數字簽名技術

所謂"數字簽名"就是通過某種密碼運算生成一系列符號及代碼組成電子密碼進行簽名，來代替書寫簽名或印章，對于這種電子式的簽名還可進行技術驗證，其驗證的準確度是一般手工簽名和圖章的驗證無法比擬的。“數字簽名”是目前電子商務、電子政務中應用最普遍、技術最成熟的、可操作性最強的一種電子簽名方法。它采用了規范化的程序和科學化的方法，用于鑒定簽名人的身份以及對一項電子數據內容的認可。它還能驗證出文件的原文在傳輸過程中有無變動，確保傳輸電子文件的完整性、真實性和不可抵賴性。

（一）  數字簽名的原理

在公鑰密碼學中，密鑰是由公開密鑰和私有密鑰組成的密鑰對。數字簽名就是用私有密鑰進行加密，接收方用公開密鑰進行解密。由于公開密鑰不能推算出私有密鑰，所以公開密鑰不會損壞私有密鑰的安全，公開密鑰無需保密可以公開傳播，而私有密鑰必須保密。因此，當某人用其私有密鑰加密信息，能夠用他的公開密鑰正確解密就可以肯定該消息是經過某人簽字的，因為其他人的公開密鑰不可能正確解密該加密信息，其他人也不可能擁有該人的私有密鑰而制造出該加密過的信息。

數字簽名并非是書面簽名的數字圖像化，而是通過密碼技術對電子文檔進行的電子形式簽名。實際上人們可以否認曾對一個文件簽過名，且筆跡鑒定的準確率并非100%，但卻難以否認一個數字簽名。因為數字簽名的生成需要使用私有密鑰，其對應的公開密鑰則用以驗證簽名，再加上目前已有一些方案，如數字證書，就是把一個實體（法律主體）的身份同一個私有密鑰和公開密鑰對綁定在一起，使得這個主體很難否認數字簽名。

就其實質而言，數字簽名是接收方能夠向第三方證明接收到的消息及發送源的真實性而采取的一種安全措施，其使用可以保證發送方不能否認和偽造信息。數字簽名的主要方式是：報文的發送方從報文文本中生成一個散列值（或報文摘要）。發送方用自己的私有密鑰對這個散列值進行加密來形成發送方的數字簽名。然后，這個數字簽名將作為報文的附件和報文一起發送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出散列值（或報文摘要），接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密。如果兩個散列值相同，那么接收方就能確認該數字簽名是發送方的。

（二）數字簽名的作用

數字簽名作為維護數據信息安全的重要方法之一，可以解決偽造、抵賴、冒充和篡改等問題，其主要作用體現在以下幾個方面：

（1）防重放攻擊。重放攻擊（Replay Attacks），是計算機世界黑客常用的攻擊方式，是指攻擊者發送一個目的主機已接收過的包，來達到欺騙系統的目的，主要用于身份認證過程，破壞認證的正確性。這種攻擊會不斷惡意或欺詐性地重復一個有效的數據傳輸。攻擊者利用網絡監聽或者其他方式盜取認證憑據，之后再把它重新發給認證服務器。在數字簽名中，如果采用了對簽名報文加蓋時戳等或添加流水號等技術，就可以有效防止重放攻擊。

（2）防偽造。其他人不能偽造對消息的簽名，因為私有密鑰只有簽名者自己知道，所以其他人不可以構造出正確的簽名結果數據。

（3）防篡改。數字簽名與原始文件或摘要一起發送給接收者，一旦信息被篡改，接收者可通過計算摘要和驗證簽名來判斷該文件無效，從而保證了文件的完整性。

（4）防抵賴。數字簽名即可以作為身份認證的依據，也可以作為簽名者簽名操作的證據。要防止接收者抵賴，可以在數字簽名系統中要求接收者返回一個自己簽名的表示收到的報文，給發送者或受信任第三方。如果接收者不返回任何消息，此次通信可終止或重新開始，簽名方也沒有任何損失，由此雙方均不可抵賴。

（5）保密性。手寫簽字的文件一旦丟失，文件信息就極可能泄露，但數字簽名可以加密要簽名的消息，在網絡傳輸中，可以將報文用接收方的公鑰加密，以保證信息機密性。

（6）身份認證。在數字簽名中，客戶的公鑰是其身份的標志，當使用私鑰簽名時，如果接收方或驗證方用其公鑰進行驗證并獲通過，那么可以肯定，簽名人就是擁有私鑰的那個人，因為私鑰只有簽名人知道。

（三）數字證書

在網上電子交易中，商戶需要確認持卡人是信用卡或借記卡的合法持有者，同時持卡人也必須能夠鑒別商戶是否是合法商戶，是否被授權接受某種品牌的信用卡或借記卡支付。為處理這些關鍵問題，必須有一個大家都信賴的機構來發放數字安全證書。數字證書就是參與網上交易活動的各方（如持卡人、商家、支付網關）身份的代表，每次交易時，都要通過數字證書對各方的身份進行驗證。數字證書是由權威公正的第三方機構即證書授權（Certificate Authority，簡稱CA）中心簽發的，它在證書申請被認證中心批準后，通過登記服務機構將證書發放給申請者。

數字證書是一個經證書授權中心數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數字簽名。一般情況下證書中還包括密鑰的有效時間，發證機關(證書授權中心)的名稱，該證書的序列號等信息。