本文参考《PKI/CA 与数字证书技术大全》书籍,如有理解bug, 请大家指正。
对称密码优点是加解密运算非常快,适合处理大批量数据,但其密码的分发与管理比较复杂。而非对称密码算法的特点是公钥和私钥分离,非常适合密钥的分发和管理。如果将对称密码算法和非对称密码算法的优点结合起来,则既能处理大批量数据,又能简化密钥的分发与管理,于是数字信封机制应运而生。
数字信封并不需要分发和管理对称秘钥,而是随机产生对称密钥,采用对称密码算法对大批量数据进行加密,并采用非对称密码算法对该对称密钥进行加密;解密时,先用非对称密码算法解密后获得对称秘钥,然后使用对称密码算法解密后获得数据明文。
数字信封的功能类似于普通信封,采用对称密码算法对消息进行加密类似于信纸上的内容,采用非对称密码算法对对称密码算法对对称秘钥加密类似的信封,信封将信纸抱起来,保证了消息的安全性。
数字信封机制的具体流程如下图:
数字信封使用示例图
PKCS #7 规范规定了数字信封消息的具体封装格式。数字信封消息封装格式用 ASN.1 描述如下:
PKCS#7 信封消息
