什麼金鑰憑證
免費版 個人郵件憑證基本簡介 (Free Email Certificate Detail):
https://www.globaltrust.com.tw/Products4/compare_FreeEmail.asp
公開金鑰憑證 (通常簡稱為憑證) 是數位式簽章敘述,它會將公開金鑰連結到有相應私密金鑰的使用者、裝置或服務的識別身分。憑證的主要好處之一是,對於需在存取之前已驗證的個別主體,主機已不必再為這些主體維護繁複的密碼。相反的,主機只會信任憑證簽發者。
大部分常用的憑證是以 X.509 v3 憑證標準為基準。
通常憑證包含下列資訊:
主體的公開金鑰值。
主體識別元資訊 (如名稱及電子郵件位址)。
有效期間 (憑證有效的時間長度)。
簽發者識別元資訊。
使用簽發者的數位簽章可驗證主體公開金鑰及主體識別元資訊之間連結的有效性。
憑證僅在指定的期間內有效;每個憑證都包含 [有效期自] 及 [有效期到] 等日期,它們也是有效期間的界限。一旦超過了憑證的有效期,必須由目前憑證到期的主體要求新的憑證。
■ 使用憑證
憑證可用於:
驗證,可驗證某人或某物的身分。
私密性,確定僅有指定的對象可使用該資訊。
加密,隱藏資訊以使未授權的讀取裝置無法解密。
數位簽章,提供不可否認性及訊息完整性。
這些服務對於通訊的安全性很重要。此外,許多應用程式都會使用憑證,例如電子郵件及網頁瀏覽器。
驗證
驗證對於讓通訊更加安全而言是非常重要的。使用者必須能將其識別身分提供給與其通訊的人員,並且必須能驗證他人的識別身分。因為通訊各方在通訊時並沒有實際接觸,所以網路上的識別身分驗證相當複雜。不懷好意的人可藉此截取訊息,或是模擬他人或實體。
私密性
在位於任何網路類型中的運算裝置之間傳輸機密資訊時,使用者一般皆應使用某種加密方法,以確保資料的私密性。
加密
您可以把加密想成把貴重物品鎖在有鑰匙的保險箱裡。相反地,解密可以比喻為打開箱子,拿出貴重物品。在電腦上,以電子郵件訊息、磁碟上的檔案,以及透過網路傳輸的檔案等格式出現的機密資料,都可以使用金鑰來加密。已加密的資料及用於加密資料的金鑰,都是難以辨識。
如需加密及憑證的相關資訊,請參閱憑證的資源。
數位簽章
數位簽章是確定資料完整性及來源的方式之一。數位簽章可提供有力的證據,以證實資料在簽署後尚未變更,且確認簽署資料之使用者或實體的身分。這提供了整合性及不可否認性的重要安全性功能,而這些功能對安全的電子商業交易而言是不可或缺的。
數位簽章通常用在以純文字或未加密格式發佈資料。因為在分散式運算環境中,網路上具有適當存取權的任何人不論是否經過授權,都可以讀取或變更純文字,因此在這些狀況中,即使訊息本身的機密性可能不須加密,但仍可能需要確保資料仍為其原始格式,且非由冒名頂替者傳送
■ 公開及私密金鑰
在公開金鑰加密中,會使用兩種不同的金鑰進行資訊的加密和解密。私密金鑰是只有擁有者知道的金鑰,而公開金鑰則可公開給網路中的其他實體。
這兩個金鑰各不相同,但在功能上是互補的。例如,使用者的公開金鑰可以發佈給資料夾中的憑證,以便組織中的其他人進行存取。訊息的寄件者可以從 Active Directory 網域服務抓取使用者的憑證,再從憑證取得公開金鑰,然後用收件者的公開金鑰對訊息進行加密。使用公開金鑰加密的資訊,只能使用原為一組的相對應私密金鑰進行解密,而這個私密金鑰仍由其擁有者 (也就是訊息的收件者) 保留。
■ 憑證檔案格式
憑證匯入及匯出操作支援四種檔案格式。選擇符合需求的格式。
個人資訊交換 (PKCS #12)
個人資訊交換格式 (PFX,也稱為 PKCS #12) 支援憑證、私密金鑰及在憑證路徑中其他所有憑證的安全儲存。
PKCS #12 格式是唯一可以用來匯出憑證及其私密金鑰的檔案格式。
加密編譯訊息語法標準 (PKCS #7)
PKCS #7 格式支援憑證及在憑證路徑中所有憑證的安全儲存。
DER 編碼二位元 X.509
辨別編碼規則 (DER) 格式支援單一憑證的儲存。這個格式不支援私密金鑰或憑證路徑的儲存。
Base64 編碼 X.509
Base64 格式支援單一憑證的儲存。這個格式不支援私密金鑰或憑證路徑的儲存。