数字签名是什么？

今天，我读到一篇好文章。

它用图片通俗易懂地解释了，"数字签名"（digital signature）和"数字证书"（digital certificate）到底是什么。

我对这些问题的理解，一直是模模糊糊的，很多细节搞不清楚。读完这篇文章后，发现思路一下子就理清了。为了加深记忆，我把文字和图片都翻译出来了。

====================================================

数字签名是什么？

作者：David Youd

翻译：阮一峰

原文网址：http://www.youdzone.com/signature.html

1.

鲍勃有两把钥匙，一把是公钥，另一把是私钥。

2.

鲍勃把公钥送给他的朋友们----帕蒂、道格、苏珊----每人一把。

3.

苏珊要给鲍勃写一封保密的信。她写完后用鲍勃的公钥加密，就可以达到保密的效果。

4.

鲍勃收信后，用私钥解密，就看到了信件内容。这里要强调的是，只要鲍勃的私钥不泄露，这封信就是安全的，即使落在别人手里，也无法解密。

5.

鲍勃给苏珊回信，决定采用"数字签名"。他写完后先用Hash函数，生成信件的摘要（digest）。

6.

然后，鲍勃使用私钥，对这个摘要加密，生成"数字签名"（signature）。

7.

鲍勃将这个签名，附在信件下面，一起发给苏珊。

8.

苏珊收信后，取下数字签名，用鲍勃的公钥解密，得到信件的摘要。由此证明，这封信确实是鲍勃发出的。

9.

苏珊再对信件本身使用Hash函数，将得到的结果，与上一步得到的摘要进行对比。如果两者一致，就证明这封信未被修改过。

10.

复杂的情况出现了。道格想欺骗苏珊，他偷偷使用了苏珊的电脑，用自己的公钥换走了鲍勃的公钥。此时，苏珊实际拥有的是道格的公钥，但是还以为这是鲍勃的公钥。因此，道格就可以冒充鲍勃，用自己的私钥做成"数字签名"，写信给苏珊，让苏珊用假的鲍勃公钥进行解密。

11.

后来，苏珊感觉不对劲，发现自己无法确定公钥是否真的属于鲍勃。她想到了一个办法，要求鲍勃去找"证书中心"（certificate authority，简称CA），为公钥做认证。证书中心用自己的私钥，对鲍勃的公钥和一些相关信息一起加密，生成"数字证书"（Digital Certificate）。

12.

鲍勃拿到数字证书以后，就可以放心了。以后再给苏珊写信，只要在签名的同时，再附上数字证书就行了。

13.

苏珊收信后，用CA的公钥解开数字证书，就可以拿到鲍勃真实的公钥了，然后就能证明"数字签名"是否真的是鲍勃签的。

14.

下面，我们看一个应用"数字证书"的实例：https协议。这个协议主要用于网页加密。

15.

首先，客户端向服务器发出加密请求。

16.

服务器用自己的私钥加密网页以后，连同本身的数字证书，一起发送给客户端。

17.

客户端（浏览器）的"证书管理器"，有"受信任的根证书颁发机构"列表。客户端会根据这张列表，查看解开数字证书的公钥是否在列表之内。

18.

如果数字证书记载的网址，与你正在浏览的网址不一致，就说明这张证书可能被冒用，浏览器会发出警告。

19.

如果这张数字证书不是由受信任的机构颁发的，浏览器会发出另一种警告。

20.

如果数字证书是可靠的，客户端就可以使用证书中的服务器公钥，对信息进行加密，然后与服务器交换加密信息。

（完）

 

评论

29 楼 ijlkdwg 2014-04-24  

daojin 写道

ijlkdwg 写道

真遗憾！老外的那个文章也是错误的。
加密的对应过程是解密，签名对应的过程是验证。这俩个是完全不一样的！！！
加密（非对称加密）是公钥加密，私钥解密；签名是私钥签名，公钥验证。这俩个东西本来是完全不同体系的，他们需要的key的内容也不一样。只不过，有的key（比如rsa），可以俩边都玩的转。或者说，非对称加密和签名，都有rsa算法，他们可以公用key。
另外，ssl握手里面是由client产生一个secret key，做后面的对称加密传输，这个没错。但是，这个是跟客户端有没有证书是没关系的！
证书，是用来验证你的身份的，无论是客户端或者服务器端的。

去看看bc的unit tests就知道了。

由于A公钥由于对外开放，B可以冒充C向A发送信息！又有什么用呢。

对于你这样阅读障碍的人，真的不适合做技术。
我都说了，用对方的公钥加密，对方的私钥解密；用自己的私钥签名，公钥来验证。
B没有c的私钥，不能搞c的签名，怎么冒充c？

28 楼 daojin 2014-04-05  

ijlkdwg 写道

真遗憾！老外的那个文章也是错误的。
加密的对应过程是解密，签名对应的过程是验证。这俩个是完全不一样的！！！
加密（非对称加密）是公钥加密，私钥解密；签名是私钥签名，公钥验证。这俩个东西本来是完全不同体系的，他们需要的key的内容也不一样。只不过，有的key（比如rsa），可以俩边都玩的转。或者说，非对称加密和签名，都有rsa算法，他们可以公用key。
另外，ssl握手里面是由client产生一个secret key，做后面的对称加密传输，这个没错。但是，这个是跟客户端有没有证书是没关系的！
证书，是用来验证你的身份的，无论是客户端或者服务器端的。

去看看bc的unit tests就知道了。

由于A公钥由于对外开放，B可以冒充C向A发送信息！又有什么用呢。

27 楼 ijlkdwg 2014-01-13  

真遗憾！老外的那个文章也是错误的。
加密的对应过程是解密，签名对应的过程是验证。这俩个是完全不一样的！！！
加密（非对称加密）是公钥加密，私钥解密；签名是私钥签名，公钥验证。这俩个东西本来是完全不同体系的，他们需要的key的内容也不一样。只不过，有的key（比如rsa），可以俩边都玩的转。或者说，非对称加密和签名，都有rsa算法，他们可以公用key。
另外，ssl握手里面是由client产生一个secret key，做后面的对称加密传输，这个没错。但是，这个是跟客户端有没有证书是没关系的！
证书，是用来验证你的身份的，无论是客户端或者服务器端的。

去看看bc的unit tests就知道了。

26 楼 zjugzg 2012-11-13  

justjavac 写道

zxylx 写道

那服务器发回给客户端的信息岂不是不安全的。因为很多人都会CA的公钥，被其它人窃取后照样可以解析出来。

你说的是16步吧，服务器发送的内容，就是给客户端看到。不存在安全不安全。任何人都可以看到，即使没有密钥。数字签名用到了加密的技术，但是数字签名和加密有本质的区别。
数字签名是为了确保信息没有伪造，也就是说，我给你发送了信息，我对信息签名了，然后你就可以确定这个信息确实你我发送的，而不是张三或者李四发送的。
信息本身不需要加密，我发送给你一个号码“123456789”，是明文发送到，我对他签名，这样你接收到我的信息，可以确定1、信息是我发送到，2、信息在传送的过程中没有被第三个人修改过。这样签名档目的就达到了。
数字签名和咱普通的在合同上签字是一样的。

服务器端的CA可以让客户端对服务端身份进行认证，但服务器端和客户端之间的安全通讯还需要有个握手过程，对于一般的客户端没有证书的情况，可以由客户端随机产生个安全密钥作为本次会话的对称加密密钥，客户端可以用服务器端的公钥加密发送给服务器端，服务器端用它的私钥解密就得到了这个安全密钥，这样客户端和服务器端之后的通讯就可以用这个安全密钥来加密了。

25 楼 daojin 2012-02-06  

shanjing 写道

daojin 写道

讲得比较清楚。也就是说这个加密食物链的终点就是证书中心。也就是CA。

但是我说的是安全问题：CA的安全问题


1.如果通过CA认证的就被认为是可信任的证书。CA又是怎么区分哪个证书是可靠和不可靠的呢？它即使是认为可靠了！谁又能保证服务器的数字证书不会被窃走呢？发送的过程当中，谁又能保证不被别的所谓的“被信任的证书”替换呢？

目前的情况是，一个CA根本无法确定谁是可信任的！！即使确定了，也无法保证就不会出问题，不然黑客就没得混了。


2.所以说，用数字证书来加密显然不可靠。不能保证银行账号就是安全的。

所以，要用USB这种移动式证书。

CA只是认证的一部分，签名也很重要，联合起来才能认证。
服务器的证书被偷了也没用的，因为证书是必须绑定域名的，你用钓鱼的办法用不了别人的证书。
绝对的安全是不存在的：证书被偷+DNS解析被改+钓鱼....肯定可以破解
但你用USB一样可能被偷，密码一样可能泄露.....

你说的没错。CA就像一个仲裁者一样，比如说他给中国银行发证书，他也给我的私人网站发证书。我的私人网站本身就是一个干坏事的钓鱼网站。电脑中毒，DNS直接重定向到我的私人网站。这我不就得逞了。

24 楼 步青龙 2012-02-03  

好文章，很形象。 赞一把！！！

23 楼 liangcoder 2011-12-03  

good job~ 学习了

22 楼 shanjing 2011-12-03  

daojin 写道

讲得比较清楚。也就是说这个加密食物链的终点就是证书中心。也就是CA。

但是我说的是安全问题：CA的安全问题


1.如果通过CA认证的就被认为是可信任的证书。CA又是怎么区分哪个证书是可靠和不可靠的呢？它即使是认为可靠了！谁又能保证服务器的数字证书不会被窃走呢？发送的过程当中，谁又能保证不被别的所谓的“被信任的证书”替换呢？

目前的情况是，一个CA根本无法确定谁是可信任的！！即使确定了，也无法保证就不会出问题，不然黑客就没得混了。


2.所以说，用数字证书来加密显然不可靠。不能保证银行账号就是安全的。

所以，要用USB这种移动式证书。

CA只是认证的一部分，签名也很重要，联合起来才能认证。
服务器的证书被偷了也没用的，因为证书是必须绑定域名的，你用钓鱼的办法用不了别人的证书。
绝对的安全是不存在的：证书被偷+DNS解析被改+钓鱼....肯定可以破解
但你用USB一样可能被偷，密码一样可能泄露.....

21 楼 daojin 2011-12-03  

结论是。

这种CA认证的东西，只能打击那些不服气CA的公司。或者CA公司的竞争者。不要上CA的当！

20 楼 daojin 2011-12-03  

讲得比较清楚。也就是说这个加密食物链的终点就是证书中心。也就是CA。

但是我说的是安全问题：CA的安全问题


1.如果通过CA认证的就被认为是可信任的证书。CA又是怎么区分哪个证书是可靠和不可靠的呢？它即使是认为可靠了！谁又能保证服务器的数字证书不会被窃走呢？发送的过程当中，谁又能保证不被别的所谓的“被信任的证书”替换呢？

目前的情况是，一个CA根本无法确定谁是可信任的！！即使确定了，也无法保证就不会出问题，不然黑客就没得混了。


2.所以说，用数字证书来加密显然不可靠。不能保证银行账号就是安全的。

所以，要用USB这种移动式证书。

19 楼 daojin 2011-12-03  

鸟用。CA本身就是不可以信任怎么办。发证书随便发！！！！！！！！！！！！！

18 楼 justjavac 2011-12-02  

zhs19880321 写道

想问你几个问题：
1.鲍勃给苏珊写的信是不是帕蒂和道格用鲍勃给的公钥也能打开？
2.第11步，“对鲍勃的公钥和一些相关信息一起加密”一些相关信息是指什么？
3.第13步，“用CA的公钥解开数字证书，就可以拿到鲍勃真实的公钥了”苏珊用的CA的公钥只能打开鲍勃发来的证书吗，怎么证明解开证书拿到的公钥就是鲍勃的？

1.帕蒂和道格都可以打开（如果他们截获了信件），所以他俩可以进行中间人攻击、会话劫持。中间人攻击。所以呢，CA就产生了。

17 楼 zhs19880321 2011-12-02  

想问你几个问题：
1.鲍勃给苏珊写的信是不是帕蒂和道格用鲍勃给的公钥也能打开？
2.第11步，“对鲍勃的公钥和一些相关信息一起加密”一些相关信息是指什么？
3.第13步，“用CA的公钥解开数字证书，就可以拿到鲍勃真实的公钥了”苏珊用的CA的公钥只能打开鲍勃发来的证书吗，怎么证明解开证书拿到的公钥就是鲍勃的？

16 楼 snowolf 2011-12-02  

资料不错，现在这方面的东西越来越全了！

15 楼 qweer521775 2011-12-01  

justjavac 写道

yingwuhahahaha 写道

引用

苏珊收信后，用CA的公钥解开数字证书，就可以拿到鲍勃真实的公钥了，然后就能证明"数字签名"是否真的是鲍勃签的。

证书里面存了

引用

鲍勃

的信息么?
一般解密后的证书是什么结构呢?

数字证书文件格式（cer和pfx），一般cer比较常用，扩展名是.cer。java中的keytool 工具可以管理证书
这是SSL的数据结构
参考：http://bit.ly/tuAEft

　Certificate证书
　　--Version 版本
　　--Serial Number 序列号
　　--Algorithm ID 算法标识
　　--Issuer 颁发者
　　--Validity 有效期
　　>Not Before 有效起始日期
　　>Not After 有效终止日期
　　--Subject 使用者
　　--Subject Public Key Info 使用者公钥信息
　　-- Public Key Algorithm 公钥算法
　　--Subject Public Key 公钥
　　--Issuer Unique Identifier (Optional) 颁发者唯一标识
　　--Subject Unique Identifier (Optional) 使用者唯一标识
　　--Extensions (Optional) 扩展
　　...
　　Certificate Signature Algorithm 证书签名算法
　　Certificate Signature 证书签名
其实X.509 结构也差不多一样 

14 楼 justjavac 2011-12-01  

yingwuhahahaha 写道

引用

苏珊收信后，用CA的公钥解开数字证书，就可以拿到鲍勃真实的公钥了，然后就能证明"数字签名"是否真的是鲍勃签的。

证书里面存了

引用

鲍勃

的信息么?
一般解密后的证书是什么结构呢?

数字证书文件格式（cer和pfx），一般cer比较常用，扩展名是.cer。java中的keytool 工具可以管理证书
参考：http://bit.ly/tuAEft

13 楼 justjavac 2011-12-01  

rmn190 写道

justjavac 写道

zxylx 写道

那服务器发回给客户端的信息岂不是不安全的。因为很多人都会CA的公钥，被其它人窃取后照样可以解析出来。

你说的是16步吧，服务器发送的内容，就是给客户端看到。不存在安全不安全。任何人都可以看到，即使没有密钥。数字签名用到了加密的技术，但是数字签名和加密有本质的区别。
数字签名是为了确保信息没有伪造，也就是说，我给你发送了信息，我对信息签名了，然后你就可以确定这个信息确实你我发送的，而不是张三或者李四发送的。
信息本身不需要加密，我发送给你一个号码“123456789”，是明文发送到，我对他签名，这样你接收到我的信息，可以确定1、信息是我发送到，2、信息在传送的过程中没有被第三个人修改过。这样签名档目的就达到了。
数字签名和咱普通的在合同上签字是一样的。

我记得HTTPS本身是可以对服务器发来的信息加密的， 也就是不会明文地传送“123456789”。

HTTPS报文中的任何东西都被加密，包括所有报头和荷载。除了可能的CCA（参见限制小节）之外，一个攻击者所能知道的只有在两者之间有一连接这一事实。
参考维基百科：http://bit.ly/sk11m3
PS：
一个到某网站的HTTPS连接可被信任，当且仅当：

• 用户相信他们的浏览器正确实现了HTTPS且安装了正确的证书颁发机构；
• 用户相信证书颁发机构仅信任合法的网站；
• 被访问的网站提供了一个有效的证书，意即，它是由一个被信任的证书颁发机构签发的（大部分浏览器会对无效的证书发出警告）；
• 该证书正确地验证了被访问的网站（如，访问https://example时收到了给“Example Inc.”而不是其它组织的证书）；
• 或者互联网上相关的节点是值得信任的，或者用户相信本协议的加密层（TLS或SSL）不能被窃（和谐）听者破坏。

12 楼 tting 2011-12-01  

看上去比较形象，但是我第一遍看下来还是有点模糊，第二遍才弄清了点头绪！

11 楼 yingwuhahahaha 2011-12-01  

引用

苏珊收信后，用CA的公钥解开数字证书，就可以拿到鲍勃真实的公钥了，然后就能证明"数字签名"是否真的是鲍勃签的。

证书里面存了

引用

鲍勃

的信息么?
一般解密后的证书是什么结构呢?

10 楼 77tt77 2011-11-30  

哈哈，不错啊。