什么是數(shù)字簽名？

從根本上來說，數(shù)字簽名是一種確保電子文檔（電子郵件、電子表格、文本文件等）真實(shí)可靠的方法。“真實(shí)可靠”的含義是：您知道文檔是誰創(chuàng)建的，并且知道在作者創(chuàng)建該文檔之后，沒有人對其進(jìn)行過任何形式的修改。

數(shù)字簽名依靠某些類型的加密技術(shù)來驗(yàn)證身份。加密是指獲得一臺計(jì)算機(jī)要發(fā)送給另一臺計(jì)算機(jī)的所有數(shù)據(jù)，然后將其編碼為只有后者才能解碼的形式的過程。身份驗(yàn)證是指驗(yàn)證相關(guān)信息是來自可信來源的過程。這兩個過程共同實(shí)現(xiàn)數(shù)字簽名的功能。

要對人員或計(jì)算機(jī)上的信息進(jìn)行身份驗(yàn)證，有多種方法：

• 密碼——用戶名和密碼的使用是最常見的身份驗(yàn)證方式。您在計(jì)算機(jī)提示下輸入用戶名和密碼。計(jì)算機(jī)根據(jù)安全文件對二者進(jìn)行核對并確認(rèn)。如果用戶名或密碼中有一個不匹配，計(jì)算機(jī)就不允許您進(jìn)行進(jìn)一步訪問。

• 校驗(yàn)和——校驗(yàn)和也許是確保數(shù)據(jù)正確的最古老的方法之一，它也提供了一種身份驗(yàn)證方式，因?yàn)闊o效的校驗(yàn)和表明數(shù)據(jù)受到了某種形式的損壞。有兩種方法可以用來確定校驗(yàn)和。假設(shè)數(shù)據(jù)包的校驗(yàn)和為1個字節(jié)長，意味著校驗(yàn)和可以包含的最大值為255。如果該數(shù)據(jù)包中其他字節(jié)的和是255或更小，則校驗(yàn)和將包含那個具體的值。但如果其他字節(jié)的和大于255，則校驗(yàn)和為總值除以256后得到的余數(shù)。請看以下示例：

  字節(jié) 1	字節(jié) 2	字節(jié) 3	字節(jié) 4	字節(jié) 5	字節(jié) 6	字節(jié) 7	字節(jié) 8	總值	校驗(yàn)和
  212	232	54	135	244	15	179	80	1151	127

  1151÷256=4.496（四舍五入為4）
  4x256=1024
  1151-1024=127

• CRC（循環(huán)冗余碼校驗(yàn)）——CRC在概念上與校驗(yàn)和類似，但它使用多項(xiàng)式除法來確定CRC的值，其長度通常為16或32位。CRC的優(yōu)勢在于它非常精確。如果有一個位不正確，CRC值就不匹配。在防止傳輸過程中發(fā)生隨機(jī)錯誤方面，校驗(yàn)和與CRC都比較有效，但在防止針對數(shù)據(jù)的有意攻擊方面，則幾乎沒有提供任何保護(hù)。下面講到的加密技術(shù)則安全得多。

• 私鑰加密——私鑰的含義，是指每臺計(jì)算機(jī)都有一個密鑰（代碼），在它通過網(wǎng)絡(luò)向另一臺計(jì)算機(jī)發(fā)送信息包之前，可以使用該密鑰對信息包進(jìn)行加密。私鑰要求您知道哪些計(jì)算機(jī)將互相通信，并在每臺計(jì)算機(jī)上安裝相應(yīng)的密鑰。私鑰加密的原理與密碼相同，即兩臺計(jì)算機(jī)必須互相認(rèn)識，才能對信息進(jìn)行解碼。密碼提供了對消息進(jìn)行解碼的密鑰。可以這樣理解：您創(chuàng)建了一條要發(fā)送給朋友的編碼消息，其中每個字母都用它之后的第二個字母來代替。這樣“A”變成了“C”，“B”變成了“D”。您告訴自己信任的朋友，代碼是“后移兩位”。這樣您的朋友在收到消息時就可以進(jìn)行解碼，從而得知消息的內(nèi)容。任何其他獲得該消息的人看到的只是無意義的內(nèi)容。

• 公鑰加密——公鑰加密使用公鑰和私鑰相結(jié)合的方法。私鑰只有您的計(jì)算機(jī)知道，而公鑰由您的計(jì)算機(jī)告訴將要進(jìn)行安全通信的所有計(jì)算機(jī)。要對加密消息進(jìn)行解碼時，計(jì)算機(jī)必須使用發(fā)送消息的計(jì)算機(jī)所提供的公鑰和它自己的私鑰。

  密鑰基于散列值。這個值是使用散列算法，根據(jù)一個基本輸入數(shù)字計(jì)算出來的。關(guān)于散列值的重要一點(diǎn)是，如果不知道用于創(chuàng)建散列值的數(shù)據(jù)，則幾乎不可能推導(dǎo)出原始輸入數(shù)字。下面是一個簡單示例：

  
  

  輸入數(shù)字	散列算法	散列值
  10667	輸入數(shù)字乘以143	1525381

  毫無疑問，要判斷出值1525381是10667和143相乘的結(jié)果會是多么困難。但如果知道乘數(shù)是143，那么便可以很輕松地計(jì)算出值10667。公鑰加密遠(yuǎn)比這個示例復(fù)雜得多，但基本概念是一樣的。公鑰通常使用復(fù)雜的算法和非常大的散列值來進(jìn)行加密，例如使用40位甚至128位的數(shù)字。128位的數(shù)字可能有2128種不同組合，這個組合數(shù)相當(dāng)于270萬個奧運(yùn)會標(biāo)準(zhǔn)泳池中水分子的數(shù)量。即便是您能夠想像出的最小的水滴，其中也包含數(shù)十億個水分子！

• 數(shù)字證書——要大規(guī)模（例如一個安全的Web服務(wù)器所需的規(guī)模）實(shí)施公鑰加密，就需要另外的方法，而這正是數(shù)字證書的用途所在。從根本上說，數(shù)字證書是一小段信息，它聲明Web服務(wù)器受到名為證書頒發(fā)機(jī)構(gòu)的獨(dú)立來源的信任。證書頒發(fā)機(jī)構(gòu)扮演兩臺計(jì)算機(jī)都信任的中間人的角色。它確認(rèn)每臺計(jì)算機(jī)都確實(shí)具有所表明的身份，然后為每臺計(jì)算機(jī)提供另一臺計(jì)算機(jī)的公鑰。

數(shù)字簽名標(biāo)準(zhǔn)（DSS）是基于一種使用數(shù)字簽名算法（DSA）的公鑰加密方法。DSS是經(jīng)過美國政府批準(zhǔn)的數(shù)字簽名格式。DSA算法由一個私鑰和一個公鑰組成，該私鑰只有文檔的發(fā)送者（簽名者）知道。公鑰包括四個部分，您可在此頁上了解其相關(guān)信息。