PDF数字签名解析
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
只要其钥匙的长度足够长,用RSA加密的信息实际上是不能被解破的。 SET(Secure Electronic Transaction)协议中要求CA采用2048bits长的密钥,
其他实体使用1024比特的密钥。
公钥基础设施(PKI)
私钥加密
网络传输文档、公钥
公钥解密得到信息
A
B
怎样才能知道任意一个公开密钥是属于谁的?如果收到一个自称是 某人的公开密钥,能相信它吗?
公钥基础设施(PKI)
数字证书
包含用户标识、用户公钥及其它信息、CA签名,是网络用户的身份证明 ,相当于现实生活中的个人身份证。
证书颁发机构CA
它向用户颁发数字证书,证书中含有用户名、公开密钥以及其他身份信 息,并由证书颁发机构对之进行了数字签名,即证书的拥有者是被证 书机构所信任的。
若信任证书机构 信任证书拥有者
公钥基础设施(PKI)
数字证书格式
目前广泛采用的证 书格式是国际电 信联盟(ITU)提 出的X.509v3格式
内容 版本V 证书序列号 算法标识符 参数 颁发者 起始时间 终止时间 持证者 算法 参数 持证书人公钥 扩展部分 数字签名
说明 X.509版本号 用于标识证书 签名证书的算法标识符 算法规定的参数 证书颁发者的名称及标识符(X.500) 证书的有效期 证书的有效期 证书持有者的姓名及标识符 证书的公钥算法 证书的公钥参数 证书的公钥
实际上,PKI是生成、管理、存储、分发和撤销基于公开密码的公钥证 书所需要的硬件、软件、人员、策略和规程的总和。
公钥基础设施(PKI)
PKI标准化
公钥加密标准PKCS(Public Key Cryptography Standards)
由RSA公司制定,定义了许多基本PKI部件,包括数字签名和证书请求格式等
问题所在:对公钥缺乏鉴别机制!
公钥基础设施(PKI)
公钥基础设施(Public Key Infrastructure,简称PKI) PKI采用证书进行公钥管理,通过第三方的可信任机构(认证中心,
即CA),把用户的公钥和用户的其他标识信息捆绑在一起,其中包 括用户信息,用于网络验证用户的身份。 PKI把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动 管理,保证网上数据的安全传输。 是目前网络安全建设的基础与核心,是电子商务安全实施的基本保障
CA对该证书的附加信息,如密钥的用途 证书所有数据经H运行后CA用私钥签名
公钥基础设施(PKI)
X.509(1993)
X.509是由国际电信联盟(ITU-T)制定的数字证书标准。在X.500确保 用户名称惟一性的基础上,X.509为X.500用户名称提供了通信实体的 鉴别机制,并规定了实体鉴别过程中广泛适用的证书语法和数据接口 。
PDF标准定义的数字签名 认证签名设置文档的三种权限
1. 不允许任何修改 2. 只允许填表单 3. 只允许填表单和写注释
任何权限外的修改,将导致签名失效。
PDF标准定义的数字签名
签名的交互操作功能
目的:使签名支持不同厂商的验证。 标准定义了几种标准的验证方法,全部是基于公钥加密标准。 1. PKCS#1 签名
公钥(public key):可以对任何人公开的密钥,用于加密消息或验证签名。 私钥(private key):只能由用户私存,用于解密消息或签名。
非对称 公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应 的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的 公开密钥才能解密。
具有互操作性的公钥基础设施协议PKIX。
由Internet工程任务组IETF(Internet Engineering Task Force)和PKI工作组 PKIX(Public Key Infrastructure Working Group)所定义。
在今后很长的一段时间内,PKCS和PKIX将会并存,大部分的PKI产 品为保持兼容性,也将会对这两种标准进行支持。
PDF数字签名是一个国际化标准,ISO 32000标准 数字签名包含用户信息、文档状态
两种行为
1. 对pdf文档进行数字签名 2 . 验证签名是否有效
PDF标准定义的数字签名
签名的标准类型
1. 最多一个认证签名 (certification signature) 2. 一个或多个审批签名(approval signature)
PKCS系列标准
PKCS是由美国RSA数据安全公司及其合作伙伴制定的一组公钥密码学 标准,其中包括证书申请、证书更新、证书作废表发布、扩展证书内 容以及数字签名、数字信封的格式等方面的一系列相关协议。
PKCS#7
定义一种通用的消息语法,包括数字签名和加密等用于增强的加密机制
公钥基础设施(PKI)
PDF数字签名
数字签名介绍
PDF数字签名
公钥基础设施(PKI) PDF标准定义的数字签名 PDF数字签名
公钥基础设施(PLeabharlann BaiduI)
公钥密码学与RSA算法 证书与CA
公钥基础设施(PKI)
公钥密码学
又称不对称加密。密码学发展历史中最伟大的一次革命 1976年 斯坦福大学Diffie和Hellman 提出 基于数论中的结论 公钥/私钥
公钥基础设施(PKI)
RSA算法
1977由MIT的Rivest, Shamir 和 Adleman发明
RSA算法基于一个十分简单的数论事实:将两个大素数相乘十分容易,但是想 要对其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥。
已知的且被广泛使用的公钥密码方案
RSA是目前最有影响力的公钥加密算法,它能够抵抗到目前为止已知的绝大多 数密码攻击,已被ISO推荐为公钥数据加密标准。
使用RSA加密算法和SHA-1摘要方法 2. PKCS#7 签名
支付宝个人数字证书实例
公钥基础设施(PKI)
windows系统运行certmgr.msc打开证书管理
公钥基础设施(PKI)
使用PKI的例子
https 网银的数字证书 支付宝数字证书
PDF标准定义的数字签名
PDF签名类型与功能 PDF签名验证方法与标准
PDF标准定义的数字签名
其他实体使用1024比特的密钥。
公钥基础设施(PKI)
私钥加密
网络传输文档、公钥
公钥解密得到信息
A
B
怎样才能知道任意一个公开密钥是属于谁的?如果收到一个自称是 某人的公开密钥,能相信它吗?
公钥基础设施(PKI)
数字证书
包含用户标识、用户公钥及其它信息、CA签名,是网络用户的身份证明 ,相当于现实生活中的个人身份证。
证书颁发机构CA
它向用户颁发数字证书,证书中含有用户名、公开密钥以及其他身份信 息,并由证书颁发机构对之进行了数字签名,即证书的拥有者是被证 书机构所信任的。
若信任证书机构 信任证书拥有者
公钥基础设施(PKI)
数字证书格式
目前广泛采用的证 书格式是国际电 信联盟(ITU)提 出的X.509v3格式
内容 版本V 证书序列号 算法标识符 参数 颁发者 起始时间 终止时间 持证者 算法 参数 持证书人公钥 扩展部分 数字签名
说明 X.509版本号 用于标识证书 签名证书的算法标识符 算法规定的参数 证书颁发者的名称及标识符(X.500) 证书的有效期 证书的有效期 证书持有者的姓名及标识符 证书的公钥算法 证书的公钥参数 证书的公钥
实际上,PKI是生成、管理、存储、分发和撤销基于公开密码的公钥证 书所需要的硬件、软件、人员、策略和规程的总和。
公钥基础设施(PKI)
PKI标准化
公钥加密标准PKCS(Public Key Cryptography Standards)
由RSA公司制定,定义了许多基本PKI部件,包括数字签名和证书请求格式等
问题所在:对公钥缺乏鉴别机制!
公钥基础设施(PKI)
公钥基础设施(Public Key Infrastructure,简称PKI) PKI采用证书进行公钥管理,通过第三方的可信任机构(认证中心,
即CA),把用户的公钥和用户的其他标识信息捆绑在一起,其中包 括用户信息,用于网络验证用户的身份。 PKI把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动 管理,保证网上数据的安全传输。 是目前网络安全建设的基础与核心,是电子商务安全实施的基本保障
CA对该证书的附加信息,如密钥的用途 证书所有数据经H运行后CA用私钥签名
公钥基础设施(PKI)
X.509(1993)
X.509是由国际电信联盟(ITU-T)制定的数字证书标准。在X.500确保 用户名称惟一性的基础上,X.509为X.500用户名称提供了通信实体的 鉴别机制,并规定了实体鉴别过程中广泛适用的证书语法和数据接口 。
PDF标准定义的数字签名 认证签名设置文档的三种权限
1. 不允许任何修改 2. 只允许填表单 3. 只允许填表单和写注释
任何权限外的修改,将导致签名失效。
PDF标准定义的数字签名
签名的交互操作功能
目的:使签名支持不同厂商的验证。 标准定义了几种标准的验证方法,全部是基于公钥加密标准。 1. PKCS#1 签名
公钥(public key):可以对任何人公开的密钥,用于加密消息或验证签名。 私钥(private key):只能由用户私存,用于解密消息或签名。
非对称 公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应 的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的 公开密钥才能解密。
具有互操作性的公钥基础设施协议PKIX。
由Internet工程任务组IETF(Internet Engineering Task Force)和PKI工作组 PKIX(Public Key Infrastructure Working Group)所定义。
在今后很长的一段时间内,PKCS和PKIX将会并存,大部分的PKI产 品为保持兼容性,也将会对这两种标准进行支持。
PDF数字签名是一个国际化标准,ISO 32000标准 数字签名包含用户信息、文档状态
两种行为
1. 对pdf文档进行数字签名 2 . 验证签名是否有效
PDF标准定义的数字签名
签名的标准类型
1. 最多一个认证签名 (certification signature) 2. 一个或多个审批签名(approval signature)
PKCS系列标准
PKCS是由美国RSA数据安全公司及其合作伙伴制定的一组公钥密码学 标准,其中包括证书申请、证书更新、证书作废表发布、扩展证书内 容以及数字签名、数字信封的格式等方面的一系列相关协议。
PKCS#7
定义一种通用的消息语法,包括数字签名和加密等用于增强的加密机制
公钥基础设施(PKI)
PDF数字签名
数字签名介绍
PDF数字签名
公钥基础设施(PKI) PDF标准定义的数字签名 PDF数字签名
公钥基础设施(PLeabharlann BaiduI)
公钥密码学与RSA算法 证书与CA
公钥基础设施(PKI)
公钥密码学
又称不对称加密。密码学发展历史中最伟大的一次革命 1976年 斯坦福大学Diffie和Hellman 提出 基于数论中的结论 公钥/私钥
公钥基础设施(PKI)
RSA算法
1977由MIT的Rivest, Shamir 和 Adleman发明
RSA算法基于一个十分简单的数论事实:将两个大素数相乘十分容易,但是想 要对其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥。
已知的且被广泛使用的公钥密码方案
RSA是目前最有影响力的公钥加密算法,它能够抵抗到目前为止已知的绝大多 数密码攻击,已被ISO推荐为公钥数据加密标准。
使用RSA加密算法和SHA-1摘要方法 2. PKCS#7 签名
支付宝个人数字证书实例
公钥基础设施(PKI)
windows系统运行certmgr.msc打开证书管理
公钥基础设施(PKI)
使用PKI的例子
https 网银的数字证书 支付宝数字证书
PDF标准定义的数字签名
PDF签名类型与功能 PDF签名验证方法与标准
PDF标准定义的数字签名