数字签名技术是互联网的一项基础技术,他解决的是【数据来源可靠与否的问题】,相当于给数据打上一个独一无二的【标记】,接收者看到这个标记就可以确定,这个条数据到底是不是XXX发出的,即:数据的来源是否可被信任
从技术的实现上来说,数据签名有两种方式:
* 对称性加密
* 非对称性加密
对称性加密:
举个通俗的例子:
上面用于加密信息的盒子的锁只有一个钥匙孔,加锁和解锁都共用一个孔,所以:
发送者可以对消息加锁,也可以对消息解锁,同理,接收者也可以对消息加锁,对消息解锁
而且,对于任意一个人来收,只要从【发送者】和【接收者】的任意一方中得知【钥匙】的信息,就可以对信息经行【篡改】
这是非常危险的!
为了解决这问题,就出现了【非对称性加密】
举例:
在【非对称加密】中,加密信息的盒子的锁,一个有两个孔,任意一个孔都可以对盒子进行开锁和解锁,但要服从下面的规则:
* 左孔加锁,则必须右孔解锁
* 右孔加锁,则必须左孔解锁
即:
* 【公钥加密,私钥解密】
* 【私钥加密,公钥解密】
所以,在这种场景下,发送者只能对信息进行加密,无法对加密后的信息进行解密吗,
而接收者既可以对信息加密也可以对信息解密,因为接收者是有公钥的(公钥就是他发布出去的)
所以,在这种场景下,安全性就高了很多,从【任意一方获得钥匙】变成了【必须从接收者这获得私钥】,无疑,技术安全提高了数倍!!!
理论上,只要私钥不被任何其他人知道,那么信息就绝对是安全的!!!
基于【非对称性加密】,又引出了另一个问题:冒充公钥
因为私钥基本不可获得,那么就不获得了,直接冒充公钥就可以了!
举例:
A,B,C,三个人,ab相互通信,采用【非对称性加密】,c想进行窃听,但是a的私钥基本不可获得,那么c就不去获得了,直接假扮成a,与b进行通信,
从中套b的话,间接的获得ab通信的内容,具体假扮的方式:
c自己生成一对钥匙,把【自己的公钥】和【a给b的公钥】进行调包,但是b不知道,这个时候b给a发的消息,其实是在给c发消息,c用自己的私钥进行解密,完美!!!
如何解决这个问题?
答:数字证书
举例:
从上面的证书格式可以发现:数字证书的本质就是【将人和公钥进行绑定】,即:让公钥具有人的属性,通过这个属性就可以知道这个公钥到底是谁的!!!
即:让钥匙打上人的烙印!!!
回到,上面abc的例子,引入数字证书之后,b就可以知道这个手上的【公钥】到底是谁的了,b通过查验数字证书,发现这个【公钥】不是a的那么就不会进行
通信了,也就保证了ab通信内容的安全性!!!
这下【技术上】彻底完美了!
但也仅仅只是【技术上完美了】,如果,证书的验证机构也与c【沆瀣一气】那信息任然是不安全的,而这已经超越了技术的能力边界,需要【法律】与【秩序】的介入了。