论坛中有没有研究CA的高手呀？我想请教一下！！

llzh35

原帖由 "menp9999" 发表：

你对WINDOWS不了解,你直接截获与修改的是键盘输入,你怎么HASH?

这个问题，PKI是无法解决的，想要完美的安全，一定要各种方法都使用的，我们要齐心协力。^_^

iwantin

加密机和KEY的代价也不是一个级别的，
其实，从安全角度来说，在某些方面，有些KEY的安全级别不见得比加密机差多少。

menp9999

原帖由 "llzh35" 发表：

这个问题，PKI是无法解决的，想要完美的安全，一定要各种方法都使用的，我们要齐心协力。^_^

PKI是一个体系,相待于一个框架,PKI/CA的一个理论研究前提假设是端是安全的,但是在实际环境中必须考虑"端"的不安全因素,否则什么卡是不需要的了或者不属于研究的范围了.

llzh35

原帖由 "menp9999" 发表：

PKI是一个体系,相待于一个框架,PKI/CA的一个理论研究前提假设是端是安全的,但是在实际环境中必须考虑"端"的不安全因素,否则什么卡是不需要的了或者不属于研究的范围了.

各种安全措施都不会是全方面的进行研究的，PKI主要是保证传输信息的真实性、完整性、以及信息传输双方的身份认证，和对传输信息的不可抵赖性，对于“端”的安全确实考虑不多，但对于传输信息的以上四种安全性的保障是比较全面的。

llzh35

bingocn 请问一下，你们在双证书的应用过程中，一般是如何实现两个证书的交换，即何时使用签名证书，何时使用加密证书？是靠证书扩展域中的信息进行提示，还是靠程序强制进行？？

bingocn

用你的话说，我们是在程序里强制使用的，没有考虑证书扩展域中的信息。

llzh35

[quote]原帖由 "bingocn"]用你的话说，我们是在程序里强制使用的，没有考虑证书扩展域中的信息。[/quote 发表：

难道用证书扩展域中的密钥用法不能解决密钥交换问题吗？
还有，CRL在应用中是不是靠证书扩展域中的CRL分布点来实现自动下载吗？

llzh35

[quote]原帖由 "bingocn"]用你的话说，我们是在程序里强制使用的，没有考虑证书扩展域中的信息。[/quote 发表：

难道用证书扩展域中的密钥用法不能解决密钥交换问题吗？
还有，CRL在应用中是不是靠证书扩展域中的CRL分布点来实现自动下载吗？

bingocn

用证书扩展域也可以，但我们的流程都是确定的，知道哪个证书是干什么用的，没有必要再根据扩展域去查吧，万一这个证书的扩展域没有密钥用途这项呢？框架不是我设计的，我猜可能是这样吧，呵呵
CRL分布点的用途就是让应用程序可以找到CRL服务器。