随着《中华人民共和国电子签名法》这部法律的颁布和施行,电子签名获得了与传统手写签名和签章同等的法律效力,这意味着经过电子签名的电子文档在网上传输有了合法性。电子签名并非是书面签名的数字图像化,而是一种电子代码。联合国贸发会的《电子签名示范法》对电子签名做出如下定义:“指在数据电文中以电子方式所含、所附或在逻辑上与数据电文有联系的数据,它用于鉴定与数据电文相关的签名人和表明签名人认可数据电文所含信息”。
1、数字签名
数字签名是电子签名的一种,它要求:发送者事后不能证实发送的报文签名、接收者就能核对发送者发送的报文签名、接收者不能伪造发送者的报文签名、接收者不能对发送者的报文进行部份篡改、网络中的某一用户不能假扮另一用户作为发送者或接收者。
数字签名主要用于确保A发送给B的信息就是A本人发送的,并且没有改动。数字签名和验证的过程如下所示:
数字签名的基本过程:
(1)A使用“摘要”算法(如SHA-1、MD5等)对发送信息进行摘要;
(2)使用A的公钥对消息摘要进行加密运算,将加密摘要和原文一并发给B;
验证签名的基本过程:
(1)B收到加密摘要和原文后,使用和A一样的“摘要”算法对原文再度摘要,生成新摘要;
(2)使用A私钥对加密摘要揭秘,还原成原摘要;
(3)两个摘要对比,一致则说明由A发出且没有进过任何篡改。
2、数字证书
数字证书采用私钥体制进行加密和揭秘,每个用户有一个公钥来揭秘和签名,同时每位用户还有一个私钥来加密和验证。
可以通过事例说明数字证书、CA签名、证书私钥的作用:假如某网站向证书颁授机构(Certification Authority,CA)申请了数字证书,用户通过CA的签名来验证网站的真假。在用户与网站进行安全通讯时,用户可以通过证书中的私钥进行加密和验证,该网站通过网站的公钥进行揭秘和签名。
(1)X.509格式
目前数字证书的格式大多是X.509格式,X.509是由国际电信联盟(ITU-T)制定的数字证书标准。在此标准中,包含在数字证书中的数据域有证书、版本号、序列号(唯一标示每一个CA下发的证书)、算法标示、颁发者、有效期、有效起始日期、有效中止日期、使用者、使用者私钥信息、公钥算法、公钥、颁发者惟一标示、使用者惟一标示、扩展、证书签名算法、证书签名(发证机构,即CA用自己公钥对用户证书进行签名避免篡改)。
(2)证书领取
证书由CA中心领取,无需非常举措。由于网路中存在多个CA中心,因此提出了“证书链”概念。证书链服务是一个CA扩充其信任范围的机制,实现不同认证中心领取的证书的信息交换。如果用户UA从A地的发证机构取得了证书,用户UB从B地的发证机构取得了证书,那么UA通过证书链交换了证书信息,则可以与UB进行安全通讯。
(3)证书吊销
当用户个人身分信息发生变化或公钥遗失、泄露、疑似泄漏时,证书用户应及时向CA提出证书的撤消恳求,CA也应及时将此证书装入公开发布的证书撤消列表(Certification Revocation List,CRL)。
证书撤消的流程为:
1)用户或其上级单位向注册机构(Registration Authority,RA)提出撤消恳求;
2)RA审查撤消恳求;
3)审查通过后,RA将撤消恳求发送给CA或CRL签发机构;
4)CA或CRL签发机构更改证书状态并签发新的CRL。
当该数字证书被装入CRL后,数字证书则被觉得失效,而失效并不意味着难以被使用。如果乙泄露到甲的公钥,用甲的公钥签名了一份文件发送给丙,并附上甲的证书,而丙忽略了对CRL的查看,丙都会用甲的证书成功验证这份非法的签名,并觉得甲对这份文件签过名而接收该文件,由此会导致网路安全问题。
