摘要�C+e!T0t
y,L
q051Testing软件测试网(L6b�?�o0@�h�R本系列通过通俗易懂的讲解,让您就像读小说一般,轻轻松松就能理解数字签名的基本原理和应用方法(即使您是一个并不精通计算机的企业老总,也能读懂本篇
文章)。然后我们再逐步深入技术细节,最后将给出一个在B/S信息系统中使用数字签名的DEMO。
51Testing软件测试网!@�F |;p�N5X�l�u�}�T�i { q&r�f&k0由于数字签名基于非对称
加密技术,所以我们需要先啰嗦一下对称加密和非对称加密技术。
�f*i;g+})V:{+a'l051Testing软件测试网9N�b�a-v9K8}�_对称加密�L+s�z�w�F�v(K051Testing软件测试网�i�j�\$F#l何谓加密?加密是一种“把数据搞乱掉”的技术。加密技术涉及到4种东东:
&Q�~�w:A�d�C0明文:可以被人或程序识别的数据。例如一个文本文件、一段歌词、一个Word文档、一首MP3、一个图片文件、一段视频等等。
51Testing软件测试网�I�U"G6t:v2T加密算法:将数据搞乱掉的方法。
51Testing软件测试网�f%F3H"H�j4c0[�y�R密钥(密码):一个你在进行加密操作时给出的字符串,让加密算法不但把明文“搞乱掉”,而且要乱得“与众不同”。这样即使别人搞到了解密算法,如果没有当初加密时所使用的密码,一样无法进行解密操作。
�o�M&n�y�_�n!V.U�[0B�]"t0密文:明文被加密算法和密钥加密后的结果。它看上去就是一堆乱码,没有人或程序能知道它到底表示什么信息。
51Testing软件测试网�y�y:}�_�s�Z&L51Testing软件测试网�b9j�|(H1P$p$u�l0@�g�U作为加密的一个实例,我将使用由我杜撰的“景氏替换加密算法”演示一下加密过程。
51Testing软件测试网�\�F7?4y6w-O明文:good good study, day day up.
51Testing软件测试网�x(V4R;K!?9W l9n*e�y密钥:google
51Testing软件测试网 r�}(x H5b�G景氏替换加密算法:将明文中的所有的字母“d”替换成密钥。
51Testing软件测试网.r�q!g�Y�m
q)q密文:将“good good study, day day up.”中的所有字母“d”替换成“google”,就得到密文“googoogle googoogle stugoogley, googleay googleay up.”。这个密文乱得还可以吧?一般人看了肯定不知道它是什么意思。
51Testing软件测试网�J*n*~�m R
@51Testing软件测试网�J�A2|�K$m(E那么什么是解密呢?解密就是把密文再变回明文的过程。
y0B�_�}&\/n�N�j*i�W0例如“景氏替换解密算法”就是:将密文中所有与密钥相同的字符串替换成“d”。
�r�S�I�|7l9z�a�M0密文:googoogle googoogle stugoogley, googleay googleay up.
51Testing软件测试网�q z+@�v X密钥:google
51Testing软件测试网�\7~&|�}7~�\3];z�^景氏替换解密算法:将密文中所有与密钥相同的字符串替换成“d”。
51Testing软件测试网/Q
V�o�S%|�s�o明文:将“googoogle googoogle stugoogley, googleay googleay up.”中的所有“google”替换成“d”,就得到了明文“good good study, day day up.”。
�P'q�J-t�A�N3F+W051Testing软件测试网#W�B�d�F1{�F
N您肯定已经注意到了,我们在进行加密和解密时使用的密钥必须是相同的,例如在上例中,加密和解密都必须使用相同的密钥“google”。所以像“景氏替换加密算法”这种就被称为
对称加密算法。目前最为流行的对称加密算法是DES和AES,此外,对称加密算法还有IDEA、FEAL、LOKI、Lucifer、RC2、RC4、RC5、Blow fish、GOST、CAST、SAFER、SEAL等。WinRAR的文件加密功能就是使用的AES加密算法。
51Testing软件测试网�J�}�o�W2](g8@�A z�}51Testing软件测试网�y�q�Y�U�X�v;t非对称加密51Testing软件测试网5^8S(R%l1B�\&@�d.v�_�V3m�F0非对称加密算法是一类与众不同的加密算法,它的密钥不是1个,而是2个(一对),我们先姑且称它们为密钥K1和密钥K2。非对称加密算法的特点是,如果用密钥K1进行加密,则有且仅有密钥K2能进行解密;反之,如果使用密钥K2进行了加密,则有且仅有密钥K1能进行解密。注意“有且仅有”的意思——如果用密钥K1进行了加密,是不能用密钥K1进行解密的;同样,如果用密钥K2进行了加密,也无法用密钥K2进行解密。这是一个非常重要的特性,至于如何在实际中运用这个特性,请看下文。
51Testing软件测试网"C�H�V-n�u�r!\${�y&R(l(E
U#G4H!p�L/p�c�E0我想给Clark传送一个AV小电影,又怕被他的老婆发现......51Testing软件测试网(F�e;]�P�X"N�@�o�m�_5L�u�d�r�r�G }�f4{$u�@�n�E0话说俺得了一个很不错的AV小电影,想通过网络传送给Clark,可是又怕被他的老婆发现(因为Clark的老婆是一个超级黑客,她可以使用sniffer技术截获
任何通过网线传送给Clark的数据。别跟我说用VPN,它超出了本文讨论的范围),怎么办呢?对了,我们需要一个“将数据搞乱掉”的技术——加密技术。我先使用WinRAR对小电影进行压缩,然后加上密码“TswcbyyqjsjhfL”(还记得么?WinRAR的文件加密功能使用的是叫作AES的对称加密算法)。接着,将这个加密后的文件通过QQ传送给Clark。然后,兴冲冲地拨打Clark的
手机:
�z
n:s�R�M G0“喂?Clark么?好久不见,呵呵......我给你发了个好东东呦,在QQ上,收到没?......密码是TswcbyyqjsjhfL,对,就是天生我才必有用,千金散尽还复来的首字母,第一个和最后一个字母要大写呦......”
�Z!n�W-^'E�o:Y�S�w0可是,Clark,我是真的不知道你的老婆大人刚刚就在你的身边呀!而且你也知道,我打电话从来都是喜欢很大声的......呜呜呜......
51Testing软件测试网){!z!m:E!|�~7B在Clark跪了一夜的搓衣板之后,我们都明白:如果是已经保存在自己硬盘上的文件,使用对称加密技术进行加密是没有问题的;如果是两个人通过网络传输文件,使用对称加密就很危险——因为在传送密文的同时,还必须传送解密密钥。我们需要一个与众不同的加密算法,一个不需要传递解密密钥的加密算法。非对称加密正好可以满足我们的需要。基本思路是这样的:首先,生成一对满足非对称加密要求的密钥对(密钥K1和密钥K2)。然后,将密钥K1公布在网上,任何人都可以下载它,我们称这个已经公开的密钥K1为
公钥;密钥K2自己留着,不让任何人知道,我们称这个只有自己知道的密钥K2为
私钥。当我想给Clark传送小电影时,我可以用Clark的公钥对小电影进行加密,之后这个密文就连我也无法解密了。这个世界上只有一个人能将密文解密,这个人就是拥有私钥的Clark。
51Testing软件测试网�A.L�?+V�D�L�g�}�c1`6l51Testing软件测试网!d�`�h:D�|�G h)a后来......�K3i�K!g�Z�Y�g�d�q1s051Testing软件测试网'\�[�E'C.K�F$I�m后来,Clark痛定思痛,决定申请一个数字
证书。流程是这样的:首先,登录
当地的数字证书认证中心网站,填表->出示个人有效证件原件和复印件->缴费->等待数字证书认证中心制作数字证书->领取数字证书。如果您的公司需要申请大量的数字证书,还可以与认证中心的销售人员商量,先领取免费的试用版的数字证书供技术人员试用。
51Testing软件测试网�M-{ D9U3L%F,l�u后来的后来,我又得到了一本电子版的不良漫画,当然,我又想到了Clark。我先在数字证书认证中心下载了Clark的公钥证书(就是一个含有公钥信息的文件),使用非对称加密算法对不良漫画进行加密,再将密文通过QQ传送给Clark。然后,我兴冲冲地拨打Clark的手机:
51Testing软件测试网,t�A�S&H)K“喂?Clark么?好久不见,呵呵......我给你发了个好东东呦,在QQ上,收到没?......已经用你的公钥加密了。用你的私钥解密就行了^_^”
-s9O2Y�F$z�}�}0Clark兴冲冲地插入他的私钥(忘了说了,私钥并不是一个文件,而是一个USB设备,外形就跟U盘一样,至于为什么要这样,下一篇再说),解密,然后开始看漫画,完全没察觉他的老婆大人就在身后......
51Testing软件测试网�n%`�\�w�]*t51Testing软件测试网6a3h�^0D:|#vClark,俺这个月手头有点紧......�j�e�e
[ [&o-d&E051Testing软件测试网�a�J�i X5W�m�[
z唉,这个月买了太多的书,到月底揭不开锅了。正巧在QQ上遇到了Clark:
51Testing软件测试网�r"N�U�w�w1-2-3:“Clark,我需要200两纹银,能否借给我?”
3G�a&H*l�B�P�q,k h�I0Clark:“没问题。我这就给你转账。请给我一张借条。”
51Testing软件测试网1P;S6Y:n1j�i%W1-2-3:“太谢谢了,我这就用Word写一个借条给你。”
51Testing软件测试网'k3G�U&Z$V然后,我新建一个Word文档,写好借条,存盘。然后,然后怎么办呢?我不能直接把借条发送给Clark,原因有:
$?�K!D�V3`0 1. 我无法保证Clark不会在收到借条后将“纹银200两”改为“纹银2000两”。
9e/[#m0k�m0j�G�L)}0 2. 如果我赖账,Clark无法证明这个借条就是我写的。
�t�r�b�c�J�a
o�M�V8v0 3. 普通的Word文档不能作为打官司的证据。
51Testing软件测试网�b�P7l%|�K o1c;l�L好在我早就申请了数字证书。我先用我的私钥对借条进行加密,然后将加密后的密文用QQ发送给Clark。Clark收到了借条的密文后,在数字证书认证中心的网站上下载我的公钥,然后使用我的公钥将密文解密,发现确实写的是“借纹银200两”,Clark就可以把银子放心的借给我了,我也不会担心Clark会篡改我的借条,原因是:
51Testing软件测试网�I�_$D T�F4O/R 1. 由于我发给Clark的是密文,Clark无法进行修改。Clark倒是可以修改解密后的借条,但是Clark没有我的私钥,没法模仿我对借条进行加密。这就叫
防篡改。
�j�z6i�H�D6I;]�w,Z0 2. 由于用我的私钥进行加密的借条,有且只有我的公钥可以解密。反过来讲,能用我的公钥解密的借条,一定是使用我的私钥加密的,而只有我才拥有我的私钥,这样Clark就可以证明这个借条就是我写的。这就叫
防抵赖。
(b$|�A�L,Z�g-c/v�l0 3. 如果我一直赖着不还钱,Clark把我告上了法庭,这个用我的私钥加密过的Word文档就可以当作程堂证供。因为我国已经出台了
《中华人民共和国电子签名法》,使数字签名具有了法律效力。
51Testing软件测试网�J0L�u:f
a�n�C�d�m�Q您一定已经注意到了,这个使用我的私钥进行了加密的借条,具有了防篡改、防抵赖的特性,并且可以作为程堂证供,就跟我对这个借条进行了“签名”的效果是一样的。对了,“使用我的私钥对借条进行加密”的过程就叫做
数字签名。(由于数字签名算法的速度比较慢,所以在实际对文件签名的过程比上面提到的方法稍稍复杂一些,这个在下一篇再讲)。
�z;q�f�?�T�c0)Z7b S$k�l�d�x0我是1-2-3,我真的是1-2-3,我是真的1-2-351Testing软件测试网;t"m#O�B�_;_�t1t�s�M�q�X+a!f0正如您已经知道的,Clark的老婆是一名超级黑客——就是传说中能用计算机作任何事的人。这不,不久前她就轻松入侵了QQ数据库,下载了Clark的所有好友的ID和密码以及聊天记录。然后,时不时地伪装成Clark的好友跟Clark聊天,搞得Clark最近总是神经兮兮、疑神疑鬼的。这不,昨天我在QQ上遇到了Clark:
51Testing软件测试网�X)O�W�x�`�g�A�C1-2-3:“Clark,最近还好吧?我又搞到一个好东东呦,要不要?”
/Q2f
r�o�M�y9L"b0Clark:“48475bbt556”
�n�n�o9r�}'D�e�H�x0Clark并不是疯掉了,那个“48475bbt556”也不是我跟Clark之间的什么通关暗语。这个“48475bbt556”就是Clark在键盘上胡乱敲上去的,不过,我却知道Clark是什么意思。我立刻把“48475bbt556”粘贴到Word里,然后用我的私钥对这个Word文档加密,再将这个Word文档发送给Clark。Clark在那边用我的公钥将Word文档解密,打开,发现里面写的就是“48475bbt556”,就知道QQ这边的确就是真正的我本人了。因为拥有我的私钥的人在这个世界上就只有我一人而已,Clark的老婆大人就是再神通广大也模仿不了,这就是数字签名的
验证功能。
:O*x-l�E"?�N�w;y02R�G�Y�F�c0顺便提一句,不但人可以申请数字证书,设备(例如Web服务器)也可以申请数字证书(叫作设备证书)。利用数字签名的验证功能,就可以验证服务器的身份了,这可是防钓鱼的终极解决方案呦。
51Testing软件测试网,C�p�v;I�{�k�R�i�],T;E�u%G!i�^%\0思考题51Testing软件测试网%}�],c4d,e�B(s51Testing软件测试网,I�S�d�V�I,G如果Clark每次都向我发送相同的字符串(例如“1234”),而不是每次在键盘上胡乱地(随机地)敲一些字符,Clark的老婆就会利用Clark的懒惰模仿我跟Clark聊QQ,这是为什么?
�}:e�v�W+p�{'j
]0�Y�o�D�F(\�v�T0本篇到此结束,下一篇将介绍电子签名技术的产品&设备。
51Testing软件测试网�x2o/_�I:b�}0^+Q�H f�]�\
