用户乙收到甲数字签名后的消息M,为验证消息的真实性,首先需要从CA获取用户甲的数字证书,该数字证书中包含 (问题1) ,并利用 (问题2) 验证该证书的真伪,然后利用 (问题3) 验证M的真实性。
公钥基础设施(PKI)体系中,数字证书是由CA(证书颁发机构)签发的可信凭证,核心内容为证书持有者的公钥,同时附带颁发机构、有效期等元数据,持有者的私钥需严格自行保管,绝不对外公开。验证数字证书的合法性时,需借助CA的公钥,因证书本身是CA用自身私钥加密签发的,CA的公钥作为信任锚点,是公开可被信任的。而验证消息的数字签名真实性,则要使用消息发送方的公钥:数字签名是发送方用自身私钥对消息摘要加密生成的,接收方通过发送方公钥解密签名,再与消息生成的摘要比对,就能确认消息未被篡改且确实由发送方发出,实现防篡改、防抵赖的效果。
本题考察的是数字证书与数字签名验证的过程。
数字签名依赖于公钥基础设施(PKI),通过CA签发的数字证书来确保公钥的可靠性。
问题1:
A选项 甲的公钥:数字证书的核心内容就是甲的公钥,以及相关信息(如证书颁发者、有效期等),正确。
B选项 甲的私钥:私钥绝对不会出现在证书中,它只能由甲本人保管,错误。
C选项 乙的公钥:与甲无关,错误。
D选项 乙的私钥:乙的私钥不涉及证书分发,错误。
所以正确答案是 A. 甲的公钥。
问题2:
A选项 CA的公钥:数字证书由CA用其私钥签发,乙必须用CA的公钥验证数字证书的合法性,正确。
B选项 乙的私钥:与验证证书无关,错误。
C选项 甲的公钥:甲的公钥用于验证消息,而不是验证证书,错误。
D选项 乙的公钥:无关,错误。
所以正确答案是 A. CA的公钥。
问题3:
A选项 CA的公钥:只用于验证证书,不用于验证消息签名,错误。
B选项 乙的私钥:乙只是验证方,不需要自己的私钥,错误。
C选项 甲的公钥:数字签名是甲用私钥对消息摘要加密生成的,乙需要用甲的公钥来解密签名并验证消息的真实性,正确。
D选项 乙的公钥:无关,错误。
所以正确答案是 C. 甲的公钥。