我理解发行人和主题证书之间的关系如何验证主体的真实性。如果我连接到联网设备,并且它向我发送了自己的证书,那么我可以验证它是由可信方发出的,并且它没有以任何方式被篡改。但是,假设我只是将此证书上传到另一台设备上。那么是什么阻止我让这个设备用复制的证书来识别自己?
答案 0 :(得分:2)
没有什么可以阻止你这样做。我看到所有的时间都在工作。唯一阻止某人获取证书并将其安装到某个地方的事情是,有一个与证书相关的密码。所以你不知道该设备是真正的设备,但你知道知道证书密码的人能够在设备上安装它。 UserID和Password身份验证有其优点和缺点,证书也是如此。
答案 1 :(得分:2)
在我看来,这是对各种营销部门推动的证书的常见误解。任何类型的证书都不能保证通信链路另一端的设备是您认为的。
所有证书都可以提供公钥/私钥机制,以保护您在两台设备之间传递的信息。这可以防止第三方在数据穿过它们之间可能有数百个设备时嗅探数据。
它不能保证另一端的设备是谁或谁拥有它。某些证书颁发者将在颁发证书之前尝试验证证书申请者的身份。然而,即使这个过程存在缺陷,也很容易被破坏。
答案 2 :(得分:1)
对于客户端设备对远程服务器进行身份验证,客户端需要拥有与证书关联的私钥,而不仅仅是证书。
例如,在客户端SSL身份验证中,客户端使用其私钥对某些挑战进行签名(加密)。此私钥对应于其证书中的公钥。与证书中的公钥不同,客户端必须保持其私钥安全。
然后,服务器使用客户端证书中的公钥来验证客户端的签名。
但是,服务器应仅依赖证书中的公钥来验证客户端签名,如果它信任颁发CA,则证书仍处于有效期,并且尚未被撤销。
答案 3 :(得分:1)
设备可能会尝试假装它是由证书标识的设备。但是,这样做不会有任何好处,只要传递给它的数据是使用证书中提供的公钥加密的,因为不正确的设备将不拥有私钥。
最好的办法是通过丢弃传递给它的通信来拒绝服务攻击。