Los certificados utilizan un algoritmo de firma digital, basado en la criptografía asimétrica. Por lo tanto, implica un par de claves (público / privado).
La idea global es que el certificado debe estar firmado por alguien (generalmente una CA). La firma es una operación criptográfica que se puede hacer si conoce la clave privada. Se puede verificar la firma si conoce la clave pública correspondiente a la privada.
Entonces, cuando obtiene un certificado, hay una firma digital con él, y se supone que ya conoce la clave pública de CA (signo global en su ejemplo).
El proceso de verificación garantiza que la firma haya sido realizada por alguien que conoce la clave privada correspondiente a la clave pública que usted conoce.
Se supone que una CA no debe permitir que nadie conozca su clave privada.
Así que nadie puede falsificar una firma de CA, a menos que haya logrado obtener la clave privada.
Para ser más precisos, la firma es:
La verificación es entonces
-
descifrar la firma
-
hash el certificado
-
compara los resultados
Si los resultados no son los mismos, significa que la firma es falsa (hecha sin la clave privada) o que la información del certificado se modificó después de la firma. Los mismos resultados significan que el certificado es válido.