数字签名
规划Office 2010 的数字签名设置
更新:2010 年7 月8 日
您可以使用Microsoft Excel 2010、Microsoft PowerPoint 2010 和Microsoft Word 2010 对文档进行数字签名。还可以使用Excel 2010、Microsoft InfoPath 2010 和Word 2010 添加签名行和签名戳。Microsoft Office 2010 包括XAdES(XML 高级电子签名)支持,这是XML-DSig 标准的一组扩展。最早在2007 Microsoft Office system 中支持此功能。
本文内容:
?什么是数字签名?
?数字证书:自签名或者由 CA 颁发
?使用数字签名
什么是数字签名?
对纸质文档进行手写签名的情况,同样也适用于对文档进行数字签名。通过使用加密算法,数字签名用于帮助对数字信息(如文档、电子邮件和宏)的创建者的身份进行身份验证。
数字签名基于数字证书。数字证书是受信任第三方颁发的身份验证程序,受信任第三方也就是证书颁发机构(CA)。它的作用类似于使用纸质身份证件。例如,受信任第三方,如政府实体或雇主,颁发身份证书—如驾驶证、护照和员工ID 卡—其他人要依靠这些身份证书来验证一个人是否确实是他/她所声明的身份。
数字签名有什么作用
数字签名可帮助确立下列身份验证措施:
?真实性数字签名及其基础数字证书可帮助确保签名者符合其真实的身份。这样有助于阻止其他人假冒某个证书的原始所有者(相当于伪造纸质证书)。
?完整性数字签名有助于确保内容在进行数字签名以后未经更改或篡改。这样有助于防止文档在原始所有者不知情的情况下被拦截和更改。
?不可否认性数字签名有助于向所有各方证明签名内容的来源。―否认‖指签名者否认与签名内容有任何关联的行为。这样可以证明文档的原始所有者就是真正的所有者,而不是任何其他人,无论签名者声称自己的身份是什么。如果签名者不否认其数字密钥,就不能否认对文档的签名,因此,也不能否认用该密钥签名的其他文档。
数字签名的要求
若要建立这些条件,内容创建者必须通过创建满足以下条件的签名来对内容进行数字签名:
?数字签名有效。受操作系统信任的CA 必须对数字签名所基于的数字证书进行签名。
?与数字签名关联的证书没有过期,或者包含指示证书在签名时有效的时间戳。
?与数字签名关联的证书未被注销。
?签名者或组织(也就是发布者)是受接收者信任的。
Word 2010、Excel 2010 和PowerPoint 2010 为您检测这些条件,如果有数字签名似乎有问题,会向您发出警告。在Office 2010 应用程序中显示的证书任务窗格中可轻松地查看关于有问题的证书的信息。Office 2010 应用程序允许您向同一个文档添加多个数字签名。
公司环境中的数字签名
以下案例说明如何在公司环境中使用文档的数字签名:
1.员工使用Excel 2010 创建费用报表。然后员工创建三个签名行:一个是员工自己的签名行,
一个是经理的签名行,还有一个是会计部门的签名行。这些签名行用于确定该员工是文档的原始所有者,在文档转移到经理和会计部门的过程中文档不会发生更改,并且可以证明经理和会计部门都收到文档并进行了审查。
2.经理收到文档,将她自己的数字签名添加到文档,确认她已经审查并批准文档。然后她将文
档转发给会计部门进行付款。
3.会计部门的工作人员收到文档,然后对其进行签名,确认收到文档。
此示例说明可以将多个签名添加到一个Office 2010 文档。除了数字签名,文档的签名者还可以添加其实际签名的图形,或使用Tablet PC 将签名手写到文档中的签名行。部门可使用一个名为―橡皮章‖的功能,它表示特定部门的某个成员已收到文档。
兼容性问题
Office 2010 与2007 Office system 一样,使用XML-DSig 格式进行数字签名。此外,Office 2010 已添加了对XAdES(XML 高级电子签名)的支持。XAdES 是XML-DSig 的一组分层扩展。其级别基于早期版本,以提供更可靠的数字签名。有关Office 2010 中支持的XAdES 级别的详细信息,请参阅本文后面的使用数字签名。有关XAdES 的详细信息,请参阅XML 高级电子签名 (XAdES)(该链接可能指向英文页面)(https://www.360docs.net/doc/5111185787.html,/fwlink/?linkid=186631&clcid=0x804)(该链接可能指向英文页面)的规范。
很重要的一点是,要知道Office 2010 中创建的数字签名与早于2007 Office system 的Microsoft Office 版本不兼容。例如,如果文档是使用Office 2010 或2007 Office system 中的应用程序进行签名,并使用安装了Office 兼容包的Microsoft Office 2003 中的应用程序打开,则用户将被告知该文档是用更新版本的Microsoft Office 签名的,而且数字签名将丢失。
下图显示警告,使用Office 早期版本打开文档时将删除数字签名。
另外,如果XAdES 用于Office 2010 中的数字签名,则数字签名不会与2007 Office system 兼容,除非您配置组策略设置―不将XAdES 引用对象包含在指令清单中‖,然后将其设为―禁用‖。有关数字签名组策略设置的详细信息,请参阅本文后面的配置数字签名。
如果您需要Office 2010 中创建的数字签名与Office 2003 及其早期版本兼容,可以配置组策略设置―旧式格式签名‖,然后将其设为―启用‖。此组策略设置位于―用户配置‖\―管理模
板‖\―(ADM\ADMX)‖\―Microsoft Office 2010‖\―签名‖下。此设置设为―启用‖后,Office 2010 应用程序使用Office 2003 二进制格式将数字签名用于Office 2010 中创建的Office 97–2003 二进制文档。
数字证书:自签名或者由CA 颁发
数字证书可以自签名或由组织中的CA 颁发,如运行Active Directory 证书服务的Windows Server 2008 计算机或公共CA,如VeriSign 或Thawte。自签名证书通常由个人以及不希望在其组织中设置公钥基础结构(PKI) 且不希望购买商业证书的小型公司使用。
使用自签名证书的主要缺点是,它只有在您与其他私下认识您并且确信您是文档的实际原始所有者的人交换文档时才有用。使用自签名证书时,没有第三方来验证您的证书的真实性。收到签名文档的每个人都必须手动地确定是否信任您的证书。
对于较大的组织,可以使用两种主要方法来获得数字证书:使用公司PKI 创建的证书和商业证书。希望仅在组织的其他员工中共享签名文档的组织可能更愿意使用公司PKI,以减少成本。希望与组织之外的人共享签名文档的组织可能更愿意使用商业证书。
使用公司PKI 创建的证书
组织可以选择创建自己的PKI。如果是这样,公司将设置一个或多个可为公司内的计算机及用户创建数字证书的证书颁发机构(CA)。与Active Directory 目录服务结合使用时,公司可以创建完整的PKI 解决方案,这样公司管理的所有计算机都安装公司CA 链接,用户和计算机都自动被分配文档的数字证书,以便进行文档签名和加密。从而使公司的所有员工都能自动信任来自公司其他员工的数字证书(因此,信任有效的数字签名)。
有关详细信息,请参阅Active Directory 证书服务
(https://www.360docs.net/doc/5111185787.html,/fwlink/?linkid=119113&clcid=0x804)。
商业证书
商业证书是从业务范围为销售数字证书的公司购买的。使用商业证书的主要优点是商业证书供应商的根CA 证书自动安装在Windows 操作系统上,从而使那些计算机能自动信任这些CA。与公司PKI 解决方案不同,商业证书允许您与不属于您所在组织的用户共享您的签名文档。
有三种商业证书:
? 1 类 1 类证书颁发给具有有效电子邮件地址的人。1 类证书适用于不需要身份证明的非商业交易的数字签名、加密和电子访问控制。
? 2 类 2 类证书颁发给个人和设备。2 类个人证书适用于基于验证数据库中的信息的身份证明即可满足要求的交易中的数字签名、加密和电子访问控制。2 类设备证书适用于设备验证;邮件、软件和内容的完整性;以及机密内容加密。
? 3 类 3 类证书颁发给个人、组织、服务器、设备以及CA 和根证书颁发机构(RA) 的管理员。
3 类个人证书适用于必须确认身份证明的交易中的数字签名、加密和访问控制。3 类服务器
证书适用于服务器身份验证;邮件、软件和内容的完整性;以及机密内容加密。
有关商业证书的详细信息,请参阅数字标识– Office 市场
(https://www.360docs.net/doc/5111185787.html,/fwlink/?linkid=119114&clcid=0x804)。
使用数字签名
您可以使用Microsoft Excel 2010、Microsoft PowerPoint 2010 和Microsoft Word 2010 对文档进
行数字签名。还可以使用Excel 2010、Microsoft InfoPath 2010 和Word 2010 添加签名行或签名戳。对具有数字证书但没有签名行或签名戳的文档进行数字签名即是创建不可见的数字签名。这两种方法,可见数字签名和不可见数字签名,都使用数字证书对文档进行签名。不同之处在于使用可见数字签名行时文档内的图形表示。有关如何添加数字签名的详细信息,请参阅在 Office 文件中添加或删除数字签名(https://www.360docs.net/doc/5111185787.html,/fwlink/?linkid=187659&clcid=0x804)。
默认情况下,Office 2010 创建XAdES-EPES 数字签名,无论在创建数字签名期间使用的是自签名证书还是CA 签名的证书。
下表列出了Office 2010 中提供的基于XML-DSig 数字签名标准的XAdES 数字签名级别。每个级
别都建立在上一级别的基础上,并且包含以前级别的所有功能。例如,除了XAdES-X 中引入的新功能,XAdES-X 还包含XAdES-EPES、XAdES-T 和XAdES-C 的所有功能。
时间戳数字签名
Office 2010 能将时间戳添加到数字签名,此功能有助于延长数字签名的使用期限。例如,如果吊销的证书以前用于创建数字签名,它包含来自受信任时间戳服务器的时间戳,那么如果该时间戳出现在证书吊销之前,则数字签名仍然视为有效。若要将时间戳功能与数字签名一起使用,您必须完成以下操作:
?设置与RFC 3161 兼容的时间戳服务器
?使用组策略设置―指定服务器名称‖输入时间戳服务器在网络上的位置。
您还可以通过配置以下一项或多项组策略设置来配置额外的时间戳参数:
?配置时间戳哈希算法
?设置时间戳服务器超时
如果您不配置和启用―配置时间戳哈希算法‖,将使用SHA1 的默认值。如果您不配置和启用―设置时间戳服务器超时‖,Office 2010 将等待时间戳服务器响应请求的默认时间为5 秒钟。
配置数字签名
除了用于配置与时间戳相关的设置的组策略设置,还有其他组策略设置可配置数字签名在组织中的配置和控制方式。设置名称和说明如下所列。
与组策略设置相关的额外数字签名如下所示:
?密钥用法筛选
?设置默认图像目录
?增强型密钥用法筛选
?旧式格式签名
?禁止Office 签名提供程序
?禁止外部签名服务菜单项
有关每个组策略设置的详细信息,请参阅随Office 2010 的管理模板文件一起提供的帮助文件。有关管理模板文件的详细信息,请参阅Office 2010 组策略概述。
数字签名及安全电子邮件详细步骤
数字签名及安全电子邮件 一、背景知识 使用个人证书,在电子邮件中至少有以下功能。 保密性:你可以使用收件人的数字证书对电子邮件进行加密。这样,只有收件人的私钥才能解密这封邮件,即使第三方截获邮件,由于没有收件人的私钥,也无法阅读该邮件。当然,要发送加密电子邮件,必须先拥有对方的数字证书。 认证身份:你可以使用你本人的数字证书对电子邮件进行数字签名,这样,收件人通过验证签名就可以确定你的身份,而不是他人冒充的。 完整性:如果验证数字签名有效,收件人不仅可以认证你的身份,还可以确信收到的邮件在传递的过程中没有被篡改。 不可否认性:数字签名要使用你本人数字证书中的私钥,而私钥仅你个人所有,所以,你不能对发送过的签名邮件进行否认。 1、电子邮件的重要性 由于越来越多的人通过电子邮件发送机密信息,因此确保电子邮件中发送的文档不是伪造的变得日趋重要。同时保证所发送的邮件不被除收件人以外的其他人截取和偷阅也同样重要。 通过使用 Outlook Express 和 Foxmail,可以在电子事务中证明身份,就象兑付支票时要出示有效证件一样。也可以使用数字证书来加密邮件以保护邮件的保密性。数字证书结合了 S/MIME 规范来确保电子邮件的安全。 2、对电子邮件进行数字签名 对电子邮件进行数字签名,能够确保电子邮件中发送的文档不是伪造的,即收件人能够确信该邮件来自于其声称的发件人,同时邮件从发件人的机器传达到接收人的机器没有经过任何改动。 当发件人在待发邮件中添加数字签名时,发件人就在邮件中加入了数字签名和自己的数字证书。邮件的接收方接收到该邮件后,首先判断发件人的证书是否有效(该证书是否是可信任的CA签发的,该证书是否在有效期内,该证书是否已经被撤销),如果证书有效,从发件人的证书中提取公钥信息,来验证邮件的数字签名是否有效。 3、对电子邮件进行加密 对电子邮件进行加密(使用接收人的数字证书中的公钥进行加密)可以保证所发送的邮件不被除收件人以外的其他人截取和偷阅。 当发件人对邮件进行加密时,使用接收人的数字证书中的公钥对邮件进行加密。邮件的接收方接收到该邮件后,使用自己的私钥对邮件进行解密,可以得到邮件的明文。因为使用公钥加密的数据,只有对应的私钥才可以解密,而对一封加密邮件来说,只有接收人才具有对应的私钥,也就是只有接收人才可以对邮件解密得到邮件的明文。其他任何人截获了该邮件都是无法识别的乱码。有效的保证了邮件内容的保密性。 4、电子邮件证书使用的简易性 如果接收到有问题的安全邮件,例如邮件已被篡改或发件人的数字证书已过期,则在被允许阅读邮件内容前,会看到一条安全警告,它详细说明了问题所在。根据警告中的信息,接收人可以决定是否查看邮件。 以上所述的签名和加密邮件的过程都是由邮件客户端程序(如Microsoft Outlook,Foxmail、Netscape Messager等)来完成。对于邮件的发送人来说,就是在邮件发送之前,简单的点击“签名”和“加密”按钮就可以了;对于邮件的接收人来说,邮件接收到后,邮件客户端程序更能够自动对签名邮件进行验证,对加密邮件进行解密,并将验证和解密结果
互联网金融行业电子合同电子签名解决方案
互联网金融业务 手写电子签名解决方案 北京数字认证股份有限公司中国·北京市海淀区北四环西路68号左岸工社15层TEL:86-10-58045600FAX:86-10-58045678 邮政编码:100080 2015.7
目录 1.方案背景 (1) 2.现状分析 (1) 3.需求说明 (1) 4.解决方案 (2) 4.1.整体结构 (2) 4.2.身份认证设计.............................错误!未定义书签。 4.3.线下PC、PAD签约模式方案 (3) 4.3.1. 4.3.2.方案组成 (4) 业务流程 (4) 4.4.线上APP签约模式方案 (5) 4.4.1. 4.4.2.方案组成 (5) 业务流程 (5) 4.5.线上短信签约模式方案 (6) 4.5.1. 4.5.2.方案组成 (6) 业务流程 (7) 4.6.总体部署 (7) 5.司法鉴定服务 (8) 6.产品清单 (9) 7.方案特点 (10) 8.方案应用推广现状 (10)
1.方案背景 在当下多元化的互联网金融模式中,互联网金融门户模式正在快速崛起。互联网金融不是互联网和金融业的简单结合,而是在实现安全、移动等网络技术水平上,被用户熟悉接受后,自然而然为适应新的需求而产生的新模式及新业务。 为规范互联网金融公司网络营销平台业务,保证平台在后续交易中的合规性,维护有关各方的合法权益,提升平台公信力,需要在网络营销涉及的电子协议中加入依靠可靠的第三方电子认证机构提供合法的电子认证。 2.现状分析 互联网金融依托线上、线下平台,快速、便捷、持续地为客户提供服务,目前很多互联网金融公司已完成网贷平台建设,在交易过程中,涉及借款人、出借人、平台、小贷公司/担保机构四方参与者,由于依托互联网平台,交易中各方参与者的真实身份无法确定,而电子交易平台直接关系资金、财产等敏感内容,虚假的用户身份可能直接导致交易各方的财产损失。 各参与者之间需要在网贷平台上签署服务合同或其他文件,为使相关凭证符合《中华人民共和国电子签名法》中的规定要求,需通过电子签章与认证的方式确保平台出具的文档具有法律效力。 3.需求说明 结合互联网金融公司的运营模式和业务情况,交易各方需要在平台上签署电子合同,必须确保签名人身份真实,签名后电子合同符合司法机构的要求,具备法律效力,同时保证业务过程中的签署的安全性,可靠性。核心需求包括:强实名认证:投资人或借款人在平台注册时需要通过身份审核(公安部身份认证)、密码校验、身份证照片留存、人脸识别等。 互联网金融业务电子合同的合法性:电子合同需要具有与纸质合同同样的法
数字签名及打包CAB流程
一、VDK打包及签名 1.流程: 2.所需工具 cabarc.exe 用于将ocx及所需dll文件打包成cab文件cert2spc.exe 将cer证书转为spc证书 chktrust.exe 检测签名是否正确 makecert.exe 制作数字证书 signcode.exe 文件签名工具 3.VDK打包CAB 3.1制作INF文件 生成文件vdk.inf [Version] signture=”$Title$”
AdvancedINF=2.5 [Add.Code] asit_vdk_dev.ocx = asit_vdk_dev.ocx [asit_vdk_dev.ocx] file-win32-x86=thiscab RegisterServer=yes clsid={99FF53BA-9966-4547-8B6B-E029AC077762} DestDir=11 FileVersion=1,0,6,6 3.2制作CAB文件 使用cabarc.exe将ocx及所需dll文件和inf文件打包成CAB文件包 将所需的ocx和dll及inf文件放在同一个目录下,然后在dos下进入到该目录下,键入以下命令: D:\makeCAB>cabarc -s 6144 n vdk.cab vdk.ocx vdk.inf 注意这里“F:/Cabsdk/BIN/”是cabarc.exe所在目录,vdk.cab是要生成的cab文件,inf 文件放在最后。系统提示成功之后,会在ocx同目录下生成vdk.cab文件。 打包还可以使用其他工具,如老毛桃cab打包等。 4.对CAB进行签名 4.1制作证书 makecert -sv vdk.pvk -n ”CN=北京航天理想科技股份有限公司,O=test” vdk.cer 这个是制作证书,-sv指定主题的 .pvk 私钥文件。如果该文件不存在,系统将创建一个(-sk则生成没有密钥的证书),CN是公司,E=EMail,O=认证公司的名称,vdk.cer是生成文件的名称 4.2将cer证书转为spc证书 cert2spc vdk.cer vdk.spc 4.3给OCX文件进行数字签名 双击signcode.exe后出现一个数字签名向导 下一步选择需要签名的文件(vdk.cab) 下一步这里选择了自定义 下一步选择签名证书,从文件选择,选择刚才做好的vdk.spc 下一步私钥,磁盘上的私钥文件,点浏览选择刚才做好的vdk.pvk 下一步输入密码
互联网金融行业电子合同电子签名解决实施方案
互联网金融行业电子合同电子签名解决实施方案
————————————————————————————————作者:————————————————————————————————日期:
互联网金融业务 手写电子签名解决方案 北京数字认证股份有限公司中国·北京市海淀区北四环西路68号左岸工社15层TEL:86-10-58045600 FAX:86-10-58045678 邮政编码:100080 2015.7
目录 1.方案背景 (1) 2.现状分析 (1) 3.需求说明 (1) 4.解决方案 (2) 4.1. .................................................................................................................. 整体结构 2 4.2. ........................................................................................................ 身份认证设计 错误!未定义书签。 4.3. .......................................................................... 线下PC、PAD签约模式方案 4 4.3.1. .............................................................................................. 方案组成 4 4.3.2. .............................................................................................. 业务流程 4 4.4. ..................................................................................... 线上APP签约模式方案 5 4.4.1. .............................................................................................. 方案组成 5 4.4.2. .............................................................................................. 业务流程 5 4.5. ...................................................................................... 线上短信签约模式方案
10.工程量清单数据文件标准校验及数字签名工具校验规则说明
工程量清单数据文件标准校验及数字签名工具 校验规则说明 为配合《上海市建设工程工程量清单数据文件标准》实施工作,特开发“上海市建设工程工程量清单数据文件标准校验工具”(以下简称校验工具)提供给计价软件的企业、招标工程量清单编制单位、投标单位使用。 校验工具主要功能: 一、校验计价软件生成的招标清单文件、投标清单文件、最高投标限价清单文件是否满足《上海市建设工程工程量清单数据文件标准》中XSD标准。特别是对GUID唯一性校验(除材料暂估价-对应清单项子目序号)。 二、校验计价软件生成的招标清单文件、投标清单文件、最高投标限价清单文件的必要技术及业务规则: (一)招标文件校验 1、项目编码唯一性校验; 2、招标暂估价材料检验,检验招标清单文件中分部分项清单子目项(或单价措施项目清单子目)的“主要人材机明细”与其他项目下的“材料暂估价明细”是否一致。 (二)投标报价清单文件(最高投标限价清单文件)校验 1、相同标段投标报价清单(或最高投标限价清单)与招标清单 符合性校验。主要检验投标报价清单中是否存在投标人随意变更招标清单内容的情况,包括缺漏项,改变暂估价、暂列金额或者工程量等。
2、投标报价校验,主要检验投标报价中总价金额与依据单价计算出的结果是否一致。校验方法是从清单项综合单价开始逐级向上累计计算,分别检验文件中“分部分项合计”,“措施项目合计”,“措施项目中安全防护文明施工措施合计”,“其他项目合计”,“规费项目合计”,“税金项目合计”,“总合计”是否一致。计算精度为两位小数。 三、对通过校验的招标清单文件(ZBQD)、投标清单文件(TBQD)、最高投标限价清单文件(ZGXJQD)进行数字签名并进行压缩保存,文件压缩采用标准ZIP压缩。招标清单文件签名压缩后文件后缀名为ZBF4;投标清单文件签名压缩后文件后缀名为BS4;最高投标限价清单文件签名压缩后文件后缀名为XJ4。
数字签名技术在电子邮件中的应用
第18卷第1期陶永明:一种新型逻辑函数化简方法———立体化简法Vol.18No.1Feb .2010 第18卷第1期2010年2月 电脑与信息技术Computer and Information Technology 文章编号:1005-1228(2010)01-0049-04 收稿日期:2009-10-27作者简介:石翠(1981-),女(满族),讲师,研究方向为多媒体与数字加密技术。 数字签名技术在电子邮件中的应用 石 翠 (辽宁商贸职业学院信息技术系,沈阳110161) 电子邮件是最常用的一种网络应用,人们常常用它来传递一些普通信息,有时也包括一些敏感信息,但是最初的电子邮件系统很不安全。对于电子邮件的安全,总的来说应该保证两条:其一是保证只有收信人才能阅读信件内容,这可以通过加密技术来解决;其二是收信人能够判断出信件确由发件人发送,而不是被别人伪造或经过篡改的,这就要由数字签名来解决。保证网上传输数据的安全和交易对方的身份确认是电子邮件安全的关键性问题。而数字签名技术是保证信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性的一种有效的解决方案。使用数字签名技术可以在电子事务中证明自己的身份,就像兑付支票时要出示有效证件一样,可以用它来加密邮件以保护个人隐私,享受到保障重要电子服务安全所带来的方便。 总之,数字签名是对Internet 上的通信方式进行的革命。数字签名的实现基础是加密技术,加密技术主要使用公钥加密算法与散列函数。常用的数字签名算法有:RSA 、DES 等,本文对此从技术角度进行了探讨。 1数字签名的含义和功能 数字签名是通过一个单向函数对要传送的报文进 行处理,得到的用以认证报文来源并核实报文是否发生变化的一个字母数字串。 数字签名主要有以下几个功能:(1)数据的保密性用于防止非法用户进入系统及合法用户对系统资源的非法使用;通过对一些敏感的数据文件进行加密来保护系统之间的数据交换,防止除接收方之外的第三方截获数据及即使获取文件也无法得到其内容。如在电子交易中,避免遭到黑客攻击丢失信用卡信息的问题。 (2)数据的完整性防止非法用户修改交换的数据或因此造成的数据丢失等。 (3)数据的不可否认性对数据和信息的来源进行验证,以确保数据由合法的用户发出;防止数据发送方在发出数据后又加以否认,同时防止接收方在收到数据后又否认曾收到过此数据或篡改数据。 摘要:数字签名是网络安全的核心技术,在网络传输中显得非常重要。它在保证数据的完整性、私有性、不可抗抵赖性方面起着重要的作用。文章介绍了数字签名的含义,及Hash 函数、对称加密算法和非对称加密算法的签名体制,结合电子邮件数字签名方案的签名过程和验证过程进行相应分析,最后总结了数字签名技术的发展方向。关键词:数字签名;公钥密码;R SA 中图分类号:TP393.08 文献标识码:A Application of Digital Signature in E-mail SHI Cui (Department of Information Technology ,Liaoning Vocational College of Commerce ,Shenyang 110161,China ) Abstract :Digital signature is the core technology of network safety,which is very important in network transmission.It plays an important role in insuring the integrality,private and non-repudiation of the data.The symmetric encryption algorithm,asymmetric encryption algorithm,hash function and define of digital signature were introduced,then the digital signature scheme and verification process of e-mail were analyzed,finally summarizes the development of the digital signature technology. Key words:digital signature;public key;R SA
两种数字签名方案
两种数字签名技术 0902班贺信学号: 1.数字签名的基本概念 1.1 数字签名的定义 所谓数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。基于公钥密码体制和私钥密码体制都可以获得数字签名,目前主要是基于公钥密码体制的数字签名。包括普通数字签名和特殊数字签名。普通数字签名算法有RSA、ElGamal、Fiat-Shamir、Guillou- Quisquarter、Schnorr、Ong-Schnorr-Shamir 数字签名算法、DES/DSA,椭圆曲线数字签名算法和有限自动机数字签名算法等。特殊数字签名有盲签名、代理签名、群签名、不可否认签名、公平盲签名、门限签名、具有消息恢复功能的签名等,它与具体应用环境密切相关。 1.2 数字签名的基本要求 身份鉴别允许我们确认一个人的身份;数据完整性认证则帮助我们识别消息的真伪、是否完整;抗否认则防止人们否认自己曾经做过的行为。数字签名技术用来保证信息的完整性。“数字签名”是通过一个单向函数对要传送的报文进行处理后得到的,用以认证报文来源并
核实报文是否发生变化的一个字母数字串。数字签名可以解决否认、伪造、篡改及冒充等问题。类似于手书签名,数字签名也应满足一下基本要求: 1)收方能够确认或证实发方的签名,但不能伪造签名。 2)发方向收方发出签名的消息后,就不能再否认他所签发的消息,以保证他不能抵赖之前的交易行为。 3)收方对已收到的签名信息不能否认,即有收报认证。 4)第三者可以确认收发双方之间的信息传递,但不能伪造这一过程。 1.3 数字签名的原理 数字签名是通过密码技术对电子文档的电子形式的签名,并非是书面签名的数字图像化。它类似于手写签名或印章,也可以说它就是电子印章。我们对一些重要的文件进行签名,以确定它的有效性。但伪造传统的签名并不困难,这就使得数字签名与传统签名之间的重要差别更加突出:如果没有产生签名的私钥,要伪造由安全密码数字签名方案所产生的签名,计算上是不可行的。人们实际上也可以否认曾对一个议论中的文件签过名。但是否认一个数字签名却困难得多,这样做本质上证明在签名生成以前私钥的安全性就受到危害。这是由于数字签名的生成需要使用私钥,而它对应的公钥则用以验证签名。因而数字签名的一个重要性质就是非否认性,目前已经有一些方案,如数字证书,把一个实体(个人,组织或系统)的身份同一个私钥和公钥对"
如何使用acrobat reader的数字签名功能
Adobe Acrobat 5.0的数字签名功能 Acrobat 5.0是Adobe公司的电子交换文档 PDF的制作器。pdf文档在国外应用的非常广泛,经常用于网络上的文档交换,一些书籍的电子版文档就是用他制作的,例如宝典系列等等。 Acorbat的功能非常强大,今天我们主要讨论的是它的数字签名功能。Acrobat5现在支持数字签名。数字签名就像传统的手写签名,表示个人或实体已签署文档。数字签名可以是手写签名、标志或其它图形,或简单解释签名目的的文本等几种格式之一。根据签名处理程序,签名甚至可能是不可见的。单击签名工具就可以在文档中的指定位置进行数字签名。通过数字签名,可以验证你的文档是否被修改过。并且是否已经签署通过。当别人拿来被签名的文档的时候,只要对方把用户证书email来,就可以验证他们的数字签名了。 目录 一、Adobe Acrobat 5.0的安装 二、如何实现数字签名 (一)、制作签名档 (二)、转换待签文档 (三)、如何签名 (四)、验证签名有效性 三、文档的安全属性 一、Adobe Acrobat 5.0的安装 安装过程非常简单,您只需要请选中并运行安装目录下的 SETUP.EXE 程序,Acrobat就开始进行安装。安装时您会遇到如下窗口,请在窗口中填写个人相关信息,注意,?序号?可以在安装目录下名为?SN?的文本文件中找到,如图1-1;
图1-1 后面出现的窗口无需进一步设置,只要连续点击?下一步?或?是?之类的按钮即可完成安装。 返回 二、如何实现数字签名 初次运行Acrobat,将会弹出注册窗口,请选择?请不要再显示此对话框?后点击?继续?按钮,如下图; Acrobat安装完成后会自动在Microsoft Word、Microsoft Excel等应用窗口的左上角添加将指定文档或表格转换成PDF格式文件的控件,如下图;
两种数字签名方案
两种数字签名技术 0902班贺信学号:14092400635 1.数字签名的基本概念 1.1 数字签名的定义 所谓数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。基于公钥密码体制和私钥密码体制都可以获得数字签名,目前主要是基于公钥密码体制的数字签名。包括普通数字签名和特殊数字签名。普通数字签名算法有RSA、ElGamal、Fiat-Shamir、Guillou- Quisquarter、Schnorr、Ong-Schnorr-Shamir 数字签名算法、DES/DSA,椭圆曲线数字签名算法和有限自动机数字签名算法等。特殊数字签名有盲签名、代理签名、群签名、不可否认签名、公平盲签名、门限签名、具有消息恢复功能的签名等,它与具体应用环境密切相关。 1.2 数字签名的基本要求 身份鉴别允许我们确认一个人的身份;数据完整性认证则帮助我们识别消息的真伪、是否完整;抗否认则防止人们否认自己曾经做过的行为。数字签名技术用来保证信息的完整性。“数字签名”是通过一个单向函数对要传送的报文进行处理后得到的,用以认证报文来源并
核实报文是否发生变化的一个字母数字串。数字签名可以解决否认、伪造、篡改及冒充等问题。类似于手书签名,数字签名也应满足一下基本要求: 1)收方能够确认或证实发方的签名,但不能伪造签名。 2)发方向收方发出签名的消息后,就不能再否认他所签发的消息,以保证他不能抵赖之前的交易行为。 3)收方对已收到的签名信息不能否认,即有收报认证。 4)第三者可以确认收发双方之间的信息传递,但不能伪造这一过程。 1.3 数字签名的原理 数字签名是通过密码技术对电子文档的电子形式的签名,并非是书面签名的数字图像化。它类似于手写签名或印章,也可以说它就是电子印章。我们对一些重要的文件进行签名,以确定它的有效性。但伪造传统的签名并不困难,这就使得数字签名与传统签名之间的重要差别更加突出:如果没有产生签名的私钥,要伪造由安全密码数字签名方案所产生的签名,计算上是不可行的。人们实际上也可以否认曾对一个议论中的文件签过名。但是否认一个数字签名却困难得多,这样做本质上证明在签名生成以前私钥的安全性就受到危害。这是由于数字签名的生成需要使用私钥,而它对应的公钥则用以验证签名。因而数字签名的一个重要性质就是非否认性,目前已经有一些方案,如数字证书,把一个实体(个人,组织或系统)的身份同一个私钥和公钥对
数字签名的制作方法整理-10页word资料
1。用keytool来创建一个密匙(同时指定时效,多久会过期,默认只给6个月) 2。用JARSigner用此密匙为JAR签名。 可以用同一个密匙来为多个JAR签名。 注意:大小写,签名一致,数字签名过期 为什么JAR要被签名?当用户启动一个Java Network Launching Protocol (JNLP,Java网络加载协议)文件或使用一个applet时,这个JNLP或applet可能请求系统提供一些非一般的访问。比如“文件打开”等进行这样的请求,就需要签名的JAR。 如果它是匿名的,系统会询问用户是否打算信任JAR的签署者。 1.首先生成签名文件,执行完成后,会在本目录内生成一个.keystore的密钥文件,2kByte大小。 yourProj是别名keypass后面是密文密码,keystore密码是存储密码(要改变此文时需要输入确认此密码) 在dos命令提示状态下输入 C:\Documents and Settings\Administrator>keytool -genkey -alias yourProj -keypass yourCompany:Kouling [回车],屏幕提示: 输入keystore密码:yourCompany:yourPassword 您的名字与姓氏是什么? [Unknown]:ChinayourCompany 您的组织单位名称是什么? [Unknown]:ChinayourCompany 您的组织名称是什么? [Unknown]:Company 您所在的城市或区域名称是什么? [Unknown]:City 您所在的州或省份名称是什么? [Unknown]:Province 该单位的两字母国家代码是什么 [Unknown]:CN CN=ChinayourCompany, OU=ChinayourCompany, O=Company, L=City, ST=Province, C=CN 正确吗? [否]:Y 2.为此密钥加有效期限:7200天,将近20年. [嘿嘿,足够用了吧?再也别想6个月] 输入命令: C:\Documents and Settings\Administrator>keytool -genkey -alias yourProj -keypass yourCompany:Kouling -selfcert -validity 7200 屏幕提示: 输入keystore密码:yourCompany:yourPassword 注意:-validity 7200 这个就是加时效的参数,7200单位是“天”。 检查密钥文件,输入命令: C:\Documents and Settings\Administrator>keytool -list 屏幕提示: 输入keystore密码:yourCompany:yourPassword Keystore 类型:jks
数字摘要技术与数字签名
数字摘要技术与数字签名 数字摘要技术 数字摘要技术(Digital Digest)也称作为安全HASH编码法(SHA:Secure Hash Algorithm)。数字摘要技术用于对所要传输的数据进行运算生成信息摘要,它并不是一种加密机制,但却能产生信息的数字"指纹",它的目的是为了确保数据没有被修改或变化,保证信息的完整性不被破坏。 数字摘要技术有如下主要特点: ·它能处理任意大小的信息,并对其生成固定大小的数据摘要,数据摘要的内容不可预见 ·对于相同的数据信息进行HASH后,总是能得到同样的摘要;如果数据信息被修改,进行Hash后,其摘要必定与先前不同 ·HASH函数是不可逆的,无法通过生成的数据摘要恢复出源数据 数字签名 数字签名(Digital Signature)用来保证信息传输过程中完整性、提供信息发送者的身份认证和不可抵赖性。使用公开密钥算法是实现数字签名的主要技术。 使用公开密钥算法,当你用自己的私钥加密了一个信息,并将其发送给一个朋友时,如果你的朋友能够使用你的公钥来解密出信息,他就能确定信息必定是从你那里发来的,而不是一些冒名顶替的。这实际上就是数字签名的原理。 由于公开密钥算法的运算速度比较慢,因此可使用HASH函数对要签名的信息进行摘要处理,减小使用公开密钥算法的运算量。因此,数字签名一般是结合了数字摘要技术和公开密钥算法共同使用。实现数学签名的过程如下: 签名信息 1.对信息M进行HASH函数处理,生成摘要H 2.用你的(发送者的)私钥加密H来获取数字签名S 3.发送{M, S} 验证签名信息 1. 接受{M, S} 并区分开它们 2. 对接收到的信息M进行HASH函数处理,生成摘要H* 3.取得发送者的公钥 4.用公钥解密S,来获取H 5.比较H和H*,如果H和H*是一样的,即说明信息在发送过程中没有被篡改,反之即反 由于对信息进行数字签名后,明文信息也通过网络进行传递,因此,在做完数字签名后,还要对整个信息(包括明文信息M和数字签名的密文信息S)进行加密,以保证信息的保密性。实际过程如下图所示:发送方:
数字签名技术的基本原理以及现实功能
数字签名技术的基本原理以及现实功能 在计算机迅速普及的同时,网上信息安全越来越受到人们的重视,为了保障使用者信息的安全,多种多样的加密技术、访问控制技术以及身份认证技术不断更新。在实践中发展出来的具有强大优越性的数字签名技术,成为了解决网络资源信息安全问题的有效手段。 数字签名技术的基本原理是改变过去通过书写签名或者印章的形式,提高身份验证的准确性以及保证对象的安全性。数字签名技术主要是通过一系列复杂、特殊的加密算法,产生一系列由数字、字母及符号组成的电子密码。这种复杂多样化的电子密码具有过去传统加密方法无法比拟的优越性,并且在此基础上进行的技术验证更加能够全方位地确保网络信息以及数据的安全性。 数字签名技术以规范化、科学化的计算机技术为基础,能够准确地识别签名人的身份,并且对于其应有的权限进行自动认可。除此之外,数字签名技术还能够对文件进行检验,对文件在传输过程中可能出现的变动都会进行自动扫描,保证文件的安全性、真实性与准确性。数字签名在保护计算机网络数据以及资源方面发挥了重大的作用,能够有效地防止受到保护的资源被修改、泄漏以及窃取,还可以对收到的信息进行身份确认,最大限度地保障使用者的信息安全性。
数字签名技术与信息加密技术存在一定的相似性,是在以公匙法体系的基础之上建立的,但是创建数字签名还需要用户运用私匙进行加密,增强其安全性。用户在发送、传输信息的时候,需要附带经过加密技术处理的特殊信息,也就是为将要传输的信息署名。在计算机网络开放性不断增强的当今时代,网络资源以及信息的安全很容易受到来自外界各种因素的影响,因此数字签名技术的发展呈现出了强劲的势头。数字签名技术被广泛地应用于电子商务、网络通信等社会生活的各个方面,Hash签名算法、DSS/DSA签名算法以及PSA签名算法得到了广泛的应用。 数字签名完成对信息识别辨认的过程,是解决网络通信特有的安全问题的方法,特别是对于保障军事网络通信的安全,在保证数据真实完整方面发挥着重大的作用。当然,数字签名在军事网络通信中的应用也需要遵循一定的条件以及运行原则。军事网络通信中的数字签名技术应用要求,经过数字签名已经发送或者传输的资料、信息以及数据,签名者不可以否认,这是数字签名技术实际应用中最基本的原则,这是对文件以及信息接收者基本权利的保障,保障其收到的资料以及信息的准确性,一旦出现问题,接收方可以按照数字签名和发出方协商。另外一方面,对于接收者来说,对于接收到的文件或者数据信息,只能单方面地确认或者证实,但是没有否认该资料的权利。对于信息传递过程中的第三方来说,只能够作为数据信息传输的渠道或者方式,而不能够对信息本身产生影响,更不能伪造这一过程。当信
数字签名技术及其在网络安全中的应用
目录 摘要 (1) 关键词 (1) 1 数字签名概述 (1) 2 数字签名意义 (2) 3 数字签名的种类 (2) 3.1 盲签名 (2) 3.1.1 盲签名的安全性需求 (2) 3.2 群签名 (3) 3.2.1 群签名的算法 (3) 3.2.2 群签名的安全性需求 (4) 3.3 环签名 (4) 3.3.1 环签名的适用场合举例 (4) 3.3.2 环签名的安全性需求 (5) 4 数字签名技术与网络安全 (5) 4.1 网络带来的挑战 (6) 总结 (7) 致谢 (7) 参考文献 (7)
数字签名技术在网络安全中的应用 Lynawu 摘要 数字签名也称电子签名,digital signature,是给电子文档进行签名的一种电子方法,是对现实中手写签名的数字模拟,在电子商务的虚拟世界中,能够在电子文件中识别双方交易人的真实身份,保证交易的安全性、真实性及不可抵懒性的电子技术手段。实现电子签名的技术手段有很多种,但目前比较成熟的、许多先进国家普遍使用的电子签名技术还是“数字签名”技术,它力图解决互联网交易面临的几个根本问题:数据保密、数据不被篡改、交易方能互相验证身份、交易发起方对自己的数据不能否认。数字签名技术在其中起着极其重要的作用,如保证数据的完整性、私有性和不可抵赖性等方面,占据了特别重要的地位。目前群盲签名(blind signature ,group signature)方案效率不高,这样的电子现今系统离现实应用还有一段距离,因此研究高效的群签名方案,对于实现这样的系统具有重要意义。 关键词 数字签名,网络安全,blind signature,group signature,Rivest 1 数字签名概述 电子文档包括在计算机上生成或存储的一切文件,如电子邮件、作品、合同、图像等。数字签名也称电子签名,digital signature,是给电子文档进行签名的一种电子方法,是对现实中手写签名的数字模拟,在电子商务的虚拟世界中,能够在电子文件中识别双方交易人的真实身份,保证交易的安全性、真实性及不可抵懒性的电子技术手段。美国国家标准和技术研究所(NIST)将数字签名定义为在电子通信中鉴别发送者的身份及该通信中数据的完整性的一种密码学方法。实现电子签名的技术手段有很多种,但目前比较成熟的、许多先进国家普遍使用的电子签名技术还是“数字签名”技术,它力图解决互联网交易面临的几个根本问题:数据保密、数据不被篡改、交易方能互相验证身份、交易发起方对自己的数据不能否认。随着互联网的快速发展,网络信息完全有了更高的要求,而数字签名技术在其中起着极其重要的作用,如保证数据的完整性、私有性和不可抵赖性等方面,占据了特别重要的地位。现实中使用最广泛的电子签名依赖于公钥密码学架构(即公钥/私钥加密)。一个数字签名体制包括三个算法:密钥生成算法、签名算法、验证算法。对普通数字签名体制的安全性需求是,攻击者即使知道签名人的公钥和若干个有效信息-签名对也无法伪造该签名人的有效签名。
数字签名技术在电子商务中的应用
数字签名技术在电子商务中的应用 学生姓名:袁志祥 学号:0915034120 所在系部:生化工程系 专业班级:轻化1班 评阅老师:方明 日期:二○一一年六月
摘要 以互联网为基础的电子商务作为全新的商务活动越来越走向我们的生活,同时它作为一种新的经济增长动力,他推动我国乃至全世界经济的迅速发展,但是以互联网为基础的电子商务,由于网络技术本身的的开放性,共享性等特点使电子商务成为一把双刃剑,它在给人们带来高效.快捷经济的交易的同时也引发了新的问题,那就是安全问题。如何保证网上交易双方信息的有效性,保密性,完整性,认证性和不可抵赖性已成为制约电子商务进一步发展的的制约性问题,在这样的环境下,为保障电子商务的安全,以规范化的程序和科学化的方法,用于识别交易双方身份的数字签名技术得到应用和发展。数字签名技术将信息发送者与信息传递结合起来,用以保障发送发送者所发送的信息在传递过程中的完整性,并可以提供信息发送者的身份的身份认证,以防止信息发送者的身份的抵赖行为的发生,数字签名是实现电子商务的安全核心技术之一。 关键词:数字签名;安全交易;电子商务 伴随着世界人们生活节奏的加快,各样的信息也发生着日新月异的变化,电子商务成为一种新的交易行为运作在互联网之上,每天都有数以千万计的网民在网上进行着数以百万的各种交易,电子商务作为商务发展的新模式发展前景是十分诱人的,但是由于互联网的高度开放性与电子商务所要求的高度保密性是相互矛盾的,而且互联网本身又没有一个完整的网络安全体制,因此电子商务安全无疑会受到严重的威胁,电子商务交易安全性问题已成为实, 现电子商务最迫切研究和解决的问题,电子商务安全交易技术迫切需要发展,数字签名技术作为一种认证技术在信息安全性,有效性,完整性,不可否认性,身份识别等方面发挥着巨大的作用。 Abstract Internet-based e-commerce as more and more new business into our lives, and it as a new economic growth, he pushed China and the world's rapid economic development, but the Internet-based electronic Business, the technology itself as an open network, share and other features make the e-commerce to become a
数字签名工具专业版使用指南
更新日期:2011-03-10 上海域联软件技术有限公司 全国统一免费服务热线:800-820-8109 https://www.360docs.net/doc/5111185787.html,
数字签名工具专业版使用指南 亚洲诚信数字签名工具专业版简介: 亚洲诚信数字签名工具是由上海域联软件技术有限公司的研发团队经过多年时间自主开发的带有自主知识产权的图形化数字签名专业工具,区别于以往的数字签名工具(代码签名工具)复杂的命令行和逐个文件签名繁琐的操作方式。亚洲诚信数字签名工具是集成了图形化操作界面,测试证书签名,文件拖曳签名/验证,灵活的命令行签名/验证等专业且更加人性化的功能,使您可以更加高效率的为您的应用软件、驱动程序进行代码签名,支持应用程序数字签名、ActiveX控件数字签名、64位驱动程序数字签名。 软件类别:国产软件/系统安全 软件授权:免费版 运行环境:Win7/2008/Vista/WinXP/2003/2000 出品人:TrustAsia(亚洲诚信) 软件大小:1028KB 软件语言:简体中文 联系人:support@https://www.360docs.net/doc/5111185787.html, 亚洲诚信数字证书签名工具专业版下载安装: 亚洲诚信数字证书签名工具下载: 华军下载:https://www.360docs.net/doc/5111185787.html,/soft/113034.htm 亚洲诚信数字证书签名工具安装方便快捷、界面干净大方: 双击安装程序setup.msi 启动数字证书签名工具安装向导后,点击“下一步”:
选择安装路径,工具将默认安装于C:\Program Files\Dsign Tool\目录下,点击下一步:
点击“安装”,数字证书签名工具安装程序开始执行安装过程:
CA数字签名认证系统技术方案
CA数字签名认证系统技术方案 1. 系统需求 1.1 背景概述 随着计算机网络技术的迅速发展和信息化建设的大力推广,越来越多的传统办公和业务处理模式开始走向电子化和网络化,从而极大地提高了效率、节约了成本。与传统的面对面的手工处理方式相比,基于网络的电子化业务处理系统必须解决以下问题: (1)如何在网络上识别用户的真实身份; (2)如何保证网络上传送的业务数据不被篡改; (3)如何保证网络上传送的业务数据的机密性; (4)如何使网络上的用户行为不可否认; 基于公开密钥算法的数字签名技术和加密技术,为解决上述问题提供了理论依据和技术可行性;同时,《中华人民共和国电子签名法》的颁布和实施为数字签名的使用提供了法律依据,使得数字签名与传统的手工签字和盖章具有了同等的法律效力。 PKI(Public Key Infrastructure)是使用公开密钥密码技术来提供和实施安全服务的基础设施,其中CA(Certificate Authority)系统是PKI体系的核心,主要实现数字证书的发放和密钥管理等功能。 数字证书由权威公正的CA中心签发,是网络用户的身份证明。使用数字证书,结合数字签名、数字信封等密码技术,可以实现对网上用户的身份认证,保障网上信息传送的真实性、完整性、保密性和不可否认性。 数字证书目前已广泛应用于安全电子邮件、网上商城、网上办公、网上签约、网上银行、网上证券、网上税务等行业和业务领域。 1.2 现状与需求概述 现状描述。。。。。。 基于上述现状,******系统需要解决数据的签名问题和法律效力问题,从而提高*****的便捷性和管理效率。鉴于数字证书、数字签名的广泛应用和相关法律的保障,****单位规划建设CA及数字签名认证系统,主要需求如下: (1)建设CA系统或采用第三方CA,为****用户申请数字证书; (2)在现有*****系统中加入对数据的签名功能,存储数据签名并提供对签名的认证功能; 1.3 需求分析 为了解决网上用户的身份证明问题,需要为用户颁发数字证书。数字证书由CA中心签发,目前在实际应用中主要存在两种类型的CA: (1)独立的第三方CA 跨区域的CA,如:中国电信的CTCA、中国人民银行的CFCA; 地域性的CA,如:广东电子商务认证中心CNCA、上海电子商务认证中心SHECA,以及其他各省电子商务认证中心; (2)各类应用系统自己建设的CA 如:招商银行、建设银行等建设的用于服务各自网上银行的CA;海关、税务等建设的服务各自网上报税系统的CA; 这两种类型的CA在实际使用过程中各有优劣,以下将进行分析和比较: 1.3.1 CA建设与使用的分析 采用独立权威的第三方CA与自建CA的比较
数字签名过程
数字签名的过程 数字签名的全过程分两大部分,即签名与验证。左侧为签名,右侧为验证过程。即发方将原文用哈希算法求得数字摘要,用签名私钥对数字摘要加密得数字签名,发方将原文与数字签名一起发送给接受方;收方验证签名,即用发方公钥解密数字签名,得出数字摘要;收方将原文采用同样哈希算法又得一新的数字摘要,将两个数字摘要进行比较,如果二者匹配,说明经数字签名的电子文件传输成功。 1、数字签名的签名过程 数字签名的操作过程需要有发方的签名数字证书的私钥及其验证公钥。 具体过程如下:首先是生成被签名的电子文件(《电子签名法》中称数据电文),然后对电子文件用哈希算法做数字摘要,再对数字摘要用签名私钥做非对称加密,即做数字签名;之后是将以上的签名和电子文件原文以及签名证书的公钥加在一起进行封装,形成签名结果发送给收方,待收方验证。 2、数字签名的验证过程 接收方收到发方的签名结果后进行签名验证,其具体操作过程如下: 接收方收到数字签名的结果,其中包括数字签名、电子原文和发方公钥,即待验证的数据。接收方进行签名验证。验证过程是:接收方首先用发方公钥解密数字签名,导出数字摘要,并对电子文件原文做同样哈希算法得出一个新的数字摘要,将两个摘要的哈希值进行结果比较,相同签名得到验证,否则无效。这就做到了《电子签名法》中所要求的对签名不能改动,对签署的内容和形式也不能改动的要求。 3、数字签名的实现方法 基本原理是将原文用对称密钥加密传输,而将对称密钥用收方公钥加密发送给对方。收方收到电子信封,用自己的私钥解密信封,取出对称密钥解密得原文。
其详细过程如下: (1)发方A将原文信息进行哈希运算,得一哈希值即数字摘要MD; (2)发方A用自己的私钥PVA,采用非对称RSA算法,对数字摘要MD进行加密,即得数字签名DS; (3)发方A用对称算法DES的对称密钥SK对原文信息、数字签名SD及发方A证书的公钥PBA采用对称算法加密,得加密信息E; (4)发方用收方B的公钥PBB,采用RSA算法对对称密钥SK加密,形成数字信封DE,就好像将对称密钥SK装到了一个用收方公钥加密的信封里;(5)发方A将加密信息E和数字信封DE一起发送给收方B; (6)收方B接受到数字信封DE后,首先用自己的私钥PVB解密数字信封,取出对称密钥SK; (7)收方B用对称密钥SK通过DES算法解密加密信息E,还原出原文信息、数字签名SD及发方A证书的公钥PBA; (8)收方B验证数字签名,先用发方A的公钥解密数字签名得数字摘要MD;(9)收方B同时将原文信息用同样的哈希运算,求得一个新的数字摘要MD;(10)将两个数字摘要MD和MD进行比较,验证原文是否被修改。如果二者相等,说明数据没有被篡改,是保密传输的,签名是真实的;否则拒绝该签名。这样就做到了敏感信息在数字签名的传输中不被篡改,未经认证和授权的人,看不见原数据,起到了在数字签名传输中对敏感数据的保密作用。