D3-02 8–10 分钟 重要程度:高
密钥管理、PKI 与证书生命周期
密钥管理比算法名称更重要。CISSP 常考密钥分发、私钥保护、CA/RA 责任、证书验证和吊销。
一、必须记住
- 密钥不能与被加密数据保存在同一个系统中。
- Diffie-Hellman 可让双方通过公开交换资料建立共享秘密。
- PKI 用 CA、RA、证书、CRL/OCSP 建立公钥信任。
- CA 签发证书;RA 负责注册和身份验证,但通常不直接签发证书。
- 验证证书时要检查 CA 签名、信任链、有效期和吊销状态。
二、核心概念
密钥生命周期
密钥需要安全生成、分发、保存、轮替、吊销和销毁。敏感密钥可使用分割知识或 N 分之 M 控制,避免单人独占恢复能力。
PKI 角色
CA 是信任锚,负责签发和吊销证书;RA 分担 CA 的身份验证工作;证书把主体身份与公钥绑定;CRL 和 OCSP 用于确认是否吊销。
证书验证
收到证书后,要用 CA 公钥验证签名,确认信任该 CA,确认有效期和吊销状态,并确认主体名称或用途符合目标。
三、CISSP 判断规则
- 问证书是谁签发,选 CA。
- 问注册和身份验证,选 RA。
- 问证书是否吊销,选 CRL 或 OCSP。
- 问私钥泄露后的处理,优先吊销证书并重新签发。
四、常见陷阱
- RA 不等于 CA,RA 通常不签发证书。
- 证书有效期未过不代表一定可信,还要检查吊销状态。
- 密钥托管和恢复要防止单点人员滥用。
五、英文关键字
PKI (公钥基础设施) 定义:用 CA、RA、证书、吊销机制和信任链管理公钥信任。 CA (证书颁发机构) 定义:负责签发和吊销数字证书。 RA (注册机构) 定义:负责注册和身份验证,通常不直接签发证书。 Certificate (数字证书) 定义:把主体身份与公钥绑定,并由 CA 签名。 CRL (证书吊销列表) 定义:列出已被吊销的证书。 OCSP (在线证书状态协议) 定义:在线查询证书吊销状态。 Diffie-Hellman (迪菲-赫尔曼密钥交换) 定义:通过公开交换信息建立共享秘密。 Key management (密钥管理) 定义:涵盖密钥生成、分发、保存、轮替、吊销和销毁。 Split knowledge (分割知识) 定义:把敏感操作所需信息分给多人,避免单人独占。 M of N control (N 分之 M 控制) 定义:N 名授权者中至少 M 人同时参与才能执行高安全任务。
小测验
1. PKI 中负责签发数字证书的角色通常是?
CA 负责签发和吊销证书;RA 主要负责注册和身份验证。
2. 确认证书是否已被吊销,最相关的机制是?
CRL 和 OCSP 用于查询证书吊销状态。
3. 密钥管理中哪项做法最不合适?
加密密钥不应与被加密数据保存在同一个系统中。
本节进度
完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。
尚未完成