您好,欢迎访问山东渔翁信息技术股份有限公司官方网站!

渔翁信息官方微信
免费咨询热线:
400-6686-188
当前位置:首页 > 新闻中心 >

数字签名的应用实例

文章出处:渔翁信息作者:渔翁信息人气:发表时间:2018-04-18 10:42【

下面我们来介绍一些数字签名的具体应用实例。

数字签名在安全信息公告的应用

一些信息安全方面的组织会在其网站上发布一些关于安全漏洞的警告,那么这些警告信息是否真的是该组织所发布的呢?我们如何确认发布这些信息的网页没有被第三方篡改呢?

在这样的情况下就可以使用数字签名,即该组织可以对警告信息的文件施加数字签名,这样一来世界上的所有人就都可以验证警告信息的发布者是否合法。

信息发布的目的是尽量让更多的人知道,因此我们没有必要对消息进行加密,但是必须排除有人恶意伪装成该组织来发布假消息的风险。因此,我们不加密消息,而只是对消息加上数字签名,这种对明文消息所施加的签名,一般称为明文签名( clearsign)。

数字签名在软件下载方面的应用

我们经常会从网上下载软件,有时候是我们自己决定去下载某个软件,有时候则是我们所使用的软件自动去下载了另外一些软件。

无论哪种情况,我们都需要判断所下载的软件是否可以安全运行,因为下载的软件有可能被主动攻击者篡改,从而执行一些恶意的操作。例如,明明是下载了一个游戏软件,结果却可能是一个会删除硬盘上所有数据的程序,又或者可能是一个会将带有病毒的邮件发送给所有联系人的程序。

为了防止出现这样的问题,软件的作者可以对软件加上数字签名,而我们只要在下载之后验证数字签名,就可以识别出软件是否遭到了主动攻击者 Mallory的篡改。

一种名为带签名的 Applet的软件就是一个具体的例子。这种软件是用Java编写的(一种浏览器进行下载并执行的软件),并加上了作者的签名,而浏览器会在下载之后对签名进行验证。

此外,智能手机上广泛使用的 Android操作系统中是无法安装没有数字签名的应用软件的。在签署数字签名时,为了识别应用开发者的身份,需要使用 “证书”。不过这个证书只被用来识别应用开发者的身份等信息,并不是经过认证机构( Certificate Authority)签名的。

不过,数字签名只是能够检测软件是否被篡改过,而并不能保证软件本身不会做出恶意的行为。如果软件的作者本身具有恶意的话,那么再怎么加上数字签名也是无法防范这种风险的。

数字证书在公钥证书方面的应用

在验证数字签名时我们需要合法的公钥,那么怎么才能知道自己得到的公钥是否合法呢?我们可以将公钥当作消息,对它加上数字签名。像这样对公钥施加数字签名所得到的就是公钥证书。

数字签名在SSU/TLS方面的应用

ssL/TLs在认证服务器身份是否合法时会使用服务器证书,它就是加上了数字签名的服务器公钥。相对地,服务器为了对客户端(用户)进行认证也会使用客户端证书。