本身也需要保護一樣。下面,分兩個方面講講這個問題。 數字證書和雙因素認證 現在,大多數銀行都建議網上銀行客戶使用隨身攜帶的移動證書(工商銀行稱其為「U盾」)。這種放在USB Key中的數字證書在使用時私鑰不出界面,介面上輸入輸出的數據全是加了密的密文,黑客無法截獲有用信息,也無法竊取私鑰造假,有效地保護了網銀交易的安全。但是,如果移動證書一旦遺失,就會造成被人冒用的危險。因此,銀行也會告誡用戶,遺失移動證書的客戶應及時到銀行掛失,重新領取證書。新證書的密鑰要重新換過,老證書被作廢,這就避免了證書遺失後被人冒用的危險。 但是,從證書遺失或被竊,到客戶發現遺失,去銀行掛失,然後到銀行將老證書作廢,給客戶換發新證書等等,這個過程是需要一定的時間的。如果不法分子在拿到證書後立即作案,你還是來不及避免損失。這可怎麼辦呢? 為了避免這種情況,對證書就需要採取一定的保護措施。一方面,客戶需要妥善地保管自己的數字證書,不遺失不被竊,還要養成良好習慣,網銀交易完成後要立即拔下移動證書,避免被他人冒用;另一方面,從技術上要採取保護措施,例如要設置雙因素認證機制。 什麼是雙因素認證機制呢?簡單地講,就是用兩種不同的方法和途徑(即因素)來進行身份認證。 從安全理論上講,身份認證的因素可以分成三類: 第一類因素是認證對象「所知道的內容」,例如口令密碼和身份證號碼等。這需要使用者記憶。 第二類因素是認證對象「所擁有的物品」,例如數字證書、銀行卡、身份證、權威機構的證明信等。在線下交易中,認證對象所擁有的物品需要隨身攜帶,但在網上交易中,銀行卡、身份證、權威機構的證明信就無法使用了,只有數字證書靠著特殊的PKI技術,可以看作是認證對象所擁有的物品。 第三類因素是認證對象「所具備的特徵」,例如面容、指紋、瞳孔、聲音等。這是認證對象本身擁有的惟一特徵,一般用於現場認證,現在通過特殊的裝置也可以用於網上認證。 單獨來看,這三個因素中的任何一個都有問題。「所擁有的物品」可以被盜走;「所知道的內容」可以被猜出、被分享,復雜的內容可能會忘記;「所具備的特徵」最為簡單而強大,生物特徵隨身自帶,重現率極低且極不易仿冒,但是代價昂貴,一般用在頂級安全需求中。 把以上三種認證因素中的任意兩種結合起來形成雙重認證,就是雙因素認證機制。顯然,雙因素認證機制要比單因素認證機制更為安全。 現在,我們回過頭來說證書的保護。 如果客戶在領取證書的同時,銀行為證書設置一個密碼口令,要求在網上交易使用證書時,先要客戶回答口令,不能正確回答口令者就不能使用證書。那麼,即使證書遺失或被盜,不法分子拿到證書也完成不了網銀交易,這就相當於為證書加了一道防護鎖。 從理論上講,這里使用了雙因素認證機制:認證對象所擁有的物品—數字證書,以及認證對象所知道的內容—密碼口令。 數字簽名和「所見即所簽」 在《正確使用和保管你的數字證書》一文中,我們介紹了USB Key數字證書的安全性可靠性,在目前的技術條件下,還沒有人能攻破USB Key數字證書的安全防護和密碼機制。具體的實例是工商銀行數百萬U盾用戶中,至今還沒有一例網銀盜竊案件發生。 但是世上沒有絕對的事情,就算我們把USB Key數字證書,以及用USB Key中保存的私鑰所做的數字簽名看成是絕對可靠,黑客還是有可能通過別的途徑來達到它實行網銀詐騙的目的。這件事有點像二戰時期馬奇諾防線的故事,法國人把正面的馬奇諾防線修得固若金湯,但狡猾的德國人繞過馬奇諾防線,取道第三國,從側面攻入了法國。 為了保證網銀交易的數據(例如對方的帳號、轉賬金額等)不被篡改,客戶要對這些數據用自己的私鑰做數字簽名。經過簽名後,如果黑客再作任何篡改,銀行立即就能發現,拒絕完成交易。使用USB Key數字證書更加保險,簽名過程在USB Key的晶元中自行完成,私鑰不出界面,避免被黑客截獲。這個數字簽名的機制應該說是極其安全的,堅固的密碼體制就像馬奇諾防線一樣牢不可破。 然而還存在著一種可能,那就是黑客在客戶的電腦里埋植了木馬,當應用程序把網銀數據從PC送往USB Key進行數字簽名時,木馬程序在內部匯流排上截獲這些數據,這時候它們還沒有被加密,是以明碼形式存在的。然後木馬程序把數據進行篡改(如將本應劃給張三的賬款,劃到黑客賬戶上,或改變劃款金額等),再送到USB Key進行數字簽名。這時候銀行並不知道數據已被篡改,它收到由客戶數字簽名的交易數據後驗簽無誤,便按照篡改後的支付指令進行轉帳。而客戶也不知道數據已被篡改,因為銀行回答客戶的交易成功的消息也會被木馬按照正確的數字改回來,顯示在客戶的屏幕上。客戶看到正確的確認消息,也就不加懷疑,以為一切正常。殊不知交易已被偷梁換柱,賬戶上的錢已被巧妙地竊走。 好了,黑客繞過了「馬奇諾防線」,從側面實現了網銀盜竊的目的。 對付這種偷梁換柱的伎倆,安全專家也有招數,那就是所謂「所見即所簽」的安全策略。具體的做法是:在USB Key上加一個小液晶屏,讓它在客戶進行數字簽名前,顯示即將被簽的交易數據,客戶只有看到了正確的數據,才會執行簽名的操作。如木馬程序把數據進行了篡改,客戶會立即發現而拒絕簽名,交易也就失敗,帳款就不會丟失。 那也許有人問,木馬要是鑽到USB Key里去篡改數據怎麼辦呢?這我們在上一篇文章中已經說過了,USB Key的設計只允許應用程序在其界面外作API調用,輸入參數、數據和命令,啟動USB Key內部的數字簽名運算、密碼運算等,並獲得返回結果。任何程序不允許進入USB Key界面以內進行操作。這就堵住了黑客/木馬偷梁換柱的路。
⑥ 為什麼安裝數字證書電腦直接藍屏保護
藍屏的原因很多,有硬體和軟體原因,解決方案:
1、如果你是組裝電腦,考慮是不是硬體兼容性問題引起起藍屏
2、可以打開主機箱,給你的電源、cpu、顯卡等風扇吹吹灰塵,清潔一下顯卡和內存條。
3、是否中毒(有些導致藍屏的病毒他很頑固,如果是中病毒反復殺毒無效,請用360急救箱,它是強力查殺木馬病毒的系統救援工具,實在不行格式化)。
4、是否有軟體沖突(卸載一些不常用的,可選用360衛士之類來卸載,同時清理一下開機啟動項)。
⑦ 什麼是數字證書數字證書能提供什麼安全服務
數字證書是指CA機構發行的一種電子文檔,是一串能夠表明網路用戶身份信息的數字,提供了一種在計算機網路上驗證網路用戶身份的方式,因此數字證書又稱為數字標識。數字證書對網路用戶在計算機網路交流中的信息和數據等以加密或解密的形式保證了信息和數據的完整性和安全性。
數字證書的基本工作原理主要體現在:
第一,發送方在發送信息前,需先與接收方聯系,同時利用公鑰加密信息,信息在進行傳輸的過程當中一直是處密文狀態,包括接收方接收後也是加密的,確保了信息傳輸的單一性,若信息被竊取或截取,也必須利用接收方的私鑰才可解讀數據,而無法更改數據,這也有利保障信息的完整性和安全性。
第二,數字證書的數據簽名類似於加密過程,數據在實施加密後,只有接收方才可打開或更改數據信息,並加上自己的簽名後再傳輸至發送方,而接收方的私鑰具唯一性和私密性,這也保證了簽名的真實性和可靠性,進而保障信息的安全性。
數字證書有很多格式版本,主要有X.509v3(1997)、X509v4(1997)、X.509v1(1988)等。比較常用的版本是TUTrec.x.509V3,由國際電信聯盟制定,內容包括證書序列號、證書有效期和公開密鑰等信息。
不論是哪一個版本的數字證書,只要獲得數字證書,用戶就可以將其應用於網路安全中。
(7)數字證書保護擴展閱讀
數字證書主要具以下三方面特徵:
第一,安全性。用戶申請證書時會有兩份不同證書,分別用於工作電腦以及用於驗證用戶的信息交互,若所使用電腦不同,用戶就需重新獲取用於驗證用戶所使用電腦的證書,而無法進行備份,這樣即使他人竊取了證書,也無法獲取用戶的賬戶信息,保障了賬戶信息。
第二,唯一性。數字證書依用戶身份不同給予其相應的訪問許可權,若換電腦進行賬戶登錄,而用戶無證書備份,其是無法實施操作的,只能查看賬戶信息,數字證書就猶如「鑰匙」一般,所謂「一把鑰匙只能開一把鎖」,就是其唯一性的體現。
第三,便利性。用戶可即時申請、開通並使用數字證書,且可依用戶需求選擇相應的數字證書保障技術。用戶不需要掌握加密技術或原理,就能夠直接通過數字證書來進行安全防護,十分便捷高效。
數字證書是由CA中心所簽發的,CA中心是一個具權威性、依賴度極高的第三方,其資格證書經國家頒發,可有效保障網路數據信息的安全性,使數據信息處國家掌握當中。用戶在瀏覽網路數據信息或進行網上交易時,利用數字證書可保障信息傳輸及交易的安全性。
參考資料來源:網路-數字證書
⑧ 支付寶安全控制項和數字證書都卸載掉了怎麼還顯示安全檢測成功數字證書正在保護中
檢查一下是否所有的支付寶數字證書都卸載掉了,卸載之後再重新安裝,(這種問題我也碰到過),安裝後要看到安裝的程序,再刷新頁面或重啟電腦就可以了。
⑨ 支付寶數字證書怎麼保護賬戶
數字證書用戶電腦必須裝有證書才能進行資金的相當操作。相對安全。6月2日之後安裝數字證書就不用備份了,重裝後再安裝就是,6.2後支付寶證書類似財付通證書安裝法,不用備份,每次安裝用手機接收驗證碼即可。可以進管理證書,刪除以前的證書。
⑩ 什麼是數字證書有什麼特點
數字證書在網路上類似於人在社會上持有的身份證等證件,用來在網路上證明數字證書持有者的身份。數字證書持有者可能是現實社會中的自然人、法人,也可能是網路設備。數字證書可以簡單理解為「網路身份證」,用來在網路上證明自己的身份。
數字證書與身份證都是由專門的機構來簽發。身份證通常由公安局來簽發,上面蓋有簽發單位的公章。而受電子簽名法保護的數字證書則是由國家許可的第三方數字認證中心(簡稱CA中心),例如獲得信息產業部審批資質的天威誠信數字認證中心來簽發,數字證書上面有CA中心的電子簽名,以證明數字證書的有效性。根據國家相關部門的許可授權建立的數字認證中心,在Internet上具有公信力,用它簽發的數字證書所簽署的電子合同、電子訂單等電子文書具有法律效力。
數字證書上面主要包括以下信息:證書版本號、證書持有者信息、證書簽發者(CA)信息、證書起止有效期、證書序列號、證書簽發者的簽名等。這些信息與身份證類似。證書簽發者對數字證書的簽名可以起到對數字證書本身的防偽作用,這與身份證上的公章類似。但CA中心對證書的數字簽名是不可能被偽造的。
基於數字證書的應用角度分類,數字證書可以分為以下幾種:
伺服器證書
伺服器證書被安裝於伺服器設備上,用來證明伺服器的身份和進行通信加密。伺服器證書可以用來防止假冒站點。
在伺服器上安裝伺服器證書後,客戶端瀏覽器可以與伺服器證書建立SSL連接,在SSL連接上傳輸的任何數據都會被加密。同時,瀏覽器會自動驗證伺服器證書是否有效,驗證所訪問的站點是否是假冒站點,伺服器證書保護的站點多被用來進行密碼登錄、訂單處理、網上銀行交易等。全球最為知名的伺服器證書品牌是verisign.其伺服器證書編制起來的可信網路已覆蓋全球,目前該公司已通過聯合國內數字認證企業如天威誠信開展中國區服務
電子郵件證書
電子郵件證書可以用來證明電子郵件發件人的真實性。它並不證明數字證書上面CN一項所標識的證書所有者姓名的真實性,它只證明郵件地址的真實性。
收到具有有效電子簽名的電子郵件,我們除了能相信郵件確實由指定郵箱發出外,還可以確信該郵件從被發出後沒有被篡改過。
另外,使用接收的郵件證書,我們還可以向接收方發送加密郵件。該加密郵件可以在非安全網路傳輸,只有接收方的持有者才可能打開該郵件。
客戶端個人證書
客戶端證書主要被用來進行身份驗證和電子簽名。
安全的客戶端證書我被存儲於專用的usbkey中。存儲於key中的證書不能被導出或復制,且key使用時需要輸入key的保護密碼。使用該證書需要物理上獲得其存儲介質usbkey,且需要知道key的保護密碼,這也被稱為雙因子認證。這種認證手段是目前在internet最安全的身份認證手段之一。