OpenSSL 公钥 私钥 证书

  1. 安装OpenSSL Windows 工具
    http://slproweb.com/products/Win32OpenSSL.html
  2. 生成秘钥对
    1. 说明:
      1. 公钥私钥必须配对使用, 可互相用于加密解密, 但一般公钥公开, 私钥自己保留不公开
      2. 公钥加密, 私钥解密, 应用场景: 防止邮件内容传输过程中泄露
      3. 私钥加密, 公钥解密, 应用场景: 签名邮件, 表明发件人身份
    2. 操作:
      1. 生成私钥, 1024是长度, 长度不能太短
        openssl genrsa -out myPrivateKey.pem 1024
      2. 使用该私钥, 生成配对的公钥
        openssl rsa -in myPrivateKey.pem -pubout -out myPublicKey.pem
  3. 公钥加密, 私钥解密
    openssl rsautl -in content.txt -out content.txt.enc -inkey myPublicKey.pem -pubin -encrypt -pkcs
    openssl rsautl -in content.txt.enc -out content_dec.txt -inkey myPrivateKey.pem -decrypt -pkcs
    content.txt 为内容文件
    content.txt.enc 为加密后的内容文件
    content_dec.txt 为解密后的内容文件, 它应与原始的content.txt内容一致
  4. 私钥加密, 公钥解密
    openssl rsautl -in content.txt -out content.txt.enc2 -inkey myPrivateKey.pem -encrypt -pkcs
    openssl rsautl -in content.txt.enc2 -out content_dec2.txt -inkey myPublicKey.pem -decrypt -pkcs
  5. 应用场景
    1. 防止信息泄露, 如果A要发送邮件给B, 不希望被第三个人看到, A就可以使用B公开的公钥对邮件内容加密, 加密的内容只有使用B的私钥才能解密查看, 只要B的私钥不丢失, 任何其他人无法对加密的邮件解读
    2. 校验篡改, 如果A要发送邮件给B(注: 此场景中B并没有自己的秘钥对, 且也并没有对邮件内容加密, 可能不care内容是否被其他人看到, care的是内容的确是A当时写的, 这是与场景1的差异), A可以将邮件内容的摘要(取邮件内容的Hash)用A自己的私钥加密, 并将加密后的结果(可理解为A对该邮件的签名)与邮件一起发送给B, 这时B只需要使用A的公钥解密这个签名, 得到一个邮件摘要, 然后拿接收到的邮件内容(并未加密的)自己算一把Hash(即摘要), 与从签名中解出的Hash值作一次比较, 如果相同, 则说明邮件的内容与A当时签名时的邮件内容一致, 反之则邮件内容肯定在签名后被篡改过
    3. 防止冒名顶替, 如果B收到A的邮件, 希望确认的确是A发送给自己的(因为B虽然有A的公钥, 但不能保证这个公钥就是A的, 可能在自己的机器上被人给换掉了), 这时就需要一个权威的(可信任的)第三方机构(简称CA), 将A的公钥和一些相关信息(如A的个人信息)放在一起, 使用CA的私钥进行加密, 加密的结果即为CA颁发给A的证书, 从此以后, A发出的邮件(邮件内容需要用A的私钥加密)只需要附加上这份证书, 别人(比如:B)只需要使用CA的公钥对这份证书进行解密, 就能获得到A的公钥(注: 相比之前A的公钥是存储在B的本地要靠谱), 然后就能放心的使用这个靠谱的公钥对邮件内容进行解密了

参考:
http://www.ruanyifeng.com/blog/2011/08/what_is_a_digital_signature.html

你可能感兴趣的:(区块链)