数字签名100个技巧(图解数字签名)
数字签名100个技巧(图解数字签名)使用密码本的加密技术,消息的传递双方都要知道密码的算法,一方改变了算法以后,另一方就无法解读消息了,这种密码应用方式就叫做对称密码。对称密码算法的问题在于密码传递的时效慢和不安全,记录密码算法的密码本极易被他人截获。实现上述功能,就要用到密码技术。初始的密码技术通常是约定一套秘密的变换方法(也叫算法),将明文变换成密文后,只能掌握变换方法的人才能解析出密文的真实含义,这是比较原始的密码技术,比如抗战片中的密码本,就是记录了算法的记录本,许多先烈为此付出了宝贵的生命,为了就是得到算法。电子签名是纸质签名的对称,从魏晋时期开始,“签字画押”就作为证明身份、表达意愿的手段,距今已经使用了1700多年。上至皇帝的圣旨,下至奴隶的卖身契,概莫能外。“签字画押”之所以能达到这种效果,原因有三:一是一个人的签字(或指纹)具有独特性,不论如何模仿,都能够发现破绽,最典型的例子如《雍正王朝》中十四弟模仿太子
数字签名是电子签名的主流,法律上可靠的电子签名就是指数字签名。如何区分一个电子签名是数字签名还是非数字签名,只要查看该电子签名中是否含有数字证书即可。
数字证书是指通过密码算法计算出来的信息串,该信息串由CA进行签名认证,所以数字证书是CA签名过的用来担保使用该证书的人的身份以及其所持有的密码(公钥、私钥)的证明文件,通过使用数字证书、信任CA的担保来实现虚拟世界中的活动。
如何理解呢?如同生活中的身份证一样,身份证件上都加盖有公安机关的公章,身份证持有人向公安机关申请身份证,由公安机关验明正身、登记入档后发一张唯一的身份证,该身份证的担保者就是公安机关。当确认一个人的身份是否真实时,只要查看对方的身份证件,并比对该身份证上的照片即可。现在实生活中,伪造身份证可是重罪,送三年以上七年以下免费小房子,并处罚金。
数字证书是在网络上使用的身份证,CA机构的角色就相当于公安机关,是受工信部和国家密码局双重特许的机构,受社会公众信任。CA机构如果乱发数字证书,就如同公安机关乱发身份证一样,会造成社会秩序的破坏,以及信任体系的崩塌,所以国家对于CA的审批一直都是很谨慎的,这也是为何14亿人口的大国,才55家CA的原因。
随着数字经济的普及和建设数字政府的政策要求,特别是受全球疫情的影响,数字证书已经和每个普通人息息相关了,因此,了解一点数字证书和电子签名的基本知识,是完全有必要的。
电子签名是纸质签名的对称,从魏晋时期开始,“签字画押”就作为证明身份、表达意愿的手段,距今已经使用了1700多年。上至皇帝的圣旨,下至奴隶的卖身契,概莫能外。
“签字画押”之所以能达到这种效果,原因有三:一是一个人的签字(或指纹)具有独特性,不论如何模仿,都能够发现破绽,最典型的例子如《雍正王朝》中十四弟模仿太子的调笔手谕逼宫一节,虽然模仿的很像,但仍然被康熙和张廷玉识破。这和西方谚语“世界上没有完全相同的两片树叶”的意思也是完全一致的,因此签字具有能够识别签字者身份的特性;二是签字者对于所签署的内容,具有真实的意思表示,所以即使是罪大恶极者,都要亲手签字画押,而不能由他人代签;三是签字有载体,可以留存备查、事后为证,这个载体就是纸、布帛等。“签字画押”总结起来就是“身份可识别、意愿可表达、事后能证明”的功能。
网络时代开启了“地球村”的新局面,因此“签字画押”也随之进行了革新,电子签名应用而生。电子签名要实施与纸质签名相同的效果,同样要实现上述的三个功能,即能够识别是谁签的名、能够证明签名者对所签内容的意愿以及可以留存备查、事后为证。其中签名意愿中包含了防止篡改的要求,因为一旦篡改就不能保障签名人的真实意愿了。
实现上述功能,就要用到密码技术。初始的密码技术通常是约定一套秘密的变换方法(也叫算法),将明文变换成密文后,只能掌握变换方法的人才能解析出密文的真实含义,这是比较原始的密码技术,比如抗战片中的密码本,就是记录了算法的记录本,许多先烈为此付出了宝贵的生命,为了就是得到算法。
使用密码本的加密技术,消息的传递双方都要知道密码的算法,一方改变了算法以后,另一方就无法解读消息了,这种密码应用方式就叫做对称密码。对称密码算法的问题在于密码传递的时效慢和不安全,记录密码算法的密码本极易被他人截获。
1977年,美国麻省理工学院的三位研究人员发明了RSA不对称密码算法,即今天的数字签名。不对称密码算法的原理在于,通过数学计算,产生一对唯一对应的密钥,一个对外公开,任何人都能得到,一个对内保密,只有自己知道。在消息传递开始之前,发送方通过公开渠道拿到接受方的公钥,用公钥对该消息进行加密,将消息变换成密文,该密文只能由接受方的私钥才能解密,没有私钥的人即使中途截获了该密文,也无法解密得到明文;虽然截获该消息的人无法解密,但是可以用新的消息进行进行替换,所以同时发送方要对消息的原文进行哈希计算,得到一个摘要值,并用自己的私钥对该摘要值进行加密,因为替换方没有 发送方的私钥,新替换的摘要值就无法用发送方的公钥解密,因此就保障了一经替换即可发现的功效。用自己的私钥加密摘要值的行为,就叫数字签名。
发送方通过用接受方的公钥加密以及用自己的私钥签名以后形成的数据,通过网络传输给接受方。接受方在接受到该消息以后,先用自己的私钥解密自己的公钥,得到消息的明文,用相同的哈希算法计算该明文,得到一个摘要值;再用发送方的公钥解密发送方的私钥,得到发放方发送前加密的摘要值,比对这两个摘要值,结果一致就证明发送方所发的消息没有被篡改。同时,因为是使用了发送方的公钥解密,就能证明发送方持有私钥,其身份唯一性也得到了确认。
以上就是数字签名的基本原理。
(数字签名原理)
但在上述过程中,由于密钥代表了当事人的身份,因此就需要一个中立的第三者来建立起密钥和身份之间的联系,就像公安局将身份信息和照片贴在一起制成身份证一样,这个第三者就是CA机构。
CA机构对当事人 的密钥进行认证,由于私钥不对外公开,所以只能对公钥进行认证;而公钥和私钥之间是唯一对应的关系,对公钥的认证同时就是对私钥的认证。因此CA将公钥和当事人的身份放在一起进行绑定形成一个文件,CA在此文件上用自己的私钥进行电子签名后该文件就叫数字证书,该数字证书的公钥就相当于身份证上的照片,证书的主体人相当于身份证上的姓名,CA的签名相当于公安局的公章,如此,CA对公钥进行了认证、确认了身份,使用该公钥的人就是使用公钥对应的私钥的电子签名人,就要为该电子签名负责。这就是CA机构的作用,即证明身份、分配并认证公钥。
某保险公司和某认证公司一再强调,当事人的身份如何如何真实,却故意忽略了公钥是否真实。当事人的身份真实而对应的公钥不真实或者不持有,那么就不能证明当事人的意愿真实,因为真实身份的人不掌握公钥,不掌握公钥就等于不掌握私钥,没有私钥就无法实现数字签名,因此也就无需承担相应的法律责任。
因此,数字证书的重要性不言而喻。只有了解数字证书和数字签名的基本原理,才能明了自己的电子签名是不是数字签名,是不是合法有效的数字签名。
这些知道了解了是有好处的。否则,有些不诚信的人和单位,一会搞个新名词,一会搞个新概念:电子签名推翻了,就给你搞个划写签名;电子签名人推翻了,就给你整个合同签署参与主体;证书持有人推翻了,就给你又整个三主体不一致……总之,没有他不敢干的,只有你没有想到的。送幅对子给他们:
拐一年摇一年缘分啦,吃一堑长一智谢谢谢啦!