概念

　　數(shù)字簽名不是指將你的簽名掃描成數(shù)字圖像,，或者用觸摸板獲取的簽名,，更不是你的落款。 　　數(shù)字簽名了的文件的完整性是很容易驗證的（不需要騎縫章,，騎縫簽名,，也不需要筆跡專家）,，而且數(shù)字簽名具有不可抵賴性（不需要筆跡專家來驗證）。 　　簡單地說,所謂數(shù)字簽名就是附加在數(shù)據(jù)單元上的一些數(shù)據(jù),或是對數(shù)據(jù)單元所作的密碼變換,。這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元的來源和數(shù)據(jù)單元的完整性并保護數(shù)據(jù),防止被人(例如接收者)進(jìn)行偽造,。它是對電子形式的消息進(jìn)行簽名的一種方法,一個簽名消息能在一個通信網(wǎng)絡(luò)中傳輸?；诠€密碼體制和私鑰密碼體制都可以獲得數(shù)字簽名,目前主要是基于公鑰密碼體制的數(shù)字簽名,。包括普通數(shù)字簽名和特殊數(shù)字簽名。普通數(shù)字簽名算法有RSA,、ElGamal,、Fiat-Shamir、Guillou- Quisquarter,、Schnorr,、Ong-Schnorr-Shamir數(shù)字簽名算法、Des/DSA,橢圓曲線數(shù)字簽名算法和有限自動機數(shù)字簽名算法等,。特殊數(shù)字簽名有盲簽名,、代理簽名、群簽名,、不可否認(rèn)簽名,、公平盲簽名、門限簽名,、具有消息恢復(fù)功能的簽名等,它與具體應(yīng)用環(huán)境密切相關(guān),。顯然,數(shù)字簽名的應(yīng)用涉及到法律問題,美國聯(lián)邦政府基于有限域上的離散對數(shù)問題制定了自己的數(shù)字簽名標(biāo)準(zhǔn)(DSS)。 　　數(shù)字簽名（Digital Signature）技術(shù)是不對稱加密算法的典型應(yīng)用,。數(shù)字簽名的應(yīng)用過程是,，數(shù)據(jù)源發(fā)送方使用自己的私鑰對數(shù)據(jù)校驗和或其他與數(shù)據(jù)內(nèi)容有關(guān)的變量進(jìn)行加密處理，完成對數(shù)據(jù)的合法“簽名”,，數(shù)據(jù)接收方則利用對方的公鑰來解讀收到的“數(shù)字簽名”,，并將解讀結(jié)果用于對數(shù)據(jù)完整性的檢驗，以確認(rèn)簽名的合法性,。數(shù)字簽名技術(shù)是在網(wǎng)絡(luò)系統(tǒng)虛擬環(huán)境中確認(rèn)身份的重要技術(shù),，完全可以代替現(xiàn)實過程中的“親筆簽字”，在技術(shù)和法律上有保證,。在數(shù)字簽名應(yīng)用中,，發(fā)送者的公鑰可以很方便地得到，但他的私鑰則需要嚴(yán)格保密,。

 

主要功能

　　保證信息傳輸?shù)耐暾?、發(fā)送者的身份認(rèn)證、防止交易中的抵賴發(fā)生,。 　　數(shù)字簽名技術(shù)是將摘要信息用發(fā)送者的私鑰加密,，與原文一起傳送給接收者,。接收者只有用發(fā)送的公鑰才能解密被加密的摘要信息，然后用HASH函數(shù)對收到的原文產(chǎn)生一個摘要信息,，與解密的摘要信息對比,。如果相同，則說明收到的信息是完整的,，在傳輸過程中沒有被修改,，否則說明信息被修改過，因此數(shù)字簽名能夠驗證信息的完整性,。 　　數(shù)字簽名是個加密的過程,，數(shù)字簽名驗證是個解密的過程。

 

個人安全郵件證書

　　具有數(shù)字簽名功能的個人安全郵件證書是用戶證書的一種,，是指單位用戶收發(fā)電子郵件時采用證書機制保證安全所必須具備的證書,。個人安全電子郵件證書是符合x.509標(biāo)準(zhǔn)的數(shù)字安全證書，結(jié)合數(shù)字證書和S/MIME技術(shù)對普通電子郵件做加密和數(shù)字簽名處理,，確保電子郵件內(nèi)容的安全性,、機密性、發(fā)件人身份確認(rèn)性和不可抵賴性,。 具有數(shù)字簽名功能的 個人安全郵件證書中包含證書持有人的電子郵件地址,、證書持有人的公鑰、頒發(fā)者(河南CA)以及頒發(fā)者對該證書的簽名,。個人安全郵件證書功能的實現(xiàn)決定于用戶使用的郵件系統(tǒng)是否支持相應(yīng)功能,。目前， MS Outlook ,、Outlook Express,、Foxmail及河南CA安全電子郵件系統(tǒng)均支持相應(yīng)功能。使用個人安全郵件證書可以收發(fā)加密和數(shù)字簽名郵件,，保證電子郵件傳輸中的機密性,、完整性和不可否認(rèn)性，確保電子郵件通信各方身份的真實性,。

 

用數(shù)字簽名識別病毒

　　^[1][2]如何區(qū)分?jǐn)?shù)字簽名攻擊呢,？有兩個方法： 　　1.查看數(shù)字簽名的詳細(xì)信息，我們應(yīng)該查看該數(shù)字簽名的詳細(xì)信息,，點擊“詳細(xì)信息”按鈕即可,。 　　我們會發(fā)現(xiàn)正常EXE和感染（或捆綁木馬）后的EXE數(shù)字簽名的區(qū)別 　　正常EXE的數(shù)字簽名詳細(xì)信息 　　被篡改后的EXE數(shù)字簽名信息無效 　　方法2,，使用數(shù)字簽名驗證程序sigcheck.exe （可以百度一下找這個工具,，著名系統(tǒng)工具包Sysinternals Suite的組件之一。） 　　數(shù)字簽名異常的結(jié)果為： 　　C:\Documents and Settings\litiejun\??\modify.exe: 　　Verified: Unsigned 　　File date: 15:46 2008-5-23 　　Publisher: n/a 　　Description: n/a 　　Product: n/a 　　Version: n/a 　　File version: n/a 　　數(shù)字簽名正常的結(jié)果為： 　　C:\Documents and Settings\litiejun\??\che.exe: 　　Verified: Signed 　　Signing date: 16:28 2008-4-29 　　Publisher: n/a 　　Description: n/a 　　Product: n/a 　　Version: n/a 　　File version: n/a

 

原因分析

　　1,，精心設(shè)計的感染 　　當(dāng)EXE被感染時,，是很容易破壞文件的數(shù)字簽名信息的,，如果攻擊者感染或破壞文件時，有意不去破壞EXE中有關(guān)數(shù)字簽名的部分,，就可能出現(xiàn)感染后,，數(shù)字簽名看上去正常的情況。但認(rèn)真查看文件屬性或校驗文件的HASH值,，你會發(fā)現(xiàn)該EXE程序已經(jīng)不是最原始的版本了,。 　　2.該軟件發(fā)行商的數(shù)字簽名文件被盜，攻擊者可以把捆綁木馬或感染病毒后的EXE程序,，也打包上數(shù)字簽名,，這種情況下就更嚴(yán)重了。企業(yè)如果申請了數(shù)字簽名證書,，一定要妥善保管,，否則后患無窮。

 

使用

　　你可以對你發(fā)出的每一封電子郵件進(jìn)行數(shù)字簽名,。這不是指落款,，普遍把落款訛誤成簽名。 　　在我國大陸,，數(shù)字簽名是具法律效力的,，正在被普遍使用。2000年,，中華人民共和國的新《合同法》首次確認(rèn)了電子合同,、電子簽名的法律效力。2005年4月1日起,，中華人民共和國首部《電子簽名法》正式實施,。

 

原理和特點

　　每個人都有一對“鑰匙”（數(shù)字身份），其中一個只有她/他本人知道（密鑰）,，另一個公開的（公鑰）,。簽名的時候用密鑰，驗證簽名的時候用公鑰,。又因為任何人都可以落款申稱她/他就是你,，因此公鑰必須向接受者信任的人（身份認(rèn)證機構(gòu)）來注冊。注冊后身份認(rèn)證機構(gòu)給你發(fā)一數(shù)字證書,。對文件簽名后,，你把此數(shù)字證書連同文件及簽名一起發(fā)給接受者，接受者向身份認(rèn)證機構(gòu)求證是否真地是用你的密鑰簽發(fā)的文件,。 　　在通訊中使用數(shù)字簽名一般基于以下原因：

鑒權(quán)

　　公鑰加密系統(tǒng)允許任何人在發(fā)送信息時使用公鑰進(jìn)行加密,，數(shù)字簽名能夠讓信息接收者確認(rèn)發(fā)送者的身份。當(dāng)然，接收者不可能百分之百確信發(fā)送者的真實身份,，而只能在密碼系統(tǒng)未被破譯的情況下才有理由確信,。 　　鑒權(quán)的重要性在財務(wù)數(shù)據(jù)上表現(xiàn)得尤為突出。舉個例子,，假設(shè)一家銀行將指令由它的分行傳輸?shù)剿闹醒牍芾硐到y(tǒng),，指令的格式是(a,b)，其中a是賬戶的賬號,，而b是賬戶的現(xiàn)有金額,。這時一位遠(yuǎn)程客戶可以先存入100元，觀察傳輸?shù)慕Y(jié)果,，然后接二連三的發(fā)送格式為(a,b)的指令,。這種方法被稱作重放攻擊。

完整性

　　傳輸數(shù)據(jù)的雙方都總希望確認(rèn)消息未在傳輸?shù)倪^程中被修改,。加密使得第三方想要讀取數(shù)據(jù)十分困難,，然而第三方仍然能采取可行的方法在傳輸?shù)倪^程中修改數(shù)據(jù)。一個通俗的例子就是同形攻擊：回想一下,，還是上面的那家銀行從它的分行向它的中央管理系統(tǒng)發(fā)送格式為(a,b)的指令,，其中a是賬號，而b是賬戶中的金額,。一個遠(yuǎn)程客戶可以先存100元,，然后攔截傳輸結(jié)果，再傳輸(a,b3),，這樣他就立刻變成百萬富翁了,。

不可抵賴

　　在密文背景下，抵賴這個詞指的是不承認(rèn)與消息有關(guān)的舉動（即聲稱消息來自第三方）,。消息的接收方可以通過數(shù)字簽名來防止所有后續(xù)的抵賴行為,，因為接收方可以出示簽名給別人看來證明信息的來源。

 

如何實現(xiàn)

　　數(shù)字簽名算法依靠公鑰加密技術(shù)來實現(xiàn)的,。在公鑰加密技術(shù)里,，每一個使用者有一對密鑰：一把公鑰和一把私鑰。公鑰可以自由發(fā)布,，但私鑰則秘密保存,；還有一個要求就是要讓通過公鑰推算出私鑰的做法不可能實現(xiàn)。 　　普通的數(shù)字簽名算法包括三種算法： 　　1.密碼生成算法 ,； 　　2.標(biāo)記算法 ,； 　　3.驗證算法 。