行业新闻与博客

PKI 数字签名几乎无处不在——从数字签名的电子邮件和软件到安全网站。我们将分解什么是 PKI 签名以及它如何帮助保护您的数据的完整性

还记得当你还是个孩子的时候，你的父母告诉你，如果你下定决心，你可以做任何你想做的事或做任何你想做的事吗？嗯，在互联网上，这是真的。你几乎可以说出自己的真相——你可以是青少年、成年人或公司的 CEO。如果没有办法证明您的主张是合法的，那么没有人会更明智。

网络犯罪分子知道这一点并喜欢利用它。这就是为什么我们今天遇到的所有问题都与网络钓鱼其他类型的掠夺性网络攻击技术有关。在互联网出现之前，您必须与某人面对面交流才能安全地交换信息或发送经过编码的加密消息。

但是现在人们可以即时与世界各地的其他人进行交流和开展业务，面对面的聚会在大多数情况下不再可行。因此，为了保护您自己和您的客户，您需要有一种方法来在线证明您的身份，并帮助人们知道您的电子邮件、文件和软件是合法的，并且没有被伪造。这就是 PKI 签名发挥作用的地方。

但是什么是公钥签名呢？数字签名与其他电子签名有何不同？在哪里可以找到正在运行的 PKI 数字签名？

让我们把它算出来。

什么是公钥签名？一个简单的 PKI 数字签名定义和类比

在我们可以一头扎进公钥签名的本质之前，明智的做法是至少简要回顾一下数字签名是什么以及它在公钥基础设施 (PKI) 中扮演的角色。毕竟，不知道规则是跑不起来的。

一个PKI 签名是可验证的数字身份的一种形式，它可以帮助你证明你（或你创造的东西）是真实的。在某种程度上，它有点像指纹，因为它是唯一标识您的东西。然而，它不仅仅是“只是”身份。数字签名是您的组织通过使用数字证书（例如代码签名证书）和加密密钥来确认其合法性的一种方式。

简而言之，使用 PKI 数字签名可以将您的可验证身份附加到软件、代码、电子邮件和其他数字通信中，以便人们知道它们不是假的。这可以帮助您：

1. 证明您的身份，以便您可以执行需要授权访问（身份验证）的操作
2. 使用签名和其他工具（例如时间戳）声明您组织的数字身份，以便人们知道您是您，而不是冒名顶替者（不可否认性），以及
3. 保护并证明您的消息、文件、连接和数据的真实性（数据完整性）。

如果这一切看起来有点复杂，让我们用更简单的类比来分解它……

公钥签名（PKI 数字签名）是互联网通信的蜡印

PKI 签名是现代版的蜡封，人们历史上会用它来保护敏感通信的安全。在互联网或电话发明之前，人们要么亲自见面，要么通过书面信件进行远程交流。当然，如果没有数字通信，这些信息将必须通过人工传递——通过火车、轮船或骑马——这意味着这些信息可能在到达预定收件人的途中被拦截。

假设您想向朋友发送敏感消息。您希望有一种方法让他们知道您签署了它并且该消息没有以任何方式被篡改。多年前，您会使用蜡封来实现这一点。这个过程需要：

• 融化一些蜡，
• 将其倒在信封上，将您的个人印章（即邮票）压入蜡中，然后
• 让蜡有时间变硬。

当您的朋友收到您的消息时，他们会看到蜡封完好无损。这个完整的蜡封表明您的信息在两个关键方面是合法的：

• 徽章证明了您的身份，因为您应该是唯一拥有该徽章的人。用您的个人徽章密封邮件让收件人知道您是密封邮件的人。
• 完整的蜡封意味着没有人在传输过程中改变了信息。这让您的朋友知道该消息的完整性已受到保护，并且自您发送以来没有人对其进行更改。

以同样的方式，互联网上的通信也需要有这些相同类型的保护。虽然它们不是马背上发送的，但数字通信在它们以服务器、路由器和其他中间设备的形式在互联网上传输时会经过很多“手”，直到它们到达正确的目的地。这意味着，如果收件人无法验证消息的完整性，网络犯罪分子将有很多机会在传输过程中更改或操纵您的信息。

PKI 数字签名与电子签名

人们经常错误地将 PKI 数字签名和电子签名混为一谈，但事实并非如此。是的，数字签名是电子签名的一种，但并非所有电子签名都是数字签名。这有点像所有 iPhone 都是智能手机，但并非所有智能手机都是 iPhone。当然，它们都可以用来表示您是互联网上的某个人，但只有其中一个（*咳嗽*PKI 签名*咳嗽*）实际上可以帮助您证明自己的身份，因为它不仅仅是一个在线签名，可以改变了。

这有点像得到你最喜欢的运动员的签名——比如说，四分卫汤姆布雷迪。（抱歉，Pats 粉丝，Tom 现在是我们的了！#TampaBayBucs）当然，您可以在酒吧走到 Tom 面前，请他签名。但是如果没有某种方法来验证他的签名是真实的——比如，比如官方的真实性证书——那么有人可能会争辩说任何人都可以签上他的名字。

或者，就他们所知，你真的可以让汤姆在一件物品上签名。但是什么会阻止你周末坐在家里，以他的签名为例，这样你就可以在一堆你想出售的海盗队装备上伪造他的签名？好吧，没什么，除非您的潜在买家有办法验证签名的合法性。

这有点像电子签名和数字签名之间的区别：

• 电子签名是以电子格式签署您的姓名。您不是将物理墨水笔写在纸上，而是使用电子方式签署您的名字。  
• PKI 数字签名就像真实性证书。通过这种方式，公钥签名是您签署某些内容以便其他人可以验证的一种方式：
• 您作为合法的个人或组织代表实际签署了电子邮件、文件或软件，并且
• 自您签署以来，您签署的项目未被修改或篡改。