数字证书是什么？

　　现实生活中，证明一个人身份最好的方式是身份证。那么在互联网上怎么辨别对方的真实身份呢？如何确认“你是你，我是我，他是他”？如何保证基于互联网的交易过程中信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性？也正是为了解决这些问题，数字证书的应用得到了推广。

　　数字证书（Certificate）是一种数字标识，数字证书提供的是网络上的身份证明。数字证书拥有者可以将其证书提供给其他人、Web站点及网络资源，以证实其合法身份，并且与对方建立加密的、可信的通信。

　　以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。数字证书采用公钥密码体制，即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥（私钥），用它进行解密和签名；同时拥有一把公共密钥（公钥）并可以对外公开，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样，信息就可以安全无误地到达目的地了，即使被第三方截获，由于没有相应的私钥，也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。所有实体的证书是由一个权威机构——认证中心 (Certificate Authority)发行的。作为权威性、可信赖性及公正性的第三方机构，CA为电子商务环境中各个实体颁发数字证书，以证明各实体身份的真实性，并负责在交易中检验和管理证书。

　　数字证书是网络中标识实体身份的凭据，是用户在网络的虚拟世界中表明自己身份的最有效的方法，而认证机构CA则是颁发数字证书的权威机构。CA作为数字证书的颁发和维护机构，其作用和性质同颁发护照和身份证的政府机关和权威机关类似。

　　数字认证安全吗？

　　数字证书安全吗？很多初次使用数字证书的人都会问这样一个问题。如果你对数字证书背后的技术不是太了解，那么只需要你记住，按照现在的计算机技术水平，要破解目前数字证书采用的1024位RSA密钥， 一台计算机需要上千年的计算时间！即使是集全世界所有的计算机，也需要一年半的时间才能破解！

　　数字证书采用PKI（Public Key Infrastructure）公开密钥基础架构技术，利用一对互相匹配的密钥进行加密和解密。每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥），由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，通过数字的手段保证加解密过程是一个不可逆过程，即只有用私有密钥才能解密，这样保证信息安全无误地到达目的地。用户也可以采用自己的私钥对发送信息加以处理，形成数字签名。由于私钥为本人所独有，这样可以确定发送者的身份，防止发送者对发送信息的抵赖性。接收方通过验证签名还可以判断信息是否被篡改过。在公开密钥基础架构技术中，最常用一种算法是RSA算法，其数学原理是将一个大数分解成两个质数的乘积，加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥（公开密钥），想要推导出解密密钥（私密密钥），在计算上是不可能的。

　　虽然安全没有绝对的，但是从目前的技术角度来看，数字证书的安全性几乎是绝对的。

　　证书种类知多少？

　　随着数字认证应用领域的不断拓宽，各种各样数字证书纷纷出现。目前，针对企业、个人、Web站点、VPN、安全E-mail、手机应用等在内的数字证书已经将近二十种。总的来看，应用比较广泛的主要有三类证书——个人身份证书、企业身份证书和服务器身份证书。

　　个人身份证书——个人证书中包含证书持有者的个人身份信息、公钥及CA的签名，在网络通讯中标识证书持有者的个人身份。数字证书和对应的私钥存储于Ekey或IC卡中，可用于个人在网上进行合同签定、定单、录入审核、操作权限、支付信息等活动中标明身份。

　　企业身份证书——企业证书中包含企业身份信息、公钥及CA的签名，在网络通讯中标识证书持有企业的身份，可用于网上税务申报、网上办公系统、网上招标投标、网上拍卖、网上签约等多种应用系统。

　　服务器身份证书——服务器身份证书中包含服务器信息、公钥及CA的签名，在网络通讯中标识证书持有服务器的身份。用于电子商务应用系统中的服务器软件向其他企业和个人提供电子商务应用时使用，服务器软件作为电子商务服务提供者，利用证书机制保证与其他服务器或用户通信的安全性。主要用于网站交易服务器，目的是保证客户和服务器产生与交易支付等信息相关时确保双方身份的真实性、安全性、可信任度等。