数字证书保护
① 如何保护数字证书和私钥
需要澄清的概念 一、关于私钥的唯一性 严格地讲,私钥既然是世上唯一且只由主体本身持有,它就必须由主体的计算机程序来生成。因为如果在别处生成将会有被拷贝的机会。然而在实际应用上并非如此,出于某些特殊需要(例如,如果只有一份私钥,单位的加密文件就会因为离职员工带走私钥而无法解密。)加密用的公/私钥对会要求在可信的第三方储存其备份。这样,加密用的私钥可能并不唯一。然而签名用的私钥则必须保持唯一,否则就无法保证被签名信息的不可否认性。 在生成用户的密钥对时,用于加密的公/私钥对可以由CA、RA产生,也可以在用户终端的机器上用专用的程序(如浏览器程序或认证软件)来产生。用于数字签名的密钥对原则上只能由用户终端的程序自行产生,才能保证私钥信息的私密性以及通信信息的不可否认性。 我们常常听到有人说:保管好你的软盘,保管好你的KEY,不要让别人盗用你的证书。有些教科书上也这样讲。应该说,这句话是有毛病的。数字证书可以在网上公开,并不怕别人盗用和篡改。因为证书的盗用者在没有掌握相应的私钥的情况下,盗用别人的证书既不能完成加密通信,又不能实现数字签名,没有任何实际用处。而且,由于有CA对证书内容进行了数字签名,在网上公开的证书也不怕黑客篡改。我们说,更该得到保护的是储存在介质中的私钥。如果黑客同时盗走了证书和私钥,危险就会降临。 不同的存储介质,安全性是不同的。如果证书和私钥储存在计算机的硬盘里,计算机一旦受到黑客攻击,(例如被埋置了木马程序)证书和私钥就可能被盗用。 使用软盘或存储型IC卡来保存证书和私钥,安全性要比硬盘好一些,因为这两种介质仅仅在使用时才与电脑相连,用完后即被拔下,证书和私钥被窃取的可能性有所降低。但是黑客还是有机会,由于软盘和存储型IC卡不具备计算能力,在进行加密运算时,用户的私钥必须被调出软盘或IC卡进入外部的电脑,在这个过程中就会造成一定的安全隐患。 产生公私密钥对的程序(指令集)是智能卡生产者烧制在芯片中的ROM中的,密码算法程序也是烧制在ROM中。公私密钥对在智能卡中生成后,公钥可以导出到卡外,而私钥则存储于芯片中的密钥区,不允许外部访问。 USB Key和智能卡除了I/O物理接口不一样以外,内部结构和技术是完全一样的,其安全性也一样。只不过智能卡需要通过读卡器接到电脑的串行接口上,而USB Key通过电脑的通用串行总线(USB)接口直接与电脑相接。另外,USB接口的通信速度要远远高于串行接口的通信速度。现在出品的电脑已经把USB接口作为标准配置,而使用智能卡则需要加配读卡器。出于以上原因,各家CA都把USB Key作为首选的证书和私钥存储介质而加以推广。 为了防止USB key 不慎丢失而可能被他人盗用,不少证书应用系统在使用过程中还设置了口令认证机制。如口令输入得不对,即使掌握了USB key,也不能登录进入应用系统。
② 在安装数字证书时,总是提示没有设置密码保护,怎么解决啊
你去换个浏览器试试看
③ 如何保护自己的企业数字证书
数字证书里主要是有私钥,保护数字证书也就是保障私钥的安全。
私钥的保存有两种方式:
1、以文件的形式保存在你的硬盘中,
2、产生私钥时,浏览器会要求你提供密码,通过密码来保护私钥的安全。
下列情况下第三方可以访问到你的私钥:1、能够访问用于存储密钥的文件(该文件往往是你的计算机系统配置文件的一部分);2、知道保护私钥的密码。某些软件允许你选择不使用密码来保护你的私钥,如果选择了该选项,你必须确信现在或者将来不会有人在非授权的情况下使用你的计算机。
我该怎样保存我的私钥?
通过物理的安全保护来保护你的计算机不被非授权使用。要使用访问控制产品或者操作系统保护措施(例如系统密码),采取措施来防病毒,因为病毒能攻击私钥。一般选择一个好的密码来保护私钥。
我需要在家里和办公室都使用我的数字证书,我可以安全的在计算机之间移动我的私钥和数字证书吗?
在计算机之间移动密钥和数字证书是可能的,只要两台计算机都使用同样的软件。你需要询问软件供应商是否有这样的软件应用。在你打算移动密钥时,使用安全的密码来保护你的密钥是非常重要的。
我忘了我的私钥密码,有人能帮我更换掉它吗?
不能。如果你忘了你的私钥密码,没有人能帮助你。你只能产生新的密钥对和获得新的证书。所有用你的公钥加密的安全电子邮件都会失效,除非你的PKI体系具有密钥备份和密钥恢复系统并且该系统已经备份了你的私钥(该方式一般在支持双密钥对体系中)。有些情况下,你还需要重新安装你的电子邮件程序和网络浏览器。
有人偷了我的计算机,而我已经选择不要密码保护我的私钥,我现在该怎么办?
你应该立即通知CA数字证书受理点,你的私钥受到安全威胁,它会安排撤销你的证书并给你颁发新的证书。注意:虽然关系伙伴一般都会检查证书的撤销状态,但仍然有些不会去这么做。最好的办法是通知所有可能受到影响的人你的私钥已经不安全了。
有人偷了我的计算机,他们现在拥有我的证书的私钥吗?
如果你使用了一个好的密码来保护你的私钥,那别人就不可能使用你的私钥。你应该和给你发证的CA中心联系,要求废除你的证书,然后给你发放一个新的证书(有新的密钥对)。
另外汇信科技的e照通服务可以很好的解决企业数字证书安全等一系列相关问题,帮您很好的承担了的风险,希望以上回答能解决您的疑惑。
④ 数字证书的作用是什么
数字证书:安全性很高,形式与一般的IE证书不同。作用是更高级别的保护你的个人资料的安全。并与你的个人设定的资料完全吻合,也就是说只有你知道,同时所谓的网络钩子很难破解了。。。
⑤ 怎样保护好你的数字证书和数字签名麻烦告诉我
读者看到了这个题目,可能会产生这样的疑问:数字证书和数字签名本来就是网银交易的安全保护者,怎么它们自己还需要保护呢?是的!它们也需要保护,正如战士的枪是杀敌和自卫的武器,但枪本身也需要保护一样。下面,分两个方面讲讲这个问题。 数字证书和双因素认证 现在,大多数银行都建议网上银行客户使用随身携带的移动证书(工商银行称其为“U盾”)。这种放在USB Key中的数字证书在使用时私钥不出界面,接口上输入输出的数据全是加了密的密文,黑客无法截获有用信息,也无法窃取私钥造假,有效地保护了网银交易的安全。但是,如果移动证书一旦遗失,就会造成被人冒用的危险。因此,银行也会告诫用户,遗失移动证书的客户应及时到银行挂失,重新领取证书。新证书的密钥要重新换过,老证书被作废,这就避免了证书遗失后被人冒用的危险。 但是,从证书遗失或被窃,到客户发现遗失,去银行挂失,然后到银行将老证书作废,给客户换发新证书等等,这个过程是需要一定的时间的。如果不法分子在拿到证书后立即作案,你还是来不及避免损失。这可怎么办呢? 为了避免这种情况,对证书就需要采取一定的保护措施。一方面,客户需要妥善地保管自己的数字证书,不遗失不被窃,还要养成良好习惯,网银交易完成后要立即拔下移动证书,避免被他人冒用;另一方面,从技术上要采取保护措施,例如要设置双因素认证机制。 什么是双因素认证机制呢?简单地讲,就是用两种不同的方法和途径(即因素)来进行身份认证。 从安全理论上讲,身份认证的因素可以分成三类: 第一类因素是认证对象“所知道的内容”,例如口令密码和身份证号码等。这需要使用者记忆。 第二类因素是认证对象“所拥有的物品”,例如数字证书、银行卡、身份证、权威机构的证明信等。在线下交易中,认证对象所拥有的物品需要随身携带,但在网上交易中,银行卡、身份证、权威机构的证明信就无法使用了,只有数字证书靠着特殊的PKI技术,可以看作是认证对象所拥有的物品。 第三类因素是认证对象“所具备的特征”,例如面容、指纹、瞳孔、声音等。这是认证对象本身拥有的惟一特征,一般用于现场认证,现在通过特殊的装置也可以用于网上认证。 单独来看,这三个因素中的任何一个都有问题。“所拥有的物品”可以被盗走;“所知道的内容”可以被猜出、被分享,复杂的内容可能会忘记;“所具备的特征”最为简单而强大,生物特征随身自带,重现率极低且极不易仿冒,但是代价昂贵,一般用在顶级安全需求中。 把以上三种认证因素中的任意两种结合起来形成双重认证,就是双因素认证机制。显然,双因素认证机制要比单因素认证机制更为安全。 现在,我们回过头来说证书的保护。 如果客户在领取证书的同时,银行为证书设置一个密码口令,要求在网上交易使用证书时,先要客户回答口令,不能正确回答口令者就不能使用证书。那么,即使证书遗失或被盗,不法分子拿到证书也完成不了网银交易,这就相当于为证书加了一道防护锁。 从理论上讲,这里使用了双因素认证机制:认证对象所拥有的物品—数字证书,以及认证对象所知道的内容—密码口令。 数字签名和“所见即所签” 在《正确使用和保管你的数字证书》一文中,我们介绍了USB Key数字证书的安全性可靠性,在目前的技术条件下,还没有人能攻破USB Key数字证书的安全防护和密码机制。具体的实例是工商银行数百万U盾用户中,至今还没有一例网银盗窃案件发生。 但是世上没有绝对的事情,就算我们把USB Key数字证书,以及用USB Key中保存的私钥所做的数字签名看成是绝对可靠,黑客还是有可能通过别的途径来达到它实行网银诈骗的目的。这件事有点像二战时期马奇诺防线的故事,法国人把正面的马奇诺防线修得固若金汤,但狡猾的德国人绕过马奇诺防线,取道第三国,从侧面攻入了法国。 为了保证网银交易的数据(例如对方的帐号、转账金额等)不被篡改,客户要对这些数据用自己的私钥做数字签名。经过签名后,如果黑客再作任何篡改,银行立即就能发现,拒绝完成交易。使用USB Key数字证书更加保险,签名过程在USB Key的芯片中自行完成,私钥不出界面,避免被黑客截获。这个数字签名的机制应该说是极其安全的,坚固的密码体制就像马奇诺防线一样牢不可破。 然而还存在着一种可能,那就是黑客在客户的电脑里埋植了木马,当应用程序把网银数据从PC送往USB Key进行数字签名时,木马程序在内部总线上截获这些数据,这时候它们还没有被加密,是以明码形式存在的。然后木马程序把数据进行篡改(如将本应划给张三的账款,划到黑客账户上,或改变划款金额等),再送到USB Key进行数字签名。这时候银行并不知道数据已被篡改,它收到由客户数字签名的交易数据后验签无误,便按照篡改后的支付指令进行转帐。而客户也不知道数据已被篡改,因为银行回答客户的交易成功的消息也会被木马按照正确的数字改回来,显示在客户的屏幕上。客户看到正确的确认消息,也就不加怀疑,以为一切正常。殊不知交易已被偷梁换柱,账户上的钱已被巧妙地窃走。 好了,黑客绕过了“马奇诺防线”,从侧面实现了网银盗窃的目的。 对付这种偷梁换柱的伎俩,安全专家也有招数,那就是所谓“所见即所签”的安全策略。具体的做法是:在USB Key上加一个小液晶屏,让它在客户进行数字签名前,显示即将被签的交易数据,客户只有看到了正确的数据,才会执行签名的操作。如木马程序把数据进行了篡改,客户会立即发现而拒绝签名,交易也就失败,帐款就不会丢失。 那也许有人问,木马要是钻到USB Key里去篡改数据怎么办呢?这我们在上一篇文章中已经说过了,USB Key的设计只允许应用程序在其界面外作API调用,输入参数、数据和命令,启动USB Key内部的数字签名运算、密码运算等,并获得返回结果。任何程序不允许进入USB Key界面以内进行操作。这就堵住了黑客/木马偷梁换柱的路。
⑥ 为什么安装数字证书电脑直接蓝屏保护
蓝屏的原因很多,有硬件和软件原因,解决方案:
1、如果你是组装电脑,考虑是不是硬件兼容性问题引起起蓝屏
2、可以打开主机箱,给你的电源、cpu、显卡等风扇吹吹灰尘,清洁一下显卡和内存条。
3、是否中毒(有些导致蓝屏的病毒他很顽固,如果是中病毒反复杀毒无效,请用360急救箱,它是强力查杀木马病毒的系统救援工具,实在不行格式化)。
4、是否有软件冲突(卸载一些不常用的,可选用360卫士之类来卸载,同时清理一下开机启动项)。
⑦ 什么是数字证书数字证书能提供什么安全服务
数字证书是指CA机构发行的一种电子文档,是一串能够表明网络用户身份信息的数字,提供了一种在计算机网络上验证网络用户身份的方式,因此数字证书又称为数字标识。数字证书对网络用户在计算机网络交流中的信息和数据等以加密或解密的形式保证了信息和数据的完整性和安全性。
数字证书的基本工作原理主要体现在:
第一,发送方在发送信息前,需先与接收方联系,同时利用公钥加密信息,信息在进行传输的过程当中一直是处密文状态,包括接收方接收后也是加密的,确保了信息传输的单一性,若信息被窃取或截取,也必须利用接收方的私钥才可解读数据,而无法更改数据,这也有利保障信息的完整性和安全性。
第二,数字证书的数据签名类似于加密过程,数据在实施加密后,只有接收方才可打开或更改数据信息,并加上自己的签名后再传输至发送方,而接收方的私钥具唯一性和私密性,这也保证了签名的真实性和可靠性,进而保障信息的安全性。
数字证书有很多格式版本,主要有X.509v3(1997)、X509v4(1997)、X.509v1(1988)等。比较常用的版本是TUTrec.x.509V3,由国际电信联盟制定,内容包括证书序列号、证书有效期和公开密钥等信息。
不论是哪一个版本的数字证书,只要获得数字证书,用户就可以将其应用于网络安全中。
(7)数字证书保护扩展阅读
数字证书主要具以下三方面特征:
第一,安全性。用户申请证书时会有两份不同证书,分别用于工作电脑以及用于验证用户的信息交互,若所使用电脑不同,用户就需重新获取用于验证用户所使用电脑的证书,而无法进行备份,这样即使他人窃取了证书,也无法获取用户的账户信息,保障了账户信息。
第二,唯一性。数字证书依用户身份不同给予其相应的访问权限,若换电脑进行账户登录,而用户无证书备份,其是无法实施操作的,只能查看账户信息,数字证书就犹如“钥匙”一般,所谓“一把钥匙只能开一把锁”,就是其唯一性的体现。
第三,便利性。用户可即时申请、开通并使用数字证书,且可依用户需求选择相应的数字证书保障技术。用户不需要掌握加密技术或原理,就能够直接通过数字证书来进行安全防护,十分便捷高效。
数字证书是由CA中心所签发的,CA中心是一个具权威性、依赖度极高的第三方,其资格证书经国家颁发,可有效保障网络数据信息的安全性,使数据信息处国家掌握当中。用户在浏览网络数据信息或进行网上交易时,利用数字证书可保障信息传输及交易的安全性。
参考资料来源:网络-数字证书
⑧ 支付宝安全控件和数字证书都卸载掉了怎么还显示安全检测成功数字证书正在保护中
检查一下是否所有的支付宝数字证书都卸载掉了,卸载之后再重新安装,(这种问题我也碰到过),安装后要看到安装的程序,再刷新页面或重启电脑就可以了。
⑨ 支付宝数字证书怎么保护账户
数字证书用户电脑必须装有证书才能进行资金的相当操作。相对安全。6月2日之后安装数字证书就不用备份了,重装后再安装就是,6.2后支付宝证书类似财付通证书安装法,不用备份,每次安装用手机接收验证码即可。可以进管理证书,删除以前的证书。
⑩ 什么是数字证书有什么特点
数字证书在网络上类似于人在社会上持有的身份证等证件,用来在网络上证明数字证书持有者的身份。数字证书持有者可能是现实社会中的自然人、法人,也可能是网络设备。数字证书可以简单理解为“网络身份证”,用来在网络上证明自己的身份。
数字证书与身份证都是由专门的机构来签发。身份证通常由公安局来签发,上面盖有签发单位的公章。而受电子签名法保护的数字证书则是由国家许可的第三方数字认证中心(简称CA中心),例如获得信息产业部审批资质的天威诚信数字认证中心来签发,数字证书上面有CA中心的电子签名,以证明数字证书的有效性。根据国家相关部门的许可授权建立的数字认证中心,在Internet上具有公信力,用它签发的数字证书所签署的电子合同、电子订单等电子文书具有法律效力。
数字证书上面主要包括以下信息:证书版本号、证书持有者信息、证书签发者(CA)信息、证书起止有效期、证书序列号、证书签发者的签名等。这些信息与身份证类似。证书签发者对数字证书的签名可以起到对数字证书本身的防伪作用,这与身份证上的公章类似。但CA中心对证书的数字签名是不可能被伪造的。
基于数字证书的应用角度分类,数字证书可以分为以下几种:
服务器证书
服务器证书被安装于服务器设备上,用来证明服务器的身份和进行通信加密。服务器证书可以用来防止假冒站点。
在服务器上安装服务器证书后,客户端浏览器可以与服务器证书建立SSL连接,在SSL连接上传输的任何数据都会被加密。同时,浏览器会自动验证服务器证书是否有效,验证所访问的站点是否是假冒站点,服务器证书保护的站点多被用来进行密码登录、订单处理、网上银行交易等。全球最为知名的服务器证书品牌是verisign.其服务器证书编制起来的可信网络已覆盖全球,目前该公司已通过联合国内数字认证企业如天威诚信开展中国区服务
电子邮件证书
电子邮件证书可以用来证明电子邮件发件人的真实性。它并不证明数字证书上面CN一项所标识的证书所有者姓名的真实性,它只证明邮件地址的真实性。
收到具有有效电子签名的电子邮件,我们除了能相信邮件确实由指定邮箱发出外,还可以确信该邮件从被发出后没有被篡改过。
另外,使用接收的邮件证书,我们还可以向接收方发送加密邮件。该加密邮件可以在非安全网络传输,只有接收方的持有者才可能打开该邮件。
客户端个人证书
客户端证书主要被用来进行身份验证和电子签名。
安全的客户端证书我被存储于专用的usbkey中。存储于key中的证书不能被导出或复制,且key使用时需要输入key的保护密码。使用该证书需要物理上获得其存储介质usbkey,且需要知道key的保护密码,这也被称为双因子认证。这种认证手段是目前在internet最安全的身份认证手段之一。