证书颁发机构与存储的公钥

Question

我正在开发一个 J2ME 应用程序，它可以安全地连接到服务器进行登录。我在两者之间设置 SSL 时遇到了很多困难，所以我想到了一个更简单的解决方案，希望您能对此发表意见。

J2ME Midlet 附带服务器的公钥，在连接时，使用该公钥对消息（用户名、密码散列和随机）进行加密并将其发送到服务器。然后服务器对其进行解密并使用它来验证客户端的身份。

证书颁发机构的主要思想是说谁是谁，如果两方已经知道这一点并同意它不会改变（除非通过已经经过身份验证的连接），那么我是否就不再需要一个证书颁发机构了？

谢谢， 弗拉基米尔

Answer 1

如果双方已经知道这一点并同意它不会改变......那么我是否就不再需要一个？

是的，但我认为你没有抓住要点。该程序随密钥一起提供，但用户无法知道他们正在下载的程序实际上来自您，而不是某些恶意黑客拦截/重写通信；用户看到的只是从墙上的电线传来的比特。

通常，您要做的就是用您的密钥对 jar 进行签名，然后将密钥与您的程序一起发送。现在我们遇到了先有鸡还是先有蛋的问题：他们怎么知道钥匙来自你？

这就是证书颁发机构发挥作用的地方； CA 的密钥已经在他们的计算机上，因此他们将其留给 CA 来验证您的身份并签署您的公钥。然后，当用户获取公钥，验证它是否由 CA 签名，并验证 jar 是否由密钥签名时，他们知道密钥是您的，因此 jar 一定来自你，因为你是唯一可以用私钥签名的人。

现在，如果您的密钥提前在他们的计算机上（例如，在公司内部，在设置计算机时密钥实际上放置在计算机上），他们是的，您绝对不需要拥有密钥已签名。