2008年9月26日 星期五

非對稱密鑰(六)

上文,‘認證’是甚麼回事呢?

但在討論這個題目前,我需為上文的方法作一些補充。這就是這兩個‘加密’箱子的次序問題。上文所述的,是先用雍正的‘公開匙’,再用密探的‘私人匙’加密,而密探的身份,就寫在後加的箱子上。這樣,訊息雖然不能被讀取,但在運送過程中,人人都可知道是誰向雍正告密。

密探若要保密身份,方法其實十分簡單,祗要把‘加密’的次序倒換便可以了。我不再這麼累贅了,請想想,若還不明白,請再問我罷!

回到‘認證’問題,任何一個‘認證機構’(如香港郵政處),便先為自己生成一對‘匙’,然後,便把其中之一,公告天下。另一‘匙’便要以最高機密的方式貯存。

當我們向郵政署申請‘認證’時,她便會用一個特定程序審核我們的身份,例如,要我們出示身份證明文件等等……當我們的身份被確認後,有些機構便會為我們生成一對的匙,而有些服務專業人士的機構,便會請申請者自己提交一對匙。但無論怎樣,這對匙便會成為‘身份的印記’。

所謂‘電子證書’就是‘認證’構構會用她們的‘私匙’,把你的公開匙和身份加密。由於,他們已把他們的‘公開匙’公告天下,任何人都可以取得,這即是說可以解密這‘電子證書’,從而取得你的‘公開匙’。若通訊雙方都‘信任’有關認證機構,那麼,他們便可以用上文所述的方法,加密訊息,而還可確認雙方的身份了。

這就是所謂的Public Key Infrastructure(PKI)了。

但是,值得我們思考的是,整個系統就是建基在這個‘非對稱密鑰’系統上,所有‘公開匙’(包括認證機構的)都會公告天下。祗要我們有方法,從‘公開匙’計算出‘私人匙’,那麼,整個系統便會立刻崩潰,銀行、財務、個人資料等等……便會立刻完全公開甚或被更改。銀行存款便可能被第三者非法提走、‘別有用心’的人,便可冒充你發出有法律地位,不可推翻的文件……

究竟,我們可不可以由‘公開匙’計算出‘私人匙’呢?下文再續。

沒有留言:

網誌存檔