前言
先看一下百度百科對數字簽名和數字證書的解釋:
數字簽名:
將報文按雙方約定的HASH算法計算得到一個固定位數的報文摘要。在數學上保證:只要改動報文中任何一位,重新計算出的報文摘要值就會與原先的值不相符。這樣就保證了報文的不可更改性。
將該報文摘要值用發送者的私人密鑰加密,然後連同原報文一起發送給接收者,而產生的報文即稱數字簽名
數字證書:
數字證書就是互聯網通訊中標誌通訊各方身份信息的一系列數據,提供了一種在Internet上驗證您身份的方式,其作用類似於司機的駕駛執照或日常生活中的身份證。它是由一個由權威機構—–CA機構,又稱爲證書授權(Certificate Authority)中心發行的,人們可以在網上用它來識別對方的身份。數字證書是一個經證書授權中心數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數字簽名。
對數字簽名和數字證書的理解一直較模糊。
最近看了一篇很形象的關於數字證書的圖形化介紹, 豁然就開朗了^^
原文:What is a Digital Signature?
中文版
正文
1. 鮑勃有兩把鑰匙,一把是公鑰,另一把是私鑰。
- 鮑勃把公鑰送給他的朋友們—-帕蒂、道格、蘇珊—-每人一把。
- 蘇珊要給鮑勃寫一封保密的信。她寫完後用鮑勃的公鑰加密,就可以達到保密的效果
- 鮑勃收信後,用私鑰解密,就看到了信件內容。這裏要強調的是,只要鮑勃的私鑰不泄露,這封信就是安全的,即使落在別人手裏,也無法解密。
- 鮑勃給蘇珊回信,決定採用 “數字簽名”。他寫完後先用Hash函數,生成信件的摘要(digest)
- 然後,鮑勃使用私鑰,對這個摘要加密,生成”數字簽名”(signature)。
- 鮑勃將這個簽名,附在信件下面,一起發給蘇珊。
- 蘇珊收信後,取下數字簽名,用鮑勃的公鑰解密,得到信件的摘要。由此證明,這封信確實是鮑勃發出的。
- 蘇珊再對信件本身使用Hash函數,將得到的結果,與上一步得到的摘要進行對比。如果兩者一致,就證明這封信未被修改過。
- 複雜的情況出現了。道格想欺騙蘇珊,他偷偷使用了蘇珊的電腦,用自己的公鑰換走了鮑勃的公鑰。此時,蘇珊實際擁有的是道格的公鑰,但是還以爲這是鮑勃的公鑰。因此,道格就可以冒充鮑勃,用自己的私鑰做成”數字簽名”,寫信給蘇珊,讓蘇珊用假的鮑勃公鑰進行解密。
- 後來,蘇珊感覺不對勁,發現自己無法確定公鑰是否真的屬於鮑勃。她想到了一個辦法,要求鮑勃去找”證書中心”(certificate authority,簡稱CA),爲公鑰做認證。證書中心用自己的私鑰,對鮑勃的公鑰和一些相關信息一起加密,生成”數字證書”(Digital Certificate)。
- 鮑勃拿到數字證書以後,就可以放心了。以後再給蘇珊寫信,只要在簽名的同時,再附上數字證書就行了。
- 蘇珊收信後,用CA的公鑰解開數字證書,就可以拿到鮑勃真實的公鑰了,然後就能證明”數字簽名”是否真的是鮑勃籤的。
下面,我們看一個應用”數字證書”的實例:https協議。這個協議主要用於網頁加密。
首先,客戶端向服務器發出加密請求。
- 服務器用自己的私鑰加密網頁以後,連同本身的數字證書,一起發送給客戶端。
- 客戶端(瀏覽器)的”證書管理器”,有”受信任的根證書頒發機構”列表。客戶端會根據這張列表,查看解開數字證書的公鑰是否在列表之內。
18. 如果數字證書記載的網址,與你正在瀏覽的網址不一致,就說明這張證書可能被冒用,瀏覽器會發出警告。
19 .如果這張數字證書不是由受信任的機構頒發的,瀏覽器會發出另一種警告
20.如果數字證書是可靠的,客戶端就可以使用證書中的服務器公鑰,對信息進行加密,然後與服務器交換加密信息。
總結
數字簽名 就是使用個人私密和加密算法加密的摘要和報文,是私人性的。而數字證書是由CA中心派發的.