数字签名

        上篇RSA中提出的数字签名技术，它是一个应用很广泛的技术，数字签名的目的是对数字对象的合法性、真实性进行标记，并提供签名者的承诺。那如何实现呢？

        我们常用的是基于公钥密码算法的数字签名方法，即非对称密码体制，这里我们用RSA来实现。那么，数字签名又分为直接数字签名和可仲裁数字签名两大类，后面一一讲解。

        简而言之，前面其实就是用RSA的私钥加密，发送给对方，对方用你的公钥解密，这就可以唯一的确定消息时你发出的，而不会被他人伪造。

 

--------------------------------------------------------直接数字签名-----------------------------------------------------------

        在签名的同时，当然也要保证消息的保密性，那为了不泄露消息，发送方就要对发送的所有内容进行加密，这里我们使用对称密钥来加密（DES或者流密码），进一步说，在传递消息的过程中，即使可以认证发送人，那消息是否完整，是否被篡改过呢？这又是一个需要解决的问题，即消息完整性验证，那可以先对消息进行散列（MD5或者SHA-1），形成消息摘要，再进行签名。

        简单的介绍一下散列算法，其实散列算法就是对变长的消息进行摘要，并且有固定长度的输出。并且知道消息正向求出散列值很容易，但反向推到在计算上不可行，且对于任意两个不同的消息m和m‘，它们的散列值不可能相同。

具体算法如下：

        A（发送方）--> B（接收方）：Ek [ M || Eka [ H(M) ] ] 或 Ek [ M ] || Eka [ H(M) ]

        [注]：Ek是对称密钥加密，Eka是用A的私钥加密，H(M)为散列算法，

                 前后两者均可，前者保密性较高，后者效率较高，这里讲解前者。

       显然，B收到这个消息时，首先可以用对称密钥将M || Eka [ H(M) ]提取出来，那由于H(m)长度是固定的，进行Eka操作后长度也是固定的，那B就可以根据长度还原出明文M，以及Eka [ H(M) ]。此时，B就可以对发送者进行认证了，用A的公钥（网络上公开）对Eka [ H(M) ]解密，若解密成功，即消息时A发来的，否则认证失败。最后一步，完整性如何验证？

       在认证完来源后，B可获得H(M)，那根据之前提前到的明文M，在进行一次散列算法，求出新的H(M)，若两者相等，即消息完整，验证成功，否则失败。

       这样，消息的来源及完整性就验证完了。那么，试想，如果发送方抵赖发送某一消息或者他的私钥丢失，有人伪造他签署文件，这时该怎么办呢？这就要引入可信第三方，即仲裁者了，如果某人的私钥丢失，他要在第一时刻通知仲裁者，仲裁者可在网络上公布：该人私钥丢失，此刻以后看到他签署的文件，统统不可信！那么问题又来了，如果伪造者伪造了一份在该时间之前的文件，又该如何辨别呢？其实就是时间戳。由仲裁者给每份签名的文件附上时间戳，这样就可以避免这个问题。所以，以上这些问题都可以由可仲裁数字签名方法来解决。

------------------------------------------------------可仲裁数字签名-----------------------------------------------------------

 

敬请期待~~~~~~~~~~~~~~~~