数字签名的理解:http://www.ruanyifeng.com/blog/2011/08/what_is_a_digital_signature.html
在RSA中,理论上私钥 不被泄露,那应该是安全的,但有一个问题是,遇上类似于中间人攻击的情况,会把私钥和公钥换掉后,加密加签名一起发送给被通信端。所以需要一个统一的公钥认证中心(CA) ,当向CA注册证书的时候,CA会用CA私钥加密通信的公钥,生成证书颁发。当要解密的时候,解密端只要用CA的公钥解密对应的证书,就能拿到公钥了,此时得到的公钥应该就是注册CA的公钥。
因为CA,保证了公钥的合法性。
秘钥协商原理:
https://program-think.blogspot.com/2016/09/https-ssl-tls-3.html#head-1
https://program-think.blogspot.com/2014/11/https-ssl-tls-2.html
秘钥协商一般用非对称方式进行秘钥交换,防止通信信息呗 窥视。
但是秘钥协商会有一个问题,就是无法识别可靠的通信端,容易受到中间人攻击来偷梁换柱。
所以引入了CA公证人这一机制。
综上两处,保证了数据不被窥视,同事也防住了中间人攻击。
