Problema de firma digital, gracias a todos~
Explicación detallada de las firmas digitales
Weiwei 2001-7-25
Actualmente existen muchas tecnologías para garantizar la seguridad de la información, como la tecnología de cifrado y tecnología de control de acceso, tecnología de autenticación y tecnología de auditoría de seguridad, etc., pero la mayoría de estas tecnologías se utilizan para la prevención una vez que se viola la información, no podemos garantizar la integridad de la información. Por esta razón, la tecnología de firma digital, una tecnología de seguridad emergente utilizada para garantizar la integridad de la información, se ha convertido en un tema de gran preocupación. Entonces, ¿qué es la tecnología de firma digital? ¿Qué funciones especiales tiene?
Concepto
Antes de la aparición de la tecnología de firma digital, existía una tecnología de "firma digital", que simplemente significa firmar en un bloc de notas y luego transferir la imagen a un documento electrónico. , esta "firma digital" se puede cortar y luego pegar en cualquier documento, lo que facilita la copia ilegal, por lo que este método de firma no es seguro. La tecnología de firma digital y la tecnología de firma digital son dos tecnologías de seguridad completamente diferentes. La firma digital no tiene nada que ver con el nombre del usuario y la forma de firma manuscrita. En realidad, utiliza la clave privada del remitente para transformar la información que debe transmitirse. Para información de documento diferente, la firma digital del remitente es diferente. Sin la clave privada, nadie puede realizar copias ilegales. En este sentido, una "firma digital" es una cadena alfanumérica que se obtiene procesando el mensaje a transmitir a través de una función unidireccional para autenticar la fuente del mensaje y verificar si el mensaje ha cambiado.
Principio
Cuando esta tecnología funciona específicamente, el remitente primero realiza una transformación matemática de la información, y la información obtenida corresponde de forma única a la información original; obtener la información original. Mientras el método de transformación matemática sea excelente, la información transformada tendrá una gran seguridad durante la transmisión y será difícil de descifrar y manipular. Este proceso se llama cifrado y el correspondiente proceso de transformación inversa se llama descifrado.
Existen dos tipos diferentes de tecnología de cifrado. Uno es el cifrado simétrico. Ambas partes tienen una clave compartida. Solo se puede utilizar cuando ambas partes conocen la clave. En este entorno, por ejemplo, cuando se utiliza un cajero automático (ATM), el usuario debe ingresar un número de identificación de usuario (PIN). Después de que el banco confirme este número, las dos partes realizarán transacciones basándose en la obtención de la contraseña. demasiados usuarios, se puede exceder el número. Este mecanismo no es confiable al administrar el alcance.
El otro tipo es el cifrado asimétrico, también llamado cifrado de clave pública. La clave es un par de claves que consta de una clave pública y una clave privada. La clave privada se utiliza para el cifrado y la clave pública. Se puede realizar el descifrado, pero como la clave pública no puede deducir la clave privada, la clave pública no compromete la seguridad de la clave privada. No es necesario mantener la clave pública en secreto y puede difundirse públicamente, mientras que la clave privada sí. Se mantendrá en secreto y no se podrá perder. Es necesario informar al centro de identificación y a la base de datos.
Algoritmo
Existen muchos algoritmos de firma digital, y los tres más utilizados son: firma Hash, firma DSS y firma RSA.
1. Firma hash
La firma hash no es un algoritmo con un uso intensivo de computación y se usa ampliamente. Puede reducir el consumo de recursos del servidor y reducir la carga en el servidor central. La principal limitación de Hash es que el destinatario debe tener una copia de la clave del usuario para verificar la firma. Debido a que ambas partes conocen la clave que generó la firma, es más fácil de romper y existe la posibilidad de falsificar la firma.
2. Firmas DSS y RSA
DSS y RSA utilizan algoritmos de clave pública y no tienen las limitaciones de Hash. RSA es el estándar de cifrado más popular y muchos productos tienen software y bibliotecas de clases RSA en sus núcleos. Mucho antes del rápido desarrollo de la Web, RSA Data Security fue responsable de integrar el software de firma digital con el sistema operativo Macintosh. También agregó una función de arrastrar y soltar firmas al software de colaboración PowerTalk de Apple. debe estar cifrado con el icono correspondiente, se completa la firma digital en formato electrónico. A diferencia de DSS, RSA se puede utilizar tanto para cifrar datos como para autenticar identidades. En comparación con las firmas Hash, en el sistema de clave pública, dado que la clave que genera la firma solo se almacena en la computadora del usuario, el factor de seguridad es mayor.
Funciones
Las firmas digitales pueden solucionar problemas como la denegación, la falsificación, la manipulación y la suplantación de identidad.
Requisitos específicos: el remitente no puede negar la firma del mensaje enviado por el remitente posteriormente, el receptor puede verificar la firma del mensaje enviado por el remitente, el receptor no puede falsificar la firma del mensaje del remitente y el receptor no puede alterar parcialmente la firma del remitente mensaje Un usuario de la red no puede hacerse pasar por otro usuario como remitente o receptor. Las firmas digitales tienen una amplia gama de aplicaciones y son un gran avance para garantizar la seguridad del intercambio electrónico de datos (EDI). Las firmas digitales se pueden utilizar en cualquier situación en la que sea necesario juzgar la identidad del usuario, como cartas cifradas y cartas comerciales. , Sistemas de compra de pedidos, transacciones financieras remotas, procesamiento en modo automático, etc.
Desventajas
La introducción de firmas digitales traerá inevitablemente algunos problemas nuevos que deberán resolverse en mayor medida. Las firmas digitales requieren el respaldo de las disposiciones legales pertinentes.
1. Los órganos legislativos deben prestar suficiente atención a la tecnología de firma digital, acelerar el ritmo de la legislación y formular rápidamente leyes pertinentes para realizar plenamente la función especial de identificación de las firmas digitales y promover de manera efectiva el comercio electrónico. Novedades en otros asuntos online.
2. Si la información del remitente ha sido firmada digitalmente, entonces el receptor debe tener un software de firma digital, lo que requiere que el software sea muy popular.
3. Supongamos que alguien abandona una organización después de enviar información y se le revoca la autoridad de firma digital original durante la autenticación, las firmas digitales enviadas en el pasado solo pueden encontrar la confirmación original en la lista de confirmación de cancelación. , por lo que el centro de identificación necesita combinar información de tiempo para la identificación.
4. ¿El costo de la infraestructura (centro de identificación, base de datos de acceso en línea, etc.) será financiado con fondos públicos o se cobrará a los usuarios durante el período de uso? Si se cobran cargos durante el período de uso, ¿afectará la promoción integral de esta tecnología?
Implementación
Hay muchas formas de implementar firmas digitales y actualmente se utilizan con más frecuencia la tecnología de cifrado asimétrico y la tecnología de cifrado simétrico. Aunque los pasos de implementación de estas dos tecnologías son diferentes, los procedimientos de trabajo generales son los mismos. Los usuarios primero pueden descargar o comprar software de firma digital y luego instalarlo en sus computadoras personales. Después de generar el par de claves, el software transmite automáticamente la clave pública al mundo exterior. Debido a la necesidad de almacenar claves públicas, es necesario establecer un centro de autenticación (CA) para completar la determinación de la información personal y sus claves. El Centro de Autenticación es un miembro externo administrado por el gobierno para garantizar la seguridad y la gestión centralizada de la información. Cuando un usuario obtiene una clave pública, primero solicita una confirmación digital del centro de autenticación. Después de que el centro de autenticación confirma la identidad del usuario, emite una confirmación digital y, al mismo tiempo, el centro de autenticación envía información de confirmación a la base de datos. Luego, el usuario utiliza la clave privada para firmar la información transmitida, asegurando la integridad y autenticidad de la información y haciendo imposible que el remitente niegue el envío de la información, y luego la envía al receptor después de que el receptor recibe la información; , utiliza la clave pública para confirmar el número Firme, ingrese a la base de datos para verificar el estado y la credibilidad de la información de confirmación del usuario, finalmente, la base de datos devuelve la información del estado de confirmación del usuario al receptor; Sin embargo, al utilizar esta tecnología, el firmante debe prestar atención a proteger la clave privada, porque es una base importante para la seguridad del sistema de clave pública. Si se pierde la clave, se debe informar inmediatamente al centro de certificación para cancelar la certificación y ser incluida en la lista de cancelaciones confirmadas. En segundo lugar, el centro de autenticación debe poder confirmar rápidamente la identidad del usuario y la relación entre sus claves y las de ella. Una vez que se recibe la solicitud de un usuario, el centro de autenticación debe verificar inmediatamente la seguridad de la información y devolverla.
Qué es una firma digital:
1. El significado de firma digital
La firma digital se establece en función del sistema de cifrado de clave pública El método de cálculo involucrado. es la conocida función hash, también conocida como "función hash". La función hash es en realidad un proceso de cálculo matemático. Este proceso de cálculo se basa en un método computacional que crea una expresión numérica o una forma comprimida de un mensaje. un "resumen de mensaje" o "identificador de mensaje") en forma de "valor de función hash" o "resultado de función hash". Además de una función hash segura en el caso de una función hash (a veces denominada hash unidireccional). función), en realidad es imposible deducir la información original de los resultados de la función hash conocida. Por lo tanto, la función hash permite que el software opere con una cantidad de datos más pequeña y predecible para generar una firma digital, pero mantiene un alto grado. de correlación con el contenido de la información original, y garantiza efectivamente que la información no ha sido modificada de ninguna manera después de ser firmada digitalmente.
La llamada firma digital Una firma es una cadena digital que solo se puede generar. por el remitente de la información y no puede ser falsificado por otros. También es una prueba de la autenticidad de la información enviada por el remitente. Al firmar un documento o cualquier otra información, el firmante primero debe ser preciso Definir el alcance del contenido. a firmar Luego, la función hash en el software del firmante calculará un valor de resultado de la función hash único de la información firmada (para fines prácticos, el valor del resultado de la función hash se convierte utilizando la contraseña privada del firmante). firma digital La firma digital resultante es única tanto para el mensaje que se firma como para la contraseña privada utilizada para crear la firma digital.
Una firma digital (el resultado de una función hash en un mensaje). adjunta a la información y se almacena y transmite junto con la información. Sin embargo, también se puede almacenar y transmitir como una unidad de datos separada siempre que se pueda mantener una conexión confiable con la información correspondiente porque las firmas digitales son la información que se firma. es exclusivo de la información que se firma y, por lo tanto, deja de tener sentido si se pierde permanentemente en la información.
La firma de un documento escrito es un medio para autenticar el documento y las firmas digitales también se comparan con las firmas manuscritas tradicionales. , tienen muchas características.
En primer lugar, la firma en una firma digital está separada de la información. Se necesita un método para conectar la firma y la información en la firma manuscrita tradicional. la información firmada es un todo;
En segundo lugar, en términos de método de verificación de firma, la firma digital utiliza un método público para verificar la firma, y cualquiera puede verificarla y la verificación tradicional de una firma manuscrita. por un destinatario experimentado comparándola con una muestra de firma reservada.
Finalmente, en una firma digital, la copia de una firma válida también es firma válida, mientras que en las firmas manuscritas tradicionales, copiar la firma no es válida;
Las firmas digitales pueden tener dos funciones a la vez: confirmar el origen de los datos, y garantizar que los datos no han sido modificados de ninguna manera durante el proceso de envío o cambio por tanto en algunos aspectos. , la función de la firma de datos es más similar a la función del valor de detección de integridad. Sin embargo, una diferencia importante entre los dos es que la firma digital debe poder garantizar las siguientes características, es decir, el remitente puede La firma de. el mensaje no se puede negar. Esto es muy importante. Por lo tanto, el destinatario del mensaje puede utilizar una firma digital para asegurar a un tercero la identidad del firmante y el hecho de que el mensaje fue enviado cuando ambas partes están de acuerdo. el mensaje fue enviado o no y su contenido aparece En una disputa, una firma digital puede convertirse en una prueba fuerte. En términos generales, el receptor se ve más afectado por la manipulación de la información. Por lo tanto, es mejor que el receptor utilice una firma digital diferente. el remitente de la información para mostrar la diferencia. Esta es una función que el valor de la prueba de integridad no tiene. En este sentido, confirmar una firma digital es algo similar a confirmar la fuente de un documento escrito identificando una firma manuscrita. /p>
El uso de un método que combina firma digital y tecnología de cifrado puede resolver los problemas de integridad, autenticación de identidad y no repudio durante la transmisión de información
(1) Integridad. Se ha desarrollado tecnología y método para confirmar la integridad de los documentos electrónicos, que pueden identificar el documento como un original inalterado.
(2) Verificabilidad La fuente del documento electrónico puede ser confirmada. La firma electrónica generada con una clave privada sólo puede ser descifrada mediante la clave pública correspondiente a la clave privada del remitente, por lo que se puede confirmar la fuente del documento.
(3) No.
Denegación Dado que sólo el remitente tiene la clave privada, no puede negar que el archivo electrónico no fue enviado por él.
Firma digital
La llamada "firma digital" es mediante. una determinada contraseña El cálculo genera una serie de símbolos y códigos para formar una contraseña electrónica para la firma, en lugar de una firma escrita o un sello. Esta firma electrónica también puede verificarse técnicamente. La precisión de su verificación no tiene comparación con la verificación manual ordinaria. firmas y sellos. La "firma digital" es actualmente el método de firma electrónica más utilizado, técnicamente maduro y más operable en el comercio electrónico y el gobierno electrónico. Adopta procedimientos estandarizados y métodos científicos para identificar la identidad del firmante y reconocer el contenido de un dato electrónico. También puede verificar si el texto original del archivo ha sido modificado durante el proceso de transmisión, asegurando la integridad, autenticidad y no repudio del archivo electrónico transmitido.
La firma digital se define en el estándar ISO7498-2 como: "Algunos datos añadidos a la unidad de datos, o una transformación criptográfica realizada en la unidad de datos. Estos datos y transformación permiten al destinatario de la unidad de datos uso Para confirmar la fuente y la integridad de la unidad de datos y proteger los datos de la falsificación por parte de otros (como el destinatario)". El Estándar de firma electrónica de EE. UU. (DSS, FIPS186-2) explica las firmas digitales de la siguiente manera: "El resultado de calcular datos utilizando un conjunto de reglas y un parámetro, que se puede utilizar para confirmar la identidad del firmante y la integridad de los datos. ". Según la definición anterior, PKI (Public Key Infrastructino) proporciona transformación criptográfica de unidades de datos y permite al destinatario determinar la fuente de los datos y verificarlos.
La agencia de ejecución principal de PKI es el proveedor de servicios de certificación electrónica, comúnmente conocida como autoridad de certificación CA (Autoridad de Certificación). El elemento central de la firma de PKI es el certificado digital emitido por la CA. Los servicios PKI que brinda son autenticación, integridad de datos, confidencialidad de datos y no repudio. Su enfoque consiste en utilizar la clave pública del certificado y la clave privada correspondiente para realizar el cifrado/descifrado y generar una firma y una firma de verificación para el mensaje digital. Las firmas digitales utilizan criptografía de clave pública y otros algoritmos criptográficos para generar una serie de símbolos y códigos para formar una contraseña electrónica para la firma. En lugar de escribir firmas y sellos, esta firma electrónica también se puede verificar técnicamente y la precisión de su verificación es Verificación; de firmas manuscritas y sellos no tiene comparación en el mundo físico. Este método de firma puede autenticarse en una gran población de dominios PKI confiables o realizar una certificación cruzada en múltiples dominios PKI confiables. Es particularmente adecuado para la autenticación y transmisión seguras en Internet y redes de área amplia.
En pocas palabras, la llamada firma digital son algunos datos adjuntos a la unidad de datos, o la transformación criptográfica de la unidad de datos. Estos datos o transformación permiten al destinatario de la unidad de datos confirmar el origen de la unidad de datos y la integridad de la unidad de datos y proteger los datos contra la falsificación por parte de alguien (como el destinatario). Es un método para firmar mensajes en formato electrónico. Un mensaje firmado se puede transmitir en una red de comunicación. Las firmas digitales se pueden obtener basándose tanto en criptografía de clave pública como en criptografía de clave privada. Actualmente, las firmas digitales se basan principalmente en criptografía de clave pública. Incluidas las firmas digitales ordinarias y las firmas digitales especiales. Los algoritmos de firma digital comunes incluyen RSA, ElGamal, Fiat-Shamir, Guillou-Quis Quarter, Schnorr, algoritmo de firma digital Ong-Schnorr-Shamir, Des/DSA, algoritmo de firma digital de curva elíptica y algoritmo de firma digital de autómata finito, etc. Las firmas digitales especiales incluyen firmas ciegas, firmas de proxy, firmas de grupo, firmas de no repudio, firmas ciegas justas, firmas de umbral, firmas con funciones de recuperación de mensajes, etc., que están estrechamente relacionadas con entornos de aplicaciones específicos. Obviamente, la aplicación de firmas digitales implica cuestiones legales. El gobierno federal de Estados Unidos ha formulado su propio Estándar de Firma Digital (DSS) basado en el problema del logaritmo discreto en campos finitos.
La tecnología de Firma Digital es una aplicación típica de algoritmos de cifrado asimétrico.
El proceso de aplicación de la firma digital consiste en que el remitente de la fuente de datos utiliza su propia clave privada para cifrar la suma de verificación de los datos u otras variables relacionadas con el contenido de los datos para completar la "firma" legal de los datos, y el receptor de los datos utiliza la clave pública de la otra parte. La clave se utiliza para interpretar la "firma digital" recibida y los resultados de la interpretación se utilizan para verificar la integridad de los datos y confirmar la legitimidad de la firma. La tecnología de firma digital es una tecnología importante para confirmar la identidad en el entorno virtual de los sistemas de red. Puede reemplazar completamente la "firma manuscrita" en el proceso real y está garantizada técnica y legalmente. En términos de gestión de claves públicas y privadas, las aplicaciones de firma digital son exactamente lo opuesto a la tecnología PGP de correo electrónico cifrado. En las aplicaciones de firma digital, la clave pública del remitente se puede obtener fácilmente, pero su clave privada debe mantenerse estrictamente confidencial.
Las principales funciones de las firmas digitales son: asegurar la integridad de la transmisión de información, autenticar la identidad del remitente y evitar la denegación de transacciones.
La tecnología de firma digital cifra la información resumida con la clave privada del remitente y la transmite al destinatario junto con el texto original. El receptor solo puede usar la clave pública enviada para descifrar la información resumida cifrada y luego usar la función HASH para generar una información resumida para el texto original recibido, que se compara con la información resumida descifrada. Si son iguales significa que la información recibida está completa y no ha sido modificada durante el proceso de transmisión. En caso contrario significa que la información ha sido modificada, por lo que la firma digital puede verificar la integridad de la información.
La firma digital es un proceso de cifrado y la verificación de la firma digital es un proceso de descifrado.
Un certificado de correo electrónico seguro personal con función de firma digital es un tipo de certificado de usuario. Se refiere al certificado que los usuarios de la unidad deben tener para utilizar el mecanismo de certificado para garantizar la seguridad al enviar y recibir correos electrónicos. El certificado de correo electrónico de seguridad personal es un certificado de seguridad digital que cumple con el estándar x.509. Combina certificados digitales y tecnología S/MIME para cifrar y firmar digitalmente correos electrónicos ordinarios para garantizar la seguridad, la confidencialidad y la identidad del remitente del contenido del correo electrónico. Confirmabilidad y no repudio. Un certificado de correo electrónico personal seguro con función de firma digital contiene la dirección de correo electrónico del titular del certificado, la clave pública del titular del certificado, el emisor (Henan CA) y la firma del emisor en el certificado. La implementación de la función de certificado de correo electrónico seguro personal depende de si el sistema de correo electrónico utilizado por el usuario admite la función correspondiente. Actualmente, los sistemas de correo electrónico seguro MS Outlook, Outlook Express, Foxmail y Henan CA admiten las funciones correspondientes. Puede utilizar un certificado de correo electrónico seguro personal para enviar y recibir correos electrónicos cifrados y firmados digitalmente, garantizando la confidencialidad, integridad y no repudio de la transmisión de correo electrónico, y garantizando la autenticidad de las identidades de todas las partes en las comunicaciones por correo electrónico.