图解数字签名Digital Signature

转载自: http://www.ruanyifeng.com/blog/2011/08/what_is_a_digital_signature.html
1.



Bob有两把钥匙，一把是Public Key, 一把是Private Key。

2.



Bob把公钥送给他的三位朋友。

3.



苏珊要给Bob写一封信，用Bob的公钥加密。别人就不知道信中的内容。

4.



Bob拿自己的私钥将信解密。就算信落在别人手里，别人由于没有Bob的private key，所以也不能解开信的内容。

只要Bob的私钥不被别人获取，别人就不能破解该信。

5.



Bob给苏珊回信，决定使用Digital Signature技术。他通过Hash函数，将信的内容生成一个摘要。

6.



Bob用他的私钥对摘要加密，生成数字签名。

7.



Bob将签名附在信一起，打包一起发给苏珊。

8.



苏珊取下数字签名，用Bob给她的公钥解密数字签名，得到信的摘要。

9.



苏珊再将信的内容通过Hash函数，得到一个摘要。比对该摘要和Bob发过来的摘要，判断它们是否相等。如果一样，则表示信的内容没有被改变。

10.



复杂的情况出现了。道格想欺骗苏珊，他偷偷使用了苏珊的电脑，用自己的公钥换走了鲍勃的公钥。此时，苏珊实际拥有的是道格的公钥，但是还以为这是鲍勃的公钥。因此，道格就可以冒充鲍勃，用自己的私钥做成"数字签名"，写信给苏珊，让苏珊用假的鲍勃公钥进行解密。

11.



后来，苏珊感觉不对劲，发现自己无法确定公钥是否真的属于鲍勃。她想到了一个办法，要求鲍勃去找"证书中心"（certificate authority，简称CA），为公钥做认证。证书中心用自己的私钥，对鲍勃的公钥和一些相关信息一起加密，生成"数字证书"（Digital Certificate）。

12.



鲍勃拿到数字证书以后，就可以放心了。以后再给苏珊写信，只要在签名的同时，再附上数字证书就行了。

13.



苏珊收信后，用CA的公钥解开数字证书，就可以拿到鲍勃真实的公钥了，然后就能证明"数字签名"是否真的是鲍勃签的。