公開金鑰認證
維基百科,自由的 encyclopedia
公開金鑰認證(英語:Public key certificate),又稱數碼證書(digital certificate)或身份證書(identity certificate)。是用於公開金鑰基礎建設的電子檔案,用來證明公開金鑰擁有者的身份。此檔案包含了公鑰資訊、擁有者身份資訊(主體)、以及數碼證書認證機構(發行者)對這份檔案的數碼簽章,以保證這個檔案的整體內容正確無誤。擁有者憑着此檔案,可向電腦系統或其他用戶表明身份,從而對方獲得信任並授權存取或使用某些敏感的電腦服務。電腦系統或其他用戶可以透過一定的程序核實證書上的內容,包括證書有否過期、數碼簽章是否有效,如果你信任簽發的機構,就可以信任證書上的金鑰,憑公鑰加密與擁有者進行可靠的通訊。
簡而言之,認證機構用自己的私鑰對需要認證的人(或組織機構)的公鑰施加數碼簽章並生成證書,即證書的本質就是對公鑰施加數碼簽章。[1]
數碼證書的其中一個最主要好處是在認證擁有者身份期間,擁有者的敏感個人資料(如出生日期、身份證號碼等)並不會傳輸至索取資料者的電腦系統上。透過這種資料交換模式,擁有者既可證實自己的身份,亦不用過度披露個人資料,對保障電腦服務存取雙方皆有好處。
人們透過信任數碼證書認證機構的根證書、及其使用公開金鑰加密作數碼簽章核發的公開金鑰認證,形成信任鏈架構,已在TLS實作並在萬維網的HTTPS、在電子郵件的SMTPS和STARTTLS廣泛應用。業界現行的標準是國際電信聯盟電信標準化部門制定的X.509[2],並由IETF發行的RFC 5280詳細述明。而在不少國家/地區,都已立法承認使用數碼證書所作的數碼簽章擁有等同親筆簽章的法律效力(如歐洲聯盟[3][4]、香港[5][6]、台灣[7]、美國、加拿大)。