转载自: http://www.ruanyifeng.com/blog/2011/08/what_is_a_digital_signature.html
1.
Bob有两把钥匙,一把是Public Key, 一把是Private Key。
2.
Bob把公钥送给他的三位朋友。
3.
苏珊要给Bob写一封信,用Bob的公钥加密。别人就不知道信中的内容。
4.
Bob拿自己的私钥将信解密。就算信落在别人手里,别人由于没有Bob的private key,所以也不能解开信的内容。
只要Bob的私钥不被别人获取,别人就不能破解该信。
5.
Bob给苏珊回信,决定使用Digital Signature技术。他通过Hash函数,将信的内容生成一个摘要。
6.
Bob用他的私钥对摘要加密,生成数字签名。
7.
Bob将签名附在信一起,打包一起发给苏珊。
8.
苏珊取下数字签名,用Bob给她的公钥解密数字签名,得到信的摘要。
9.
苏珊再将信的内容通过Hash函数,得到一个摘要。比对该摘要和Bob发过来的摘要,判断它们是否相等。如果一样,则表示信的内容没有被改变。
10.
复杂的情况出现了。道格想欺骗苏珊,他偷偷使用了苏珊的电脑,用自己的公钥换走了鲍勃的公钥。此时,苏珊实际拥有的是道格的公钥,但是还以为这是鲍勃的公钥。因此,道格就可以冒充鲍勃,用自己的私钥做成"数字签名",写信给苏珊,让苏珊用假的鲍勃公钥进行解密。
11.
后来,苏珊感觉不对劲,发现自己无法确定公钥是否真的属于鲍勃。她想到了一个办法,要求鲍勃去找"证书中心"(certificate authority,简称CA),为公钥做认证。证书中心用自己的私钥,对鲍勃的公钥和一些相关信息一起加密,生成"数字证书"(Digital Certificate)。
12.
鲍勃拿到数字证书以后,就可以放心了。以后再给苏珊写信,只要在签名的同时,再附上数字证书就行了。
13.
苏珊收信后,用CA的公钥解开数字证书,就可以拿到鲍勃真实的公钥了,然后就能证明"数字签名"是否真的是鲍勃签的。