Linux系統(tǒng)上非對稱性加密需要用到公鑰、私鑰。也常涉及到數(shù)字簽名、數(shù)字證書、CA證書等概念。本文通過有趣的海綿寶寶和它小伙伴故事搭配有趣的圖片形式來闡述這些概念，希望能幫助讀者更簡單易懂地理解這些概念及知識點。

片段1. 海綿寶寶有兩把鑰匙，一把是海綿寶寶的公鑰，另一把是海綿寶寶的私鑰。

片段2. 海綿寶寶去鑰匙鋪通過打造復制了多把相同的公鑰并送給他好朋友派大星和章魚哥每人一把。

片段3. 派大星要給海綿寶寶寫一封秘密的信。為了防止信件被別人截取并看到內(nèi)容信息。它決定寫完信后用海綿寶寶給的公鑰對信的內(nèi)容進行加密，加密后的信內(nèi)容只有通過海綿寶寶的私鑰才能解開。通過這種方式就可以達到保密的效果。

片段4. 海綿寶寶收到信后，用它自己的私鑰對信進行解密，就能看到了信件內(nèi)容。這封信就是安全的，即使落在別人手里如果沒有海綿寶寶的私鑰是無法對信內(nèi)容進行解密的。

片段5. 海綿寶寶給派大星回信，決定采用”數(shù)字簽名”。它寫完后的信息內(nèi)容采用單向Hash函數(shù)，生成信件的摘要。

• 數(shù)字簽名：又稱“公鑰數(shù)字簽名“，是一種類似寫在紙上的普通的物理簽名但是使用了公鑰加密領域的技術實現(xiàn)，用于鑒別數(shù)字信息的方法。數(shù)字簽名是非對稱密鑰加密技術與數(shù)字摘要技術的應用
• 數(shù)字摘要：指將任意長度的消息變成固定長度的短消息，它類似于一個自變量是消息的函數(shù)，也就是Hash函數(shù)。數(shù)字摘要就是采用單向Hash函數(shù)將需要加密的明文“摘要”成一串固定長度(128位)的密文這一串密文又稱為數(shù)字指紋，它有固定的長度，而且不同的明文摘要成密文，其結果總是不同的，而同樣的明文其摘要必定一致。

片段6. 然后，海綿寶寶使用它自己的私鑰對這個摘要進行加密，生成”數(shù)字簽名”。

片段7. 海綿寶寶將這個簽名，附在信件下面，一起發(fā)給派大星。

片段8. 派大星收到信件后，取下數(shù)字簽名，用海綿寶寶的公鑰進行解密，得到信件的摘要。由此證明，這封信確實是海綿寶寶發(fā)出的。

片段9. 派大星再對信件本身使用相同的單向Hash函數(shù)，將得到的結果與剛才解密得到的摘要進行比較。如果兩者一致，就證明這封內(nèi)容沒有被別人修改過。

片段10. 特殊情況出現(xiàn)了，章魚哥想欺騙派大星，他偷偷自己生成的“章魚哥公鑰”換走了派大星的“海綿寶寶公鑰”。此時，被調包后的派大星實際擁有的是“章魚哥的公鑰，但是它并未察覺。因此，章魚哥就可以冒充海綿寶寶，用自己的私鑰做成”數(shù)字簽名”，寫信給派大星，讓派大星用假的海綿寶寶公鑰進行解密，派大星由于解密很順利所以就以為信是由海綿寶寶所寫。

片段11. 后來，派大星越來越覺得不對勁，發(fā)現(xiàn)自己無法確定自己在使用的公鑰是否真的屬于海綿寶寶的。于是它想到了一個辦法：要求海綿寶寶去找”證書中心”(certificate authority，簡稱CA)，為公鑰做認證。證書中心用自己的私鑰，對海綿寶寶的公鑰和一些相關信息一起加密，生成”數(shù)字證書”。

片段12. 海綿寶寶拿到數(shù)字證書以后，就可以放心了。以后再給派大星寫信，只要在簽名的同時，再附上數(shù)字證書就行了。

[[278644]]

片段13. 派大星收信后，用CA的公鑰解開數(shù)字證書就可以拿到海綿寶寶真實的公鑰了，然后使用海綿寶寶的公鑰重復第9步操作對數(shù)字簽名進行驗證，就能證明信是否真的是海綿寶寶親筆所寫。

故事的總結：

• 首先生成公鑰和私鑰，私鑰自己保存。公鑰給需要向你發(fā)送加密信息文件的接受方。
• 接受方通過公鑰對發(fā)送給你的信息進行加密，這樣可以保證信息的安全性(在密文暴露的情況下，如果你的私鑰不被他人取得，加密的信息還是無法被解密泄露的)
• 你也可以通過生成“數(shù)字證書”來證明信是由你寫的。數(shù)字證書是用單向Hash函數(shù)對新的內(nèi)容生成一段加密摘要，再通過私鑰對該端摘要進行加密而成。
• 在發(fā)送信件的時候將數(shù)字證書信件內(nèi)容一起發(fā)送給接受方，接受方即可通過公鑰對數(shù)字證書進行解密取得摘要，并再用單向Hash函數(shù)對信內(nèi)容進行生成摘要。將兩段摘要進行匹配則可知道信的內(nèi)容是否被修改過。
• 但是有一種特殊的情況，既是對象根本不能確定其手上的公鑰是否就是你給的公鑰。這個時候就需要你到證書中心做一件特殊的事情，證書中心會用其私鑰將你自己的信息、公鑰等進行加密生成一個數(shù)字證書。
• 這樣當你寫信的時候在附上自己數(shù)字簽名的同時也將證書中心頒發(fā)的數(shù)字證書一起帶上。對方可以先通過CA公開的公鑰對數(shù)字證書進行解密，得到你的公鑰。再使用公鑰對你的數(shù)字簽名進行解密得到數(shù)字摘要。再通過與單向Hash信件內(nèi)容的數(shù)字摘要對比就可確保公鑰是你的公鑰，信是你寫的且內(nèi)容未被修改!