14.8 什么是公钥证书?
答:公钥证书是一种电子证书,它包含一个数字签名,可以用来验证公钥的所有权和真实性。它通常用于安全通信,例如在网络上的电子商务交易中。公钥证书由一个可信的第三方机构(称为证书颁发机构)颁发,并由该机构对公钥进行数字签名,以确保它的完整性和有效性。
14.9 公钥证书的使用有哪些要求?
答:公钥证书的使用应该满足以下要求:
1. 任何通信方可以读取证书并确定证书拥有者的姓名和公钥;
2. 如何通信方可以验证该证书出自证书管理员,而不是伪造的;
3. 只有证书管理员可以产生并更新证书;
4. 任何通信方可以验证证书的时效性。
14.10 X.509标准的用途是什么?
答:X.509定义了X.500用户目录的一个认证服务框架,这个目录可以作为公钥证书类型的存取库。每个证书包含该用户的公钥并由一个可信的签证机构用私钥签名。
14.11 什么是证书链?
答:证书链(Certificate chain)指的是一系列的数字证书,它们形成一条链,并用于验证网站的身份。每个证书都由一个可信任的机构签名,并包含了有关网站所有者的信息。
14.12 X.509证书如何撤销?
答:X.509证书可能会被撤销由于多种原因,例如证书过期或证书所有者的身份被认定为不可信。
15.1 给出一个重放攻击的例子。
答:
(1) 简单重放攻击就是,敌手复制消息然后重放给消息接收者。
(2) 敌手在有效的时间窗口中能够重放一个时间戳消息,如果原本的和重放的时间戳消息都在时间窗内收到,则这一事件能被日志记录下来。
(3) 与第(2)项类似,敌手在有效的时间窗口中能够重放一个时间戳消息,而且敌手阻止了原消息,则这种重放不能被检测。
(4) 还有一种称为无更改的反向重放。这个重放是给消息发送者的,这种攻击可能出现是因为对称加密的使用,发送者很难识别发送的消息与接收的消息在内容上的不同。
15.2 列出三个常用的防止重放攻击的方法。
答:防止重放攻击的方法是为每一个用于认证交互的消息附上一个序列号,新的消息只有其序列号黄足适当的顺序时才会被接收。这种方法的难点是要求每一方都跟踪与其交互的通信方最新的序列号。考虑到开销问题,序列号基本上不会用于认证和密钥交换,反而是以下两种方法更常用:
1. 时间戳:只有当消息中包含一个时间截时,A 才接收该消息。该时间戳由 A 来判断,要接近于A 所知的当前时间。该方法要求不同参与者之间的时钟是同步的。
2. 挑战/应答:A想要一个来自 B 的新消息,首先发给 B一个临时交号(询问)并要求后面从 B 收到的消息(回复)包含正确的临时交互号值
15.5 在网络或者Internet上,和用户认证相关联的三个威胁是什么?
答:三个威胁分别是:
1. 用户可能通过某种途径进入工作站并假装成其他用户操作工作站;
2. 用户可以通过变更工作站的网络地址,从该机上发送伪造的请求;
3. 用户可以监听信息或使用重放攻击,以获得服务或破坏正常操作;
