从数字签名的工作原理看电子商务安全

PDF下载中心 Page 1 of 3 从数字签名的工作原理看电子商务安全从数字签名的工作原理看电子商务安全 数字签名已成为信息社会中人们保障网络身份安全的重要手段之一,然而， 随着安全威胁的日 益猖獗，数字签名还能给企业和消费者带来安全吗？ 世界各地制订了赋予数字签名合法地位的法律。一些人认为，这些法律对电子商务和在线金 融服务公司而言无疑是重大进展，而有些人却指出了隐患。大家都想搞清楚的问题就是：我 们能够从数字签名得到什么？ 若要评估这些法律条例产生的影响，就要知道数字签名的工作原理，这要对公匙加密法有一 个基本认识。 最重要的问题就是：一、公匙和相应的私匙有着特殊的关系：一把密匙加密的内容只能由另 一把密匙来解密；二、通过一家可信赖的认证中心（CA）颁发及签名的数字证书（根证书）， 私匙与你的身份密切相关。 数字签名是涉及签名信息和签名人私匙的计算结果。首先，签名人的软件对发送信息进行散 列函数运算后，生成信息摘要（message digest）这段信息所特有的长度固定的信息 表示。然后，软件使用签名人的私匙对摘要进行解密，将结果连同信息和签名人的数字证书 一同传送给预定的接受者。而接受者的软件会对收到的信息生成信息摘要（使用同样的散列 函数），并使用签名人的公匙对签名人生成的摘要进行解密。接受者的软件也可以加以配置， 验证签名人证书的真伪，确保证书是由可信赖的 CA 颁发，而且没有被 CA 吊销。如果两个 摘要一样，就表明接受者成功核实了数字签名。 经核实的数字签名向接受者保证了两点：一、信息未经改动；二、信息的确来自签名人。后 者就成了对原产地证明（Proof of Origin）的认可，即加密认可这一概念的基础。 这正是症结所在。更确切地说，经核实的数字签名向接受者保证信息未经改动，而且信息是 用签名人的私匙签名的。但仍存在欺诈的可能性。在私匙持有人毫不知情的情形下，有人会 利用无人照管的台式机对合同进行数字签名。由于“始终联通”的互联网连接如线缆调制解调 器和 DSL 日益普及，黑客窃取私匙的机会也随之激增。消费者的利益就容易受到侵害。 还存在另一种可怕的情景：将欺诈作为理由，即完全是想终止签署合同的签名人可能以合乎 法律为由，拒绝履行合法签署的合同。这样，企业的利益就容易受到侵害。 明智的个人和机构一定要意识到这些危险。 大多数企业和个人知道， 始终没法消除所有风险， 于是专注于如何降低风险，而不是完全避免风险。 互联网连接“始终联通”的消费者在用完后关掉计算机，并使用可靠的个人防火墙软件阻止黑 客入侵，就可以尽量减小风险。另外，也可以使用智能卡存放私匙，不用时就把卡锁在抽屉 里。 PDF下载中心 Page 2 of 3 企业要考虑“风险连续体”，采取措施尽量降低风险。数字签名就可以降低风险。目前，在电 子商务网站上购买商品的最通常的方式就是，通过安全连接，把信用卡号码、姓名、开账地 址和送货地址发送到电子商务公司的服务器。那么，那家公司如何知道这些信息是你本人输 入以及信用卡的使用得到了你的认可呢？较之于以往，数字签名提供了比较放心的保证：认 可这笔交易的确实是你。 尽管有时被夸大，但数字签名所具有的好处还是不可否认的。例如，数字签名有助于迅速解 决纠纷。向购买者重新发送一份数字签名的采购单，以核实订单要比传真由手写签名的采购 单方便得多。实际上，并非所有纠纷都会导致诉讼。如果是一家公司的工作人员在采购单上 签名，而接受者有数字签名作为证据，就不会有太多纠纷了。 数字签名可以帮助自动化，从而带来诸多好处，包括处理速度更快、效率提高；降低出错率 和管理成本。虽然数字签名不是自动化所必需的，但采用数字签名可以获得递增效益。 数字签名完全适合于人们往往随手携带的具有上网功能的无线设备。顾客抱怨，在台式机上 进行客户端数字签名仍很不方便，证书注册过程也令人混淆。相比之下，为无线设备开发应 用软件的人正在竭力确保注册过程对用户而言是透明的。他们从联网世界的缺陷当中汲取了 经验。 总地来说，涉足高价值交易如银行和金融行业的公司会首先乐于接受数字签名，而这些行业 的一些公司早已在采用这项技术。台式机和无线平台都将得到支持，因为消费者在进行这类 交易时需要既快速，又方便。 世界各地制订了赋予数字签名合法地位的法律。一些人认为，这些法律对电子商务和在线金 融服务公司而言无疑是重大进展，而有些人却指出了隐患。大家都想搞清楚的问题就是：我 们能够从数字签名得到什么？ 若要评估这些法律条例产生的影响，就要知道数字签名的工作原理，这要对公匙加密法有一 个基本认识。 最重要的问题就是：一、公匙和相应的私匙有着特殊的关系：一把密匙加密的内容只能由另 一把密匙来解密；二、通过一家可信赖的认证中心（CA）颁发及签名的数字证书（根证书）， 私匙与你的身份密切相关。 数字签名是涉及签名信息和签名人私匙的计算结果。首先，签名人的软件对发送信息进行散 列函数运算后，生成信息摘要（message digest）这段信息所特有的长度固定的信息 表示。然后，软件使用签名人的私匙对摘要进行解密，将结果连同信息和签名人的数字证书 一同传送给预定的接受者。而接受者的软件会对收到的信息生成信息摘要（使用同样的散列 函数），并使用签名人的公匙对签名人生成的摘要进行解密。接受者的软件也可以加以配置， 验证签名人证书的真伪，确保证书是由可信赖的 CA 颁发，而且没有被 CA 吊销。如果两个 摘要一样，就表明接受者成功核实了数字签名。 经核实的数字签名向接受者保证了两点：一、信息未经改动；二、信息的确来自签名人。后 者就成了对原产地证明（Proof of Origin）的认可，即加密认可这一概念的基础。 PDF下载中心 Page 3 of 3 这正是症结所在。更确切地说，经核实的数字签名向接受者保证信息未经改动，而且信息是 用签名人的私匙签名的。但仍存在欺诈的可能性。在私匙持有人毫不知情的情形下，有人会 利用无人照管的台式机对合同进行数字签名。由于“始终联通”的互联网连接如线缆调制解调 器和 DSL 日益普及，黑客窃取私匙的机会也随之激增。消费者的利益就容易受到侵害。 还存在另一种可怕的情景：将欺诈作为理由，即完全是想终止签署合同的签名人可能以合乎 法律为由，拒绝履行合法签署的合同。这样，企业的利益就容易受到侵害。 明智的个人和机构一定要意识到这些危险。 大多数企业和个人知道， 始终没法消除所有风险， 于是专注于如何降低风险，而不是完全避免风险。 互联网连接“始终联通”的消费者在用完后关掉计算机，并使用可靠的个人防火墙软件阻止黑 客入侵，就可以尽量减小风险。另外，也可以使用智能卡存放私匙，不用时就把卡锁在抽屉 里。 企业要考虑“风险连续体”，采取措施尽量降低风险。数字签名就可以降低风险。目前，在电 子商务网站上购买商品的最通常的方式就是，通过安全连接，把信用卡号码、姓名、开账地 址和送货地址发送到电子商务公司的服务器。那么，那家公司如何知道这些信息是你本人输 入以及信用卡的使用得到了你的认可呢？较之于以往，数字签名提供了比较放心的保证：认 可这笔交易的确实是你。 尽管有时被夸大，但数字签名所具有的好处还是不可否认的。例如，数字签名有助于迅速解 决纠纷。向购买者重新发送一份数字签名的采购单，以核实订单要比传真由手写签名的采购 单方便得多。实际上，并非所有纠纷都会导致诉讼。如果是一家公司的工作人员在采购单上 签名，而接受者有数字签名作为证据，就不会有太多纠纷了。 数字签名可以帮助自动化，从而带来诸多好处，包括处理速度更快、效率提高；降低出错率 和管理成本。虽然数字签名不是自动化所必需的，但采用数字签名可以获得递增效益。 数字签名完全适合于人们往往随手携带的具有上网功能的无线设备。顾客抱怨，在台式机上 进行客户端数字签名仍