國密出入參數都要加解密,是需要兩套秘鑰的。國密雙秘鑰體系的雙體現在,申請人是有兩個證書的,壹個是用於認證的證書,壹個是用於加密的證書。CA有用戶用於加解密的公私鑰對,因此CA是可以解密用戶密文的。
雙秘鑰的作用
用於認證的證書的生成,用戶自行生成壹對公私鑰,其中自己保留私鑰用於簽名,公鑰發送給CA機構,請CA來對其簽名,生成該用戶的簽名證書。CA沒有用於簽名的用戶私鑰備份,用戶簽名私鑰丟失不能再生,但由於簽名證書是公開的,因此其之前簽名過的東西依然有效。
用於加密的證書的生成:該證書由CA機構從其自身KMC中為用戶獲取壹對公私鑰,同時,自己備份這對公私鑰。然後,CA將公鑰進行簽名生成加密證書,CA使用該用戶的簽名證書將加密私鑰、加密證書等進行加密後,返回給用戶。