众所周知,数字证书包含签名证书和加密证书,签名证书用于签名和验证,加密证书用于加密和解密,我因为不明白为什么要使用双证书,所以找寻相关资料查询了一下,下面这篇文章是关于双证书的目的
“PKI中使用双证书、即双密钥,双密钥是指签名密钥对与加密密钥对,从本质上说,两个密钥对都是非对称密钥对,因此,都可以用来作非对称加解密,然而为什么需要双密钥呢?这必须从两个密钥的用法说起。
签名密钥对用于数据的完整性检测,保证防伪造与防抵赖,签名私钥的遗失,并不会影响对以前签名数据的验证,因此,签名私钥无须备份,因此,签名密钥不需要也不应该需要第三方来管理,完全由持有者自己产生;而加密密钥对用于数据的加密保护,若加密私钥遗失,将导致以前的加密数据无法解密,这在实际应用中是无法接受的,加密私钥应该由可信的第三方(即通常所说的CA)来备份,以保证加密数据的可用性,因此,加密密钥对可以由第三方来产生,并备份。
由于签名密钥与加密密钥的使用与管理上的不同,决定了双证书使用的合理性与必然性。”
好了,看到里我要提出我的问题了,文章里说签名私钥丢失了无所谓,从前的数据还能使用,所以签名私钥不需要进行备份;如果加密私钥丢失了,从前的加密数据就无法使用了,所以加密私钥要由第三方进行备份,那我就有疑问了,单证书也可以将私钥交给第三方进行备份,这样对签名和加密都不影响,丢失了也可以找回私钥,那为什么还要多次一举区分为双证书呢?