电子签名无法避免的漏洞

最新推荐文章于 2024-06-29 19:37:17 发布
最新推荐文章于 2024-06-29 19:37:17 发布
阅读量1.9k 收藏
点赞数
分类专栏: PKI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ccycc/article/details/280719
版权
     2004年8月28日,中国正式颁布了<电子签名法>,2005年4月1日生效。
     两年前在一个课题组,专门研究电子签名、电子合同等,当时课题组还有很多专家,有几个就是电子签名法的起草者。
    三年的时间,得到很多成果。从签名理论、技术到取证、举证、质证、证据采纳等各个方面都进行了研究,并发表了很多论文。
    然而,现在不得不说说当时研究发现的电子签名的一些弊端。

 一、你所签署的并不是你所看到的(以假乱真)
     电子签名的过程在技术上无非是PKI技术,虽然电子签名法采取了技术中立原则,但现在还没找到其他的技术可以实现。
   
     技术底层实现过程是:
                       调用签名接口—〉传入要签名的数据—〉输入PIN码—〉签名成功
    用户的操作:
                       阅读未签名的合同—〉激发签名—签名成功(提示或盖个电子公章)等等。

    漏洞在哪里?
    漏洞就在于计算机程序太灵活了,黑客完全可以草拟出一份“假合同”(用户想要的,给用户看的)放在屏幕的最前端,而这份假合同后面是“真合同”(黑客想要的,真正要签名的),用户对假合同完全满意了,点击黑客为他提供的签名按钮(完全模仿真的电子签名软件),而在后台黑客调用真实的签名接口,弹出真实的输入PIN码框,客户输入PIN码后,对黑客想要的真合同进行了签名,而客户还因为对自己看到的合同签了名。

   这种技术并不难。
  其他以后再说
                       

      
    
ccycc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[系统安全] 二十二.PE数字签名之(下)微软证书漏洞CVE-2020-0601复现及Windows验证机制分析
杨秀璋的专栏
02-17 1万+
作者前文介绍了什么是数字签名,利用Asn1View、PEVie、010Editor等工具进行数据提取和分析,这是全网非常新的一篇文章,希望对您有所帮助。这篇文章将详细介绍微软证书漏洞CVE-2020-0601,并讲解ECC算法、Windows验证机制,复现可执行文件签名证书的例子。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参
学习Android三个签名漏洞
dxymoon的专栏
05-20 1001
主要是想记录下自己学习的
数字签名漏洞
MLer
12-20 1255
传统认识上,杀毒软件对程序进行安全分析的一个非常重要的依据就是数字签名。它相当于软件程序在电脑系统中的身份证号码,每个合法程序都拥有唯一的签名信息,如果此文件被恶意篡改,签名信息就会失效。 拥有正常身份证信息的公民都是良民,基于这样的判定体系,杀毒软件将一些拥有数字签名的安全度较高的文件信息添加到白名单,比如QQ、迅雷等正规的、大型的软件公司的相关文件,杀毒软件扫描这些文件的时候就不会耗费太
漏洞复现」契约锁电子签章平台 add 远程命令执行漏洞
最新发布
qq_39894062的博客
06-29 1448
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!!!
Java SE 数字签名伪造漏洞通告(CVE-2022-21449)
EDI电子数据交换 | 知行软件
04-24 3374
尊敬的知行之桥EDI系统用户,您好! 知行软件的系统安全团队近期监测到,Oracle官方于2022年4月发布的安全公告中,提及并修复了 Oracle Java SE 的数字签名算法实现存在的一个高危漏洞漏洞编号为CVE-2022-21449。 漏洞详情 ECDSA 即椭圆曲线数字签名算法(Elliptic Curve Digital Signature Algorithm),它是一种被广泛使用的标准,常用于应用程序和密码库。 漏洞由于部分版本 java SE 的 ECDSA 签名机制存在缺陷导致,可允许攻
五、数字签名及存在的问题
卓越无关环境,保持空杯心态——靡不有初,鲜克有终
10-24 4303
文章目录数字签名防止假冒防止篡改事后否认数字签名的漏洞中间人攻击 背景:A和B通信,X是中间人 数字签名   上一篇我们说到了消息认证码可以防止假冒和篡改,而无法防止事后否认,这里我们会讲解数字签名为什么能解决这个问题。   当我们用私钥加密的时候,我们会把这个操作称为数字签名。 防止假冒   X假冒A给B发消息,由于X没有A的私钥,无法生成正确的数字签名。即使X不签名直接发过去,B也会直接丢弃,所以X无法假冒。 防止篡改 1.A给B发文档,先把文档进行哈希,生成摘要,然后用自己的私钥对摘要加密生成数字
电子签名修改工具.zip
02-23
电子签名通常基于公钥加密技术,如RSA或DSA,确保只有拥有对应私钥的人才能签署文件,而其他人无法伪造。本压缩包“电子签名修改工具.zip”包含两个文件:“RemovePeSign x32”和“RemovePeSign_x64”,它们可能是...
区块链中的密码学:非对称加密与电子签名
本文将就区块链中的密码学,尤其是非对称加密与电子签名技术进行深入探讨。 ## 1.2 区块链简介 区块链是一种去中心化、分布式的账本技术,其主要特点是安全可信、信息不可篡改。其基本结构由区块组成,每个区块中...
数字签名及相关工具.zip
05-07
数字签名是一种用于验证电子文档完整性和发送者身份的技术,它在信息安全领域扮演着至关重要的角色。数字签名的应用广泛,包括软件发布、电子邮件安全、在线交易等。本压缩包"数字签名及相关工具.zip"包含了与数字...
Centos7系统安全漏洞及修复方案
热门推荐
sara的博客
04-20 2万+
以下所有漏洞均为Centos7的系统漏洞修复,为离线内网环境;某些服务由Docker镜像部署。 1、Docker Remote API 未授权访问漏洞【原理扫描】 详细描述 Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的LINUX机器上,也可以实现虚拟化。 Docker swarm 是一个将docker集群变成单一虚拟的docker host工具,使用标准的Docker API,能够方便docker集.
电子签名第三方服务平台,如何保障电子合同安全性的?
feng_junwei的博客
12-29 3150
一、电子签名数据不会被盗用 电子签名数据只对当次签名文件有效,复制图样或者其他方式使用到其他文件上,是不会被认可的。一个可靠的电子签名是联同电子文件内容保护一起考虑进去的。 二、电子合同签署后内容不会泄露 实现无纸化业务后,产生的交易数据,凭证数据傲雄不会存储,是负责在对方要求的系统下传输,而签字数据包则在对方单独服务器存储,傲雄有加密过程。 如果涉及到第三方证据固化,只在第三存储了最后加密数据包的HASH信息,都是脱敏的信息,不会给客户带来任何风险,且第三证据固化存储满足安全相关的要求的,具备相关
电子签名:可视化与安全性如何双赢
11-01 2380
电子签名:可视化与安全性如何双赢 四种MS Word/Excel 可视化电子签章系统的安全隐患分析   一种安全的文档数字签名方案    
电子印章有哪些特点和优势?
ebaoquanym的博客
05-24 2796
君子签电子印章系统是面向电子政务、电子商务等领域推出的获得国密认证,符合《安全电子签章密码技术规范》的安全系列产品。 电子印章特点及优势: 1.随时随地,自主印章:只要有网络,只要有电脑,用户就可以在任何时间、任何地点通过我们的平台自助申请印章。 2.提供多种签章场景:作为权威的电子印章开发商不仅提供单机版电子签章、企业版电子签章,还提供ActiveX网页控件服务,可与第三方业务系统无缝接入。支持...
如何防止组织印章错用、盗用、冒用、滥用等乱象?
yinzhangguanli的博客
10-22 949
印章是企业组织合法有序经营的“通行令”。改善企业用章管章模式成为杜绝印章错用、盗用、冒用、滥用等违规甚至违法用章行为的重要措施…… 有数据显示,企业经营风险有超过六成来源于合同纠纷,而在这些合同纠纷中,印章管理漏洞成为纠纷产生的重要原因。 办公手段不断进步、管理措施不断完善,印章错用、盗用、冒用、滥用乱象为何得不到“根治”? 原因一:环境影响 互联网技术无限扩大企业经营范围,使用物...
电子签名的认证、防篡改机制是怎么实现的?
Simple_Man_Just的博客
12-10 2454
用一组漫画来解释一下: 鲍伯有两把钥匙,一把是公钥,另一把是私钥(公钥是公开的任何人都可以下载到)                             苏珊要给鲍勃写一封保密的信。她写完后用鲍勃的公钥加密,就可以达到加密保护的效果。                                     鲍勃收信后,用私钥解密,就看到了信件内容,这里强调的是,只要鲍勃的私钥不泄露,这...
web开发中使用证书中的密钥进行加密与签名
weixin_33709609的博客
07-01 543
一. 首先说一下几种常见证书的存放形式: 证书格式      存放形式           .p12        用于存放公钥/私钥。     .pem        用于存放公钥/私钥 .pfx        用于存放公钥/私钥 .cer/.crt      用于存放公钥/证书序列号还有证书的信息等等 二. 提取证书中的内...
模拟电子签章盖章效果的jQuery插件源码
zymx(u010820135)的专栏
06-11 5179
转自http://www.jquerycn.cn/a_5675 客户提了个需求,需要在已审核的文档上加盖公章,网上找了找没有现成的,自己动手丰衣足食 老规矩,上图看效果:           可以内嵌在各种容器中,已包装成jquery插件,调用方便。点击“盖章”按钮添加一个新章,可以自由拖动位置,点击确定后保存并触发回调函数方便处理保存,有需要的下载试试。 [
高效群签名的安全质疑:存在知识签名漏洞
群签名是一种扩展自普通数字签名的重要安全机制,它在众多领域,如电子商务、电子政务等,提供了对群组内部成员身份保护的同时,确保了信息的可信性和不可否认性。近期,张等人提出了一种声称比ACJT方案更为高效的群...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值