【www.shanpow.com--数字歇后语】
什么是数字签名篇(1):什么是数字签名?
什么是数字签名?
从根本上来说,数字签名是一种确保电子文档(电子邮件、电子表格、文本文件等)真实可靠的方法。“真实可靠”的含义是:您知道文档是谁创建的,并且知道在作者创建该文档之后,没有人对其进行过任何形式的修改。
数字签名依靠某些类型的加密技术来验证身份。加密是指获得一台计算机要发送给另一台计算机的所有数据,然后将其编码为只有后者才能解码的形式的过程。身份验证是指验证相关信息是来自可信来源的过程。这两个过程共同实现数字签名的功能。
要对人员或计算机上的信息进行身份验证,有多种方法:
密码——用户名和密码的使用是最常见的身份验证方式。您在计算机提示下输入用户名和密码。计算机根据安全文件对二者进行核对并确认。如果用户名或密码中有一个不匹配,计算机就不允许您进行进一步访问。
校验和——校验和也许是确保数据正确的最古老的方法之一,它也提供了一种身份验证方式,因为无效的校验和表明数据受到了某种形式的损坏。有两种方法可以用来确定校验和。假设数据包的校验和为1个字节长,意味着校验和可以包含的最大值为255。如果该数据包中其他字节的和是255或更小,则校验和将包含那个具体的值。但如果其他字节的和大于255,则校验和为总值除以256后得到的余数。请看以下示例:
字节 1
字节 2
字节 3
字节 4
字节 5
字节 6
字节 7
字节 8
总值
校验和
212
232
54
135
244
15
179
80
1151
127
1151÷256=4.496(四舍五入为4)4x256=10241151-1024=127
CRC(循环冗余码校验)——CRC在概念上与校验和类似,但它使用多项式除法来确定CRC的值,其长度通常为16或32位。CRC的优势在于它非常精确。如果有一个位不正确,CRC值就不匹配。在防止传输过程中发生随机错误方面,校验和与CRC都比较有效,但在防止针对数据的有意攻击方面,则几乎没有提供任何保护。下面讲到的加密技术则安全得多。
私钥加密——私钥的含义,是指每台计算机都有一个密钥(代码),在它通过网络向另一台计算机发送信息包之前,可以使用该密钥对信息包进行加密。私钥要求您知道哪些计算机将互相通信,并在每台计算机上安装相应的密钥。私钥加密的原理与密码相同,即两台计算机必须互相认识,才能对信息进行解码。密码提供了对消息进行解码的密钥。可以这样理解:您创建了一条要发送给朋友的编码消息,其中每个字母都用它之后的第二个字母来代替。这样“A”变成了“C”,“B”变成了“D”。您告诉自己信任的朋友,代码是“后移两位”。这样您的朋友在收到消息时就可以进行解码,从而得知消息的内容。任何其他获得该消息的人看到的只是无意义的内容。
公钥加密——公钥加密使用公钥和私钥相结合的方法。私钥只有您的计算机知道,而公钥由您的计算机告诉将要进行安全通信的所有计算机。要对加密消息进行解码时,计算机必须使用发送消息的计算机所提供的公钥和它自己的私钥。
密钥基于散列值。这个值是使用散列算法,根据一个基本输入数字计算出来的。关于散列值的重要一点是,如果不知道用于创建散列值的数据,则几乎不可能推导出原始输入数字。下面是一个简单示例:
输入数字
散列算法
散列值
10667
输入数字乘以143
1525381
毫无疑问,要判断出值1525381是10667和143相乘的结果会是多么困难。但如果知道乘数是143,那么便可以很轻松地计算出值10667。公钥加密远比这个示例复杂得多,但基本概念是一样的。公钥通常使用复杂的算法和非常大的散列值来进行加密,例如使用40位甚至128位的数字。128位的数字可能有2128种不同组合,这个组合数相当于270万个奥运会标准泳池中水分子的数量。即便是您能够想像出的最小的水滴,其中也包含数十亿个水分子!
数字证书——要大规模(例如一个安全的Web服务器所需的规模)实施公钥加密,就需要另外的方法,而这正是数字证书的用途所在。从根本上说,数字证书是一小段信息,它声明Web服务器受到名为证书颁发机构的独立来源的信任。证书颁发机构扮演两台计算机都信任的中间人的角色。它确认每台计算机都确实具有所表明的身份,然后为每台计算机提供另一台计算机的公钥。
数字签名标准(DSS)是基于一种使用数字签名算法(DSA)的公钥加密方法。DSS是经过美国政府批准的数字签名格式。DSA算法由一个私钥和一个公钥组成,该私钥只有文档的发送者(签名者)知道。公钥包括四个部分,您可在此页上了解其相关信息。
什么是数字签名篇(2):数字签名是什么?
今天,我读到一篇好文章。
它用图片通俗易懂地解释了,"数字签名"(digital signature)和"数字证书"(digital certificate)到底是什么。
我对这些问题的理解,一直是模模糊糊的,很多细节搞不清楚。读完这篇文章后,发现思路一下子就理清了。为了加深记忆,我把文字和图片都翻译出来了。
文中涉及的密码学基本知识,可以参见我以前的笔记。
====================================================
数字签名是什么?
作者:David Youd
翻译:阮一峰
原文网址:http://www.youdzone.com/signature.html
1.
鲍勃有两把钥匙,一把是公钥,另一把是私钥。
2.
鲍勃把公钥送给他的朋友们----帕蒂、道格、苏珊----每人一把。
3.
苏珊要给鲍勃写一封保密的信。她写完后用鲍勃的公钥加密,就可以达到保密的效果。
4.
鲍勃收信后,用私钥解密,就看到了信件内容。这里要强调的是,只要鲍勃的私钥不泄露,这封信就是安全的,即使落在别人手里,也无法解密。
5.
鲍勃给苏珊回信,决定采用"数字签名"。他写完后先用Hash函数,生成信件的摘要(digest)。
6.
然后,鲍勃使用私钥,对这个摘要加密,生成"数字签名"(signature)。
7.
鲍勃将这个签名,附在信件下面,一起发给苏珊。
8.
苏珊收信后,取下数字签名,用鲍勃的公钥解密,得到信件的摘要。由此证明,这封信确实是鲍勃发出的。
9.
苏珊再对信件本身使用Hash函数,将得到的结果,与上一步得到的摘要进行对比。如果两者一致,就证明这封信未被修改过。
10.
复杂的情况出现了。道格想欺骗苏珊,他偷偷使用了苏珊的电脑,用自己的公钥换走了鲍勃的公钥。此时,苏珊实际拥有的是道格的公钥,但是还以为这是鲍勃的公钥。因此,道格就可以冒充鲍勃,用自己的私钥做成"数字签名",写信给苏珊,让苏珊用假的鲍勃公钥进行解密。
11.
后来,苏珊感觉不对劲,发现自己无法确定公钥是否真的属于鲍勃。她想到了一个办法,要求鲍勃去找"证书中心"(certificate authority,简称CA),为公钥做认证。证书中心用自己的私钥,对鲍勃的公钥和一些相关信息一起加密,生成"数字证书"(Digital Certificate)。
12.
鲍勃拿到数字证书以后,就可以放心了。以后再给苏珊写信,只要在签名的同时,再附上数字证书就行了。
13.
苏珊收信后,用CA的公钥解开数字证书,就可以拿到鲍勃真实的公钥了,然后就能证明"数字签名"是否真的是鲍勃签的。
14.
下面,我们看一个应用"数字证书"的实例:https协议。这个协议主要用于网页加密。
15.
首先,客户端向服务器发出加密请求。
16.
服务器用自己的私钥加密网页以后,连同本身的数字证书,一起发送给客户端。
17.
客户端(浏览器)的"证书管理器",有"受信任的根证书颁发机构"列表。客户端会根据这张列表,查看解开数字证书的公钥是否在列表之内。
18.
如果数字证书记载的网址,与你正在浏览的网址不一致,就说明这张证书可能被冒用,浏览器会发出警告。
19.
如果这张数字证书不是由受信任的机构颁发的,浏览器会发出另一种警告。
20.
如果数字证书是可靠的,客户端就可以使用证书中的服务器公钥,对信息进行加密,然后与服务器交换加密信息。
(完)
什么是数字签名篇(3):扫盲文件完整性校验
近期有网友在博客中留言,希望俺介绍散列值校验文件的知识。所以俺干脆写一篇"文件完整性校验"的扫盲教程。由于本文是扫盲性质,尽量不涉及太技术化的内容。★什么是"完整性校验"?
所谓的"完整性校验",顾名思义,就是检查文件是否完整。那么,什么情况下会导致文件不完整捏?大概有如下几种情况。
1. 感染病毒
比方说你的系统中了病毒,病毒感染了某个软件安装包或者某个可执行程序。那么该文件的完整性就被破坏了。
2. 植入木马/后门
还有一种文件不完整的情况,是被别有用心的人植入木马或后门。比方说某些国内的软件下载站点,它们提供的 Windows 安装光盘镜像已经被安置了后门。
3. 传输故障
这种情况主要发生在网络下载时。因为网络传输是有可能发生误码的(传输错误),另外还有可能下载到快结束的时候断线(没下载全)。这些情况都会导致你下载的文件不完整。
如今的上网环境相比当年的 Modem 拨号,已经有明显改善。所以这种情况应该不多见了。★散列算法(哈希算法)扫盲
◇什么是"散列算法/哈希算法"?
这里所说的"散列"是一种计算机算法,洋文叫做 Hash,有时候也根据音译称为哈希。
散列算法可以把任意尺寸的数据(原始数据)转变为一个固定尺寸的"小"数据(叫"散列值"或"摘要")。◇摘要长度
对于某个具体的散列算法,得到的散列值长度总是固定的。散列值的长度又称"摘要长度"。
以下是常见散列算法的摘要长度
CRC32 32比特(4字节)
MD5 128比特(16字节)
SHA1 160比特(20字节)◇散列算法的特色
1. 不可逆性
从刚才的描述看,散列似乎有点像压缩。其实捏,散列算法跟压缩算法是完全不同滴。压缩算法是可逆的(可以把压缩后的数据再还原),而散列算法是不可逆的。
还有一些人把散列算法称为"加密算法",这也是不对的。因为加密算法是可逆的("加密"的逆操作就是"解密"),而散列算法是不可逆的。
2. 确定性
通过某种散列算法,分别对两个原始数据计算散列值。如果算出来的散列值不同,那么可以 100% 肯定这两段数据是不同的——这就是"确定性"。
但反过来,如果这两段数据的散列值相同,则只能说,这两段数据非常可能相同。所谓的"非常可能",就是说,还达不到百分百。具体原因,请看下一节"散列函数的可靠性"。★关于散列算法的可靠性
◇什么是"散列碰撞"?
刚才说了,存在非常小的可能性,导致两段不同的原始数据,计算出相同的散列值。这种情况称之为"散列碰撞"或"散列冲突"。◇碰撞的类型
散列碰撞的类型,大体上有两种:
1. 随机碰撞
随机碰撞就像买彩票中大奖,完全是出于小概率的偶然因素——你碰巧遇见两个不同的数据(文件),具有相同的散列值。
理论上讲,任何散列算法都存在随机碰撞的可能性,只是可能性有大有小。
2. 人为碰撞
人为碰撞就是说,有人(通常是恶意的攻击者)故意制造散列碰撞,以此来骗过"基于散列值的完整性校验"。◇如何避免碰撞
1. 对于随机碰撞
要避免随机碰撞,很简单,只需要选择摘要长度足够长的散列算法。
拿前面举的3个例子。
CRC32 的摘要长度是 32bit,也就说,最多可以表示 "2的32次方" 这么多种可能性(也就是几十亿,数量级相当于地球总人口)。表面上看貌似很大,其实还不够大。比如当前互联网上的页面总数就已经大大超过几十亿。如果对每个页面计算 CRC32 散列,会碰到很多重复(碰撞)。
而 MD5 的摘要长度是128bit,也就是 2的128次方。这个数字足够大了。通俗地说,从宇宙诞生到宇宙毁灭,你都未必有机会碰见 MD5 的随机碰撞。而 SHA1 的摘要长度是160bit,那就更不用说了。
2. 对于人为碰撞
想避免人为碰撞,要同时兼顾两个因素——散列算法的摘要长度、散列算法的优秀程度。"摘要长度"刚才已经解释了。光说一下"算法的优秀程度"。
如果某个散列算法有缺陷(不够优秀),那么攻击者就可以比较容易地构造出两个不同的原始数据,但却拥有相同的散列值。如此一来,就可以骗过基于散列算法的完整性检查。
典型的例子就是 MD5,MD5算法在过去10多年里曾经非常流行,但是前几年被发现存在严重缺陷。所以,MD5 虽然随机碰撞的概率非常非常低,但人为碰撞的概率可不低。如果你比较注重安全性,尽量不要依赖 MD5 进行完整性校验。★散列值校验的步骤
如今,大伙儿的安全意识越来越高了。相应的,很多知名的软件,除了在官网上提供下载,还会相应提供下载软件的散列值。当你下载好某个软件之后,先在自己电脑里计算一下散列值,然后跟官方网站提供的散列值对比一下。如果散列值一样,通常就说明没问题。再啰嗦一下,尽量不要用 MD5。另外,随着硬件计算能力的提升,即使是 SHA1 也开始变得不安全了。今后 SHA1 会逐步被 SHA256 或 SHA512 替代。
下面,介绍几个常用软件的散列值页面,便于大伙儿查询
微软的产品
到"这个页面"可以查微软发布的所有产品的散列值。微软的产品很多,先根据类型或名称筛选,找到某产品后,点"详细信息",就可以看到 SHA1 散列值。
Firefox 浏览器
打开如下链接,可以看到 Firefox 某个版本的 SHA1 列表(把链接中的 XXXX 替换为版本号,比如18.0.2)。这个列表很长,包括各种语言,各个平台。为了方便起见,你可以先算好 SHA1 散列值,然后到里面搜索该散列值
https://ftp.mozilla.org/pub/mozilla.org/firefox/releases/XXXX/SHA1SUMS★散列值校验的工具——FCIV
前面说完了校验的流程,最后再说一下校验的工具。
考虑到大部分读者是 Windows 用户,俺介绍一下微软官方的 FCIV(全称是 File Checksum Integrity Verifier)。这是一个小巧、绿色、免费的命令行工具,下载页面在"这里"。
因为是命令行工具,你需要先运行 CMD,出现 Windows 的命令行界面(黑窗口)之后,在其中使用该工具。下面是 FCIV 功能简介。◇计算单个文件
比如你有一个微软的系统安装光盘镜像,位于 C:\download\Windows.iso 那么,用如下命令可以计算该文件的 SHA1 散列值fciv -sha1 C:\download\Windows.iso
◇批量计算某个目录
FCIV 支持批量计算某个目录下的文件散列值。比方说,可以用如下命令可以计算 C:\download 目录下的每一个文件的 SHA1fciv -sha1 C:\download\
◇批量计算并存储,供前后对比
比如 C:\download 目录下有很多文件。俺想知道过一段时间之后,这些文件是否被改过。那么,可以先用如下命令,把该目录中所有文件的 SHA1 散列都存储到某个 xml 文件中(本例中,保存到 C:\hash.xml,你也可以保存到其它文件名)fciv -sha1 C:\download\ -xml C:\hash.xml
过了一段时间后,你可以用如下命令,就可以看出哪些文件被修改过。fciv -sha1 C:\download\ -xml C:\hash.xml -v
★什么是"数字签名"?
所谓的"数字签名",通俗来说,就是采用某种技术手段来证明某个信息确实是由某个机构(或某个人)发布的。因为其用途有点类似于传统的手写签字,所以称之为"数字签名"。
数字签名的技术实现需要依赖于"非对称加密技术"和"数字证书体系"。关于"非对称加密技术",考虑到篇幅,今天就不展开了;关于"数字证书",3年前写过一篇扫盲(在"这里"),有兴趣的同学可以瞧一瞧,这里就不再啰嗦了。★Windows 平台的"数字签名"
数字签名有很多种,大伙儿比较常见的是 Windows 平台下的数字签名。如今大型 IT 公司(比如:微软、Google、苹果、等)或者是知名开源组织发布的 Windows 软件,安装文件通常都内置数字签名。所以俺着重介绍 Windows 平台的数字签名该如何校验。◇利用资源管理器验证单个文件
大概从 Windows 2000开始,Windows 就支持在某个文件尾部附加数字签名,并且 Windows 的资源管理器内置了对数字签名的校验功能。
下面俺通过几个截图,简单介绍一下:如何在资源管理器中验证数字签名。
比如,俺手头有一个 Firefox 的安装文件(带有数字签名)。当俺查看该文件的属性,会看到如下的界面。眼神好的同学,会注意到到上面有个"数字签名"的标签页。如果没有出现这个标签页,就说明该文件没有附带数字签名。
选择该标签页,出现如下界面。
顺便说一下,某些数字签名中没有包含"邮件地址",那么这一项会显示"不可用";同样的,某些数字签名没有包含"时间戳",也会显示"不可用"。不要紧张,这里显示的"不可用"跟数字签名的有效性没关系。
一般来说,签名列表中,有且仅有一个签名。选中它,点"详细信息"按钮。跳出如下界面:
通常这个界面会显示一行字:"该数字签名正常"(图中红圈标出)。如果有这行字,就说明该文件从出厂到你手里,中途没有被篡改过(是原装滴、是纯洁滴)。
如果该文件被篡改过了(比如,感染了病毒、被注入木马),那么对话框会出现一个警告提示"该数字签名无效"(图中红圈标出),界面如下。一旦出现数字签名无效,那这个文件就不要再使用了。◇利用命令行工具批量验证
用上面的图形化界面进行验证,比较傻瓜化。但有一个缺点——如果你要验证的文件比较多,一个一个去点对话框,手会抽筋滴。所以,俺再介绍一下命令行的工具,适合进行批量验证。
这个命令行工具就是微软官网提供的 SigCheck,由大名鼎鼎的 SysInternals 出品(SysInternals 已经被微软收购)。跟前面提到的 FCIV 类似,它也是一个小巧、绿色、免费的命令行工具,下载页面在"这里"。
使用如下命令,可以批量检查某个目录下(包括多层嵌套子目录)的所有可执行程序,并且把"无签名"或者"签名无效"的文件列出来。sigcheck -u -e -s 某个目录的路径名先提醒一下,检查数字签名的有效性本身就比较慢,如果目录下的文件很多,你要有足够的耐心等它运行完毕。
稍微补充一下,这个 SigCheck 命令还顺便提供了散列值(命令格式如下),该功能可替代 FCIV 的头两个功能,可惜无法替代 FCIV 的第三个功能。sigcheck -h 某个目录或文件的路径名
★PGP/GPG 的数字签名
刚才聊了 Windows 平台滴。但是,切莫以为只有 Windows 平台才提供数字签名——其它的数字签名工具还有好几种。名气比较大的数字签名工具当属 PGP/GPG。这两个缩写就像绕口令,很容易搞混。PGP 是商业软件,而 GPG 是 GnuPG 的缩写,是 GNU 的开源项目。后者是前者的开源替代品,两者的功能基本兼容。
这俩玩意儿的功能很强悍,校验数字签名对它俩只是小菜一碟。考虑到大伙儿平时较少碰到 GPG 的签名,俺今天就偷懒一下,暂不介绍。以后如果有空,再专门写一篇帖子介绍 PGP/GPG 的各种功能和使用场景。俺博客上,和本文相关的帖子(需翻墙):如何防止黑客入侵(系列)数字证书及CA的扫盲介绍
版权声明本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想和本文原始地址:http://program-think.blogspot.com/2013/02/file-integrity-check.html
