TLS/SSL 协议-数字签名和验签原理

Alice 有一对公钥（公开）和私钥（保密），若想要给 Alice 发送密文信息，就需要用 Alice 的公钥去加密，但是如何证明这个公钥是 Alice 的，而不是别人伪造的呢？基于这个问题，就需要 Alice 的公钥向第三方权威的认证机构对 Alice 的公钥认证并贴上数字签名，被签过名的 公钥 就可以保证是 Alice 的，一旦别人伪造就很容易在第三方权威认证机构校验出来，下面讨论一下数字签名证书签发流程，然后介绍一下签名和验签原理。

1.数字签名的作用

• 仿冒充（伪造）：私密只有签名者自己知道，其他人很难构造出正确的。
• 鉴别身份：在网络环境中，接收方必须能够鉴别发送方的身份。
• 防篡改：数字签名已经和原始数据形成一种计算关系，原始数据一旦被修改（哪怕是一个标点符号），也导致数字签名和数据计算关系不成立。
• 防重放：Alice向Bob借了钱，同时写了一张借条，当Alice还钱的候，肯定要向Bob索回他写的借条撕毁，防止恐怕他会再次用借条要求A还钱。使用数字签名对原始数据添加流水号、时间戳等可以防止重放。
• 防抵赖：如果接收者确已收到对方的签名报文，却抵赖没有收到，数字签名可以鉴别身份，不可冒充伪造，在数字签名体制中，要求接收者返回一个自己签名的表示收到数据，如此操作，双方均不可抵赖。
• 机密性：数字签名可以加密要签名的消息，有了机密性保证，截收攻击也就失效了。

2.证书签发流程图

3.证书中的签名和验签流程

3.1 签名流程示意图

3.2 验签流程示意图

Tips：若不相等表示该证书是伪造的。

扫码关注