pki 是什麼

      在《PKI技術》一書 p1 提到，x509標準將PKI定義為，支援公開密鑰管理並能支援認證，加密，完整性和可追究性服務的基礎設施。
      p2 提到，PKI就是一種基礎設施，其目標就是要充分利用公開金鑰密碼學的理論基礎，建立起一種普遍適用的基礎設施，為各種網路應用提供全面的安全服務。
      p3 提到，PKI的核心技術就是圍繞數位憑證的申請、頒發、使用與撤銷等整個生命週期展開的。
      上面三段，分別從定義、目標、技術內容三方面對pki進行了描述。
      pki 是怎麼發展來的呢？也就是說這個設計是怎麼蹦出來的呢？之後是對 p24 中的文字進行總結而來。
      電子商務有保密性的需求，Diffie 和 Hellman 提出公開金鑰密碼演算法後，給此應用帶來了光明的前景，但是簡單地直接用公開金鑰密碼演算法存在嚴重的安全問題。如 A 與 B 進行通訊， A 可以用 B 的公開金鑰進行加密然後傳給 B， B 拿到後可以用自己的私密金鑰進行解碼拿到明文。但是，如果攻擊者 C 產生自己的金鑰組，與 A 通訊，謊稱其為 B，則 A 和 B 之間的資訊就可能被 C 知道。這個問題就是公開金鑰的歸屬問題，需要明確公開金鑰是屬於誰的，從而避免 C 頂替 B 的情況。
      Kohnfelder 在1978年提出了數位憑證（certificate）的概念。由認證認證中心（certification authority，CA）簽發認證來解決公開金鑰屬於誰的問題。
      在認證中包含了持有人的公開金鑰資料和其身份資訊，並且由 CA 對這些資訊計算數位簽章。數位簽章保證了認證的不可篡改。這樣就把不安全性轉移到了 CA 的根憑證擷取上。如果能安全的獲得 CA 的根憑證，則整套流程都是安全的、可追究責任的。
      如上，則說明 pki 就是公開金鑰密碼演算法 + 數位憑證。