作者:江苇渡一
CA数字证书,可以通俗理解为网络身份证书,是CA机构在对申请人的身份完成审查后,认可申请人与某个字符串的关联,可以证明某个人的身份的证书。
CA数字证书常应用于电子签名场景,标明是谁对电子文件进行了签名的认可。
为什么会有CA数字证书?
随着商务无纸化的发展和数字时代的到来,电子签名应用场景越来越多地呈现在大众面前,从法律意义上说,签名的本质是“签名者对被签名内容的确认”,因而每一次签名都不可缺少的需要与“特定身份”相关联,即明确是“谁”进行了签名。
物理世界中由于每一个人都具有天然与众不同的行为习惯,理论上每个人的签名笔迹都不相同,因此笔迹特征成为了识别签名人身份的重要方法,但在电子签名中,签名不再由个人的行为习惯所控制,而代之以计算机字符,由于字符本身并不具有差异性和身份判别能力,为了能让不同人的电子签名具有身份的可识别性,需要将特定的字符串与人的真实身份建立关联,这一建立关联的过程就是“电子认证”。
依照《电子签名法》的规定,从事电子认证业务需要行政许可,经许可的第三方认证机构即为通常所称的CA机构,而经CA机构认证并与当事人主体相关联的字符串,就是“数字证书”。
电子认证的过程也就是数字证书的申请与颁发过程。
CA数字证书的申请办法与使用
数字证书是基于PKI公钥密码体系的应用,公钥密码体系的一个显著特征是密钥分为公钥和私钥,通过私钥对电子文件进行的签名运算,可以通过对应的公钥进行验证,因此私钥需要用户秘密保管,公钥可以完全公开;
在数字证书的颁发过程中,用户(签名人)首先产生一对具有密码学特征的公私钥对,然后将其中的公钥和用户身份信息发送给CA机构,CA机构在对用户真实身份进行核验后,将公钥和用户身份信息按照特定的格式封装成对应的数字证书文件,返回给用户并向社会公开,从而让全社会都可以确认该数字证书持有人的真实身份,并可使用数字证书验证用户使用对应的私钥进行的电子签名。由于私钥是用户(签名人)秘密持有,因而理论上能够使用该私钥完成签名的人只能是用户本人,因此,该私钥就成了将用户的身份与签名行为进行绑定的媒介,鉴于私钥与公钥在密码学上的唯一对应关系,CA机构虽然是对公钥进行的认证,其本质却是对私钥持有者身份的认定,让私钥成为了用户(签名人)电子身份的代表。
数字证书是包含了颁发者、公钥、有效期、使用者等信息。
在用户利用自身私钥对电子文件进行电子签名时,数字证书会附在签名图样(印章图样处),通过证书所载信息,签名人身份即可轻松识别。