Key exchange keywords 密钥交换算法:
RSA: 算法实现简单,诞生于1977年,历史悠久,经过了长时间的破解测试,安全性高。
缺点就是需要比较大的素数(目前常用的是2048位)保证安全强度,很消耗CPU运算资源。RSA是目前唯一一个既能用于密钥交换又能用于证书签名的算法
DH: diffie-hellman密钥交换算法,诞生时间比较早(1977年),但是1999年才公开。缺点是比较消耗CPU性能。
ECDHE:使用椭圆曲线(ECC)的DH算法,优点是能用较小的素数(256位)实现RSA相同的安全等级。缺点是算法实现复杂,用于密钥交换的历史不长,
没有经过长时间的安全攻击测试。
ECDH:不支持PFS,安全性低,同时无法实现false start
Digest algorithm keywords 签名算法
MD5,SHA,SHA1,SHA256,SHA384
Cipher keywords 加密算法
3DES,AES,DES,RC4,SEED
Authentication keywords
PSK, aECDH
CMS(Crypto Message Syntax)是由互联网工程任务组(IETF)制定的安全消息规范 (RFC 5652)。该规范定义多种消息格式,分别用于对任意消息进行数字签名、哈希、认证和加密。
加密算法:
DES、SHA1、MD5、Base64,URL,Soundx等
其中 MD5/SHA是不可逆算法,BASE64是可逆算法
5.OCSP在线证书状态协议
OCSP(Online Certificate Status Protocol)[14]是IETF颁布的用于检查数字证书在某一交易时刻是否仍然有效的标准。该标准提供给PKI用户一条方便快捷的数字证书状态查询通道,使PKI体系能够更有效、更安全地在各个领域中被广泛应用。
6.LDAP 轻量级目录访问协议
LDAP规范(RFC1487)简化了笨重的X.500目录访问协议,并且在功能性、数据表示、编码和传输方面都进行了相应的修改。1997年,LDAP第3版本成为互联网标准。目前,LDAP v3已经在PKI体系中被广泛应用于证书信息发布、CRL信息发布、CA政策以及与信息发布相关的各个方面。