淺談數(shù)字簽名技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全也越來越成為當(dāng)今網(wǎng)絡(luò)社會的焦點。那么，我們該如何表示身份呢？數(shù)字簽名的提出和可靠應(yīng)用，使其成為手寫簽名的替代者。

所謂“數(shù)字簽名”就是通過某種密碼運(yùn)算生成一系列符號及代碼組成電子密碼進(jìn)行簽名，來代替書寫簽名或印章。

一、數(shù)字簽名原理

數(shù)字簽名就是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換。這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元的來源和數(shù)據(jù)單元的完整性并保護(hù)數(shù)據(jù)，防止被人偽造。它是對電子形式的消息進(jìn)行簽名的一種方法，一個簽名消息能在一個通信網(wǎng)絡(luò)中傳輸?；诠€密碼體制和私鑰密碼體制都可以獲得數(shù)字簽名，目前主要是基于公鑰密碼體制的數(shù)字簽名。包括普通數(shù)字簽名和特殊數(shù)字簽名。只要數(shù)學(xué)變換方法優(yōu)良，變換后的信息在傳輸中就具有很強(qiáng)的安全性，很難被破譯、篡改。這一個過程稱為加密，對應(yīng)的反變換過程稱為解密。

二、數(shù)字簽名算法

1.Hash簽名

Hash簽名不屬于強(qiáng)計算密集型算法，應(yīng)用較廣泛。它可以降低服務(wù)器資源的消耗，減輕中央服務(wù)器的負(fù)荷。Hash的主要局限是接收方必須持有用戶密鑰的副本以檢驗簽名，因為雙方都知道生成簽名的密鑰，較容易攻破，存在偽造簽名的可能。

2.DSS和RSA簽名

DSS和RSA采用了公鑰算法，不存在Hash的局限性。RSA是最流行的一種加密標(biāo)準(zhǔn)，許多產(chǎn)品的內(nèi)核中都有RSA的軟件和類庫。早在Web飛速發(fā)展之前，RSA數(shù)據(jù)安全公司就負(fù)責(zé)數(shù)字簽名軟件與Macintosh操作系統(tǒng)的集成，在Apple的協(xié)作軟件PowerTalk上還增加了簽名拖放功能，用戶只要把需要加密的數(shù)據(jù)拖到相應(yīng)的圖標(biāo)上，就完成了電子形式的數(shù)字簽名。與DSS不同，RSA既可以用來加密數(shù)據(jù)，也可以用于身份認(rèn)證。和Hash簽名相比，在公鑰系統(tǒng)中，由于生成簽名的密鑰只存儲于用戶的計算機(jī)中，安全系數(shù)大一些。

三、數(shù)字簽名及鑒定

1.發(fā)送方做數(shù)字簽名

若要證明自己確實發(fā)出了某封電子郵件而且郵件的內(nèi)容在發(fā)出以后沒有被改變，用戶可以使用數(shù)學(xué)家們研究的算法對自己即將發(fā)出的郵件進(jìn)行計算，得到一個很大的、獨(dú)一無二的數(shù)，然后再用自己的私有密鑰對這個數(shù)加密，然后將加密后的數(shù)、自己的公鑰和電子郵件一塊發(fā)給他人。

2.接收方鑒定數(shù)字簽名

其他人得到用戶的電子郵件后，一方面可使用數(shù)學(xué)家們研究的算法對收到的電子郵件進(jìn)行計算，將得到一個數(shù)，假定為B；另一方面則使用用戶的公開密鑰將由用戶用私有密鑰加密的數(shù)解密還原，假定為A；如果A等于B，則說明電子郵件發(fā)出后沒有被改變過。如果改變過，則A和B肯定不相等。因此，若有人改變了郵件的內(nèi)容并重新計算出了新的大數(shù)，但他無法制作加密后的新的大數(shù)，因而收件人就可根據(jù)二者是否相等來判斷所收郵件是否真的出自發(fā)件人之手以及郵件發(fā)出后是否被他人篡改過。這種技術(shù)就是數(shù)字簽名技術(shù)，加密后的大數(shù)就是數(shù)字簽名。

四、數(shù)字簽名的應(yīng)用前景及發(fā)展方向

數(shù)字簽名能極大地提高電子商務(wù)的安全性，但目前國內(nèi)的電子商務(wù)安全還停留在起步階段。銀行等高安全需求的服務(wù)也都停留在安全套接層（SSL）的水平，同時各種法規(guī)和認(rèn)證結(jié)構(gòu)也沒有得到有效的建立和管理，因此目前我國的數(shù)字簽名發(fā)展應(yīng)注意以下幾點。

第一，需要立法機(jī)構(gòu)對數(shù)字簽名技術(shù)有足夠的重視，并且在立法上加快腳步，迅速制定有關(guān)法律，以充分實現(xiàn)數(shù)字簽名具有的特殊鑒別作用，有力地推動電子商務(wù)以及其他網(wǎng)上事務(wù)的發(fā)展。

第二，基礎(chǔ)設(shè)施（鑒定中心、在線存取數(shù)據(jù)庫等）的建立和維護(hù)。CA認(rèn)證機(jī)構(gòu)是PKI的關(guān)鍵，也是數(shù)字簽名的關(guān)鍵。

第三，數(shù)字簽名軟件的開發(fā)、推廣和數(shù)字簽名規(guī)范化。發(fā)送方的信息如果采用數(shù)字簽名了，就要求接受方也有數(shù)字簽名的軟件。

第四，生成和驗證數(shù)字簽名的工具應(yīng)該進(jìn)一步完善。只有用安全套接層SSL和安全電子交易SET等協(xié)議建立的安全的Web瀏覽器才能使數(shù)字簽名得到更廣泛的應(yīng)用。

目前，新近開發(fā)的協(xié)議（LITESET協(xié)議）的效率都比SET協(xié)議有了大大的提高。

（作者單位：煙臺工程職業(yè)技術(shù)學(xué)院）