什么是數(shù)字簽名？

從根本上來(lái)說(shuō)，數(shù)字簽名是一種確保電子文檔（電子郵件、電子表格、文本文件等）真實(shí)可靠的方法。“真實(shí)可靠”的含義是：您知道文檔是誰(shuí)創(chuàng)建的，并且知道在作者創(chuàng)建該文檔之后，沒(méi)有人對(duì)其進(jìn)行過(guò)任何形式的修改。

數(shù)字簽名依靠某些類型的加密技術(shù)來(lái)驗(yàn)證身份。加密是指獲得一臺(tái)計(jì)算機(jī)要發(fā)送給另一臺(tái)計(jì)算機(jī)的所有數(shù)據(jù)，然后將其編碼為只有后者才能解碼的形式的過(guò)程。身份驗(yàn)證是指驗(yàn)證相關(guān)信息是來(lái)自可信來(lái)源的過(guò)程。這兩個(gè)過(guò)程共同實(shí)現(xiàn)數(shù)字簽名的功能。

要對(duì)人員或計(jì)算機(jī)上的信息進(jìn)行身份驗(yàn)證，有多種方法：

• 密碼——用戶名和密碼的使用是最常見(jiàn)的身份驗(yàn)證方式。您在計(jì)算機(jī)提示下輸入用戶名和密碼。計(jì)算機(jī)根據(jù)安全文件對(duì)二者進(jìn)行核對(duì)并確認(rèn)。如果用戶名或密碼中有一個(gè)不匹配，計(jì)算機(jī)就不允許您進(jìn)行進(jìn)一步訪問(wèn)。

• 校驗(yàn)和——校驗(yàn)和也許是確保數(shù)據(jù)正確的最古老的方法之一，它也提供了一種身份驗(yàn)證方式，因?yàn)闊o(wú)效的校驗(yàn)和表明數(shù)據(jù)受到了某種形式的損壞。有兩種方法可以用來(lái)確定校驗(yàn)和。假設(shè)數(shù)據(jù)包的校驗(yàn)和為1個(gè)字節(jié)長(zhǎng)，意味著校驗(yàn)和可以包含的最大值為255。如果該數(shù)據(jù)包中其他字節(jié)的和是255或更小，則校驗(yàn)和將包含那個(gè)具體的值。但如果其他字節(jié)的和大于255，則校驗(yàn)和為總值除以256后得到的余數(shù)。請(qǐng)看以下示例：

  字節(jié) 1	字節(jié) 2	字節(jié) 3	字節(jié) 4	字節(jié) 5	字節(jié) 6	字節(jié) 7	字節(jié) 8	總值	校驗(yàn)和
  212	232	54	135	244	15	179	80	1151	127

  1151÷256=4.496（四舍五入為4）
  4x256=1024
  1151-1024=127

• CRC（循環(huán)冗余碼校驗(yàn)）——CRC在概念上與校驗(yàn)和類似，但它使用多項(xiàng)式除法來(lái)確定CRC的值，其長(zhǎng)度通常為16或32位。CRC的優(yōu)勢(shì)在于它非常精確。如果有一個(gè)位不正確，CRC值就不匹配。在防止傳輸過(guò)程中發(fā)生隨機(jī)錯(cuò)誤方面，校驗(yàn)和與CRC都比較有效，但在防止針對(duì)數(shù)據(jù)的有意攻擊方面，則幾乎沒(méi)有提供任何保護(hù)。下面講到的加密技術(shù)則安全得多。

• 私鑰加密——私鑰的含義，是指每臺(tái)計(jì)算機(jī)都有一個(gè)密鑰（代碼），在它通過(guò)網(wǎng)絡(luò)向另一臺(tái)計(jì)算機(jī)發(fā)送信息包之前，可以使用該密鑰對(duì)信息包進(jìn)行加密。私鑰要求您知道哪些計(jì)算機(jī)將互相通信，并在每臺(tái)計(jì)算機(jī)上安裝相應(yīng)的密鑰。私鑰加密的原理與密碼相同，即兩臺(tái)計(jì)算機(jī)必須互相認(rèn)識(shí)，才能對(duì)信息進(jìn)行解碼。密碼提供了對(duì)消息進(jìn)行解碼的密鑰。可以這樣理解：您創(chuàng)建了一條要發(fā)送給朋友的編碼消息，其中每個(gè)字母都用它之后的第二個(gè)字母來(lái)代替。這樣“A”變成了“C”，“B”變成了“D”。您告訴自己信任的朋友，代碼是“后移兩位”。這樣您的朋友在收到消息時(shí)就可以進(jìn)行解碼，從而得知消息的內(nèi)容。任何其他獲得該消息的人看到的只是無(wú)意義的內(nèi)容。

• 公鑰加密——公鑰加密使用公鑰和私鑰相結(jié)合的方法。私鑰只有您的計(jì)算機(jī)知道，而公鑰由您的計(jì)算機(jī)告訴將要進(jìn)行安全通信的所有計(jì)算機(jī)。要對(duì)加密消息進(jìn)行解碼時(shí)，計(jì)算機(jī)必須使用發(fā)送消息的計(jì)算機(jī)所提供的公鑰和它自己的私鑰。

  密鑰基于散列值。這個(gè)值是使用散列算法，根據(jù)一個(gè)基本輸入數(shù)字計(jì)算出來(lái)的。關(guān)于散列值的重要一點(diǎn)是，如果不知道用于創(chuàng)建散列值的數(shù)據(jù)，則幾乎不可能推導(dǎo)出原始輸入數(shù)字。下面是一個(gè)簡(jiǎn)單示例：

  
  

  輸入數(shù)字	散列算法	散列值
  10667	輸入數(shù)字乘以143	1525381

  毫無(wú)疑問(wèn)，要判斷出值1525381是10667和143相乘的結(jié)果會(huì)是多么困難。但如果知道乘數(shù)是143，那么便可以很輕松地計(jì)算出值10667。公鑰加密遠(yuǎn)比這個(gè)示例復(fù)雜得多，但基本概念是一樣的。公鑰通常使用復(fù)雜的算法和非常大的散列值來(lái)進(jìn)行加密，例如使用40位甚至128位的數(shù)字。128位的數(shù)字可能有2128種不同組合，這個(gè)組合數(shù)相當(dāng)于270萬(wàn)個(gè)奧運(yùn)會(huì)標(biāo)準(zhǔn)泳池中水分子的數(shù)量。即便是您能夠想像出的最小的水滴，其中也包含數(shù)十億個(gè)水分子！

• 數(shù)字證書——要大規(guī)模（例如一個(gè)安全的Web服務(wù)器所需的規(guī)模）實(shí)施公鑰加密，就需要另外的方法，而這正是數(shù)字證書的用途所在。從根本上說(shuō)，數(shù)字證書是一小段信息，它聲明Web服務(wù)器受到名為證書頒發(fā)機(jī)構(gòu)的獨(dú)立來(lái)源的信任。證書頒發(fā)機(jī)構(gòu)扮演兩臺(tái)計(jì)算機(jī)都信任的中間人的角色。它確認(rèn)每臺(tái)計(jì)算機(jī)都確實(shí)具有所表明的身份，然后為每臺(tái)計(jì)算機(jī)提供另一臺(tái)計(jì)算機(jī)的公鑰。

數(shù)字簽名標(biāo)準(zhǔn)（DSS）是基于一種使用數(shù)字簽名算法（DSA）的公鑰加密方法。DSS是經(jīng)過(guò)美國(guó)政府批準(zhǔn)的數(shù)字簽名格式。DSA算法由一個(gè)私鑰和一個(gè)公鑰組成，該私鑰只有文檔的發(fā)送者（簽名者）知道。公鑰包括四個(gè)部分，您可在此頁(yè)上了解其相關(guān)信息。