D3-02 8–10 分钟 重要程度:高

密钥管理、PKI 与证书生命周期

密钥管理比算法名称更重要。CISSP 常考密钥分发、私钥保护、CA/RA 责任、证书验证和吊销。

一、必须记住

  • 密钥不能与被加密数据保存在同一个系统中。
  • Diffie-Hellman 可让双方通过公开交换资料建立共享秘密。
  • PKI 用 CA、RA、证书、CRL/OCSP 建立公钥信任。
  • CA 签发证书;RA 负责注册和身份验证,但通常不直接签发证书。
  • 验证证书时要检查 CA 签名、信任链、有效期和吊销状态。

二、核心概念

密钥生命周期

密钥需要安全生成、分发、保存、轮替、吊销和销毁。敏感密钥可使用分割知识或 N 分之 M 控制,避免单人独占恢复能力。

PKI 角色

CA 是信任锚,负责签发和吊销证书;RA 分担 CA 的身份验证工作;证书把主体身份与公钥绑定;CRL 和 OCSP 用于确认是否吊销。

证书验证

收到证书后,要用 CA 公钥验证签名,确认信任该 CA,确认有效期和吊销状态,并确认主体名称或用途符合目标。

三、CISSP 判断规则

  • 问证书是谁签发,选 CA。
  • 问注册和身份验证,选 RA。
  • 问证书是否吊销,选 CRL 或 OCSP。
  • 问私钥泄露后的处理,优先吊销证书并重新签发。

四、常见陷阱

  • RA 不等于 CA,RA 通常不签发证书。
  • 证书有效期未过不代表一定可信,还要检查吊销状态。
  • 密钥托管和恢复要防止单点人员滥用。

五、英文关键字

PKI (公钥基础设施) CA (证书颁发机构) RA (注册机构) Certificate (数字证书) CRL (证书吊销列表) OCSP (在线证书状态协议) Diffie-Hellman (迪菲-赫尔曼密钥交换) Key management (密钥管理) Split knowledge (分割知识) M of N control (N 分之 M 控制)

小测验

1. PKI 中负责签发数字证书的角色通常是?

CA 负责签发和吊销证书;RA 主要负责注册和身份验证。

2. 确认证书是否已被吊销,最相关的机制是?

CRL 和 OCSP 用于查询证书吊销状态。

3. 密钥管理中哪项做法最不合适?

加密密钥不应与被加密数据保存在同一个系统中。

本节进度

完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。

尚未完成