有什麼方法可以讓我建立自己的憑證對嗎?我不明白為什麼我需要一個受信任的 CA 來發送電子郵件。我寧願使用證書也不願使用 GPG 或類似的東西。
答案1
自簽章金鑰對?證書對?您寧願使用憑證而不是 GPG?
您提出問題的方式表明您對公鑰/私鑰對和憑證之間的相互關係的理解很混亂。
- 您通常不會簽署(至少不會自簽署)金鑰,而是簽署憑證。
- 密鑰是成對出現的,而憑證不是成對出現的。
- 擁有自簽署的憑證會削弱憑證相對於未經認證的金鑰對的優勢。
請容許我解釋一下。如果您想在電子郵件中使用公鑰/私鑰對,通常表示您有以下或兩個主要目標:
- 您希望能夠使用私鑰簽署部分或全部電子郵件,以便您的通訊方可以驗證您的電子郵件是否確實來自您,並且在傳輸過程中沒有被修改。
- 您希望您的通訊員使用您的公鑰為您加密部分或全部電子郵件,以便只有您可以閱讀這些電子郵件的內容。
很好,但是有一個大問題。為此,您需要您的通訊方能夠取得您的公鑰,並確保它是真實的你的公鑰,而不是冒名頂替者的。
解決該問題的一種方法是,您透過可信任媒介將公鑰發送給每個通訊方,並讓他們在電子郵件安全軟體中安裝該公鑰,以便與您發送或發送的訊息一起使用。這可行,但是您和您的通訊員都需要進行大量的設定工作,並且必須為每個通訊員提前完成設定工作,然後他們才能安全地向您發送電子郵件。
為了減少麻煩,如果有一種方法可以發布您的公鑰,這樣您的任何新的潛在電子郵件通訊員都可以讓他們的軟體自動檢索它,並且仍然能夠相信它是您的,那就太好了。
對於以可信任方式發布金鑰的問題,有兩種眾所周知的解決方案:PGP/GPG 信任網路和基於憑證的公鑰基礎架構 (PKI)。
在GPG 信任網路中,您在GPG 信任網路系統上發布您的公鑰,並讓您認識的其他人透過將您的金鑰標記為可信任(透過使用他們自己的私鑰對其進行簽署)來證明其真實性。然後,當有人想要安全地向您發送電子郵件時,他們可以從信任系統網路檢索您的公鑰,查看誰為其提供擔保,決定他們是否想要信任它,如果是,請使用它來加密他們發送到的消息你。
在基於憑證的 PKI 中,您擁有一個知名的 CA,透過將您的公鑰與一些有關您的身分資訊捆綁在一起,然後對該捆綁包進行簽名,來保證您的公鑰的真實性。您的身分資訊加上您的公鑰的簽名包就是您的憑證。您可以廣泛發布該證書,甚至將其附加到您的電子郵件中,並且您的通訊方(如果他們信任該CA)可以接受CA 的說法,即該證書顯示了證書中列出的人員的真實公鑰。
因此,如果您創建自簽名證書,那麼您創建的東西並不比裸露的公鑰更值得信賴,因為除了您之外沒有人可以為其提供擔保。不是您的朋友(GPG 信任網路),也不是值得信賴的公共機構 (CA)。您和您的通訊員將自行確保您的公鑰確實是您的公鑰。
因此,如果您透過自簽名違背了憑證的目的,為什麼還要麻煩呢?