網上交易的衛兵 數字證書和數字簽名

2021-09-26 14:00:33 字數 3117 閱讀 1365

網上交易的衛兵—數字證書和數字簽名

cfca

本文力圖以最淺顯的語言解釋數字證書和數字簽名的科學原理,以及它們對網上交易資訊的安全保障機制,可供各位網民參考。

網上銀行交易中的安全問題

在網上交易中,交易雙方互不見面,有兩個安全問題是會引起擔心的。第乙個問題是交易雙方身份是否真實,會不會被人假冒。換句話說,就是在網上傳送交易資訊的主體是否是真實的。第二個問題是有關交易的資訊,如對方的銀行賬號、金額等是否屬實,有沒有被人篡改過。

在傳統交易中,交易者身份的真實性通過各種證件的出示和驗證得到檢驗;交易資訊的真實有效性則通過簽名蓋章來解決。

然而在網上交易中,傳統的實物證件的查驗和手寫的簽名蓋章都不可能實現。那這兩個問題又是怎麼解決的呢?有辦法。那就是用含有先進科技的數字證書和數字簽名。

公鑰密碼技術保護交易資訊的安全

我們還是從網上傳遞的資訊講起。

兩個人在網際網路上作交易,保護交易資訊的手段有多種,其中最重要的手段是資訊加密技術。加了密的資訊只有用金鑰才能解開,雙方可以提前約定金鑰,只要金鑰妥善保管,只有買賣雙方知道,任何其他人破不了密,交易資訊的傳遞就安全。現代的密碼技術強度很大,可以充分地保證密碼資訊的安全。(請讀者牢記這一事實,它是數字簽名和數字證書存在的基礎。)

但是在網際網路上,參加交易的人很多,例如銀行,要面對成千上萬的客戶。想要乙個乙個地與每個客戶約定金鑰就變得不可能了。為了解決這個問題,一種新型的密碼技術——公鑰密碼技術應運而生。在這種密碼技術中,每個通訊者擁有一對獨特的金鑰——公鑰和私鑰。公鑰可以在網上公開,私鑰則密不示人,而且是唯一的。

如果某甲要向某乙傳送交易資訊,就用在網上公開的某乙的公鑰來加密資訊,送出去,某乙收到加密的資訊後可以用自己的私鑰來解密。其他人即使截獲了加密的資訊也無計可施,因為沒有某乙的私鑰是解不了密的。這樣就保證了交易資訊的安全。反過來,某乙向某甲發資訊的過程可依此類推。

數字簽名的原理

利用公鑰技術還可以達到另乙個目的,就是解決資訊的完整性和有效性。

如果某甲用自己的私鑰加密交易資訊,傳給某乙,某乙可以用某甲的公鑰來解密資訊。這時,這個被加密的交易資訊,例如支付的金額,賬號等就是完整、有效的,同時也是不可抵賴的。這是因為某甲的私鑰是世界唯一的,別人不可能掌握,如果有人篡改了加密資訊,某乙將無法解密。那麼,從效用上講,這個用私鑰加密交易資訊的動作就像為乙個檔案簽名蓋章一樣,經過「簽名」後的資訊是完整、有效的,不可篡改,也不可抵賴。當然,實際上的數字簽名機制和過程比這要複雜一些。

如果交易資訊很長,用私鑰去加密資訊將花費較長的時間,效率太低,使用者無法接受。因此需要使用一種數學演算法——雜湊演算法——先對這段資訊作一次數學變換,把這段資訊進行壓縮,形成了一段短短的「數字摘要」,讓數字摘要來「代表」資訊本身。可以通過檢驗數字摘要,藉以判斷資訊本身是否發生了改變。這樣,我們才可以構建真正實用的數字簽名。

某甲在發信前使用雜湊演算法求出待發資訊的數字摘要,然後用私鑰對這個數字摘要進行加密而形成一段資訊,這段資訊就稱為數字簽名。某甲將這個數字簽名資訊附在待發資訊後面,一起傳送過去。某乙收到資訊後,一方面用某甲的公鑰對數字簽名解密,得到了摘要h;另一方面把收到的資訊本身用同樣的雜湊演算法求出另乙個摘要h』,可稱為摘要的副本。再把h和h』相比較,看看兩者是否相同。根據雜湊演算法的特性,如果兩個摘要h和h』完全符合,證明資訊是完整的;如果不符合,就說明資訊被人篡改了。 

由於摘要一般只有128位或160位位元,比資訊本身要短千百倍,數字簽名的過程一般在一秒鐘內即可完成。

由於數字簽名具有數學嚴格性,黑客對交易資訊哪怕只改動乙個字乙個位元,系統都會發現識破。又因為私鑰是不可仿造、偽造的,因此從某種意義上說,數字簽名比手寫簽名更嚴格可靠。2023年國家頒發的《中華人民共和國電子簽名法》賦予了電子簽名的法律意義,其規定,「可靠的電子簽名能夠與手寫簽名、蓋章一樣,受到法律保護」。

數字證書的原理

說到這,明眼的觀眾一定會發現乙個關鍵的問題,就是網上公開的公鑰必須真實可靠,因為黑客也可以公布乙個假的公鑰冒充某甲或某乙來引你上鉤呀。怎麼來保證這個公鑰是真的呢?

這時候就要用到數字證書了。我們知道,身份證是由權威機關公安局頒發的,我們相信公安局,因而我們能夠通過檢驗身份證,相信持有某甲身份證的個人就是某甲本人。同樣,數字證書也是要由權威的認證機構來頒發。例如,中國金融認證中心就是乙個權威可信的認證機構,它為數百萬網上銀行的使用者頒發了數字證書。

那麼,數字證書怎樣完成網上身份的認證呢?

把數字證書說成是網上身份證,這是一種形象的比喻。實際上,數字證書所證明的是公鑰的真實性。

認證中心對使用者的身份進行嚴格的審核後,為使用者頒發數字證書。它通過公鑰加密技術對使用者的公鑰資訊和使用者的身份資訊作了數字簽名,把使用者所宣稱的身份資訊與公鑰繫結在一起。於是,包含有使用者個人身份資訊、公鑰和數字簽名的乙個特殊的電子檔案就形成了數字證書。數字證書可以儲存在硬碟裡,也可以儲存在軟盤或usb key裡。

儲存數字證書的usb key

在網上交易中,使用者雙方要互相驗證這個證書,使用者相信認證中心的數字簽名,也就相信這個公鑰是真實的,因而相信公鑰的持有者所發來的資訊是真實的。雖然看上去數字證書認證過程與傳統的身份證認證有很大差別,但從目的和效用上看,兩者是一致的。都是證明傳送交易資訊主體的真實性。

數字證書的認證、數字簽名的發生與核驗都是由專用的應用軟體來自動實現的,速度極快,眨眼間就完成了,使用者並不需要費心做什麼操作。

數字證書在網上交易中能夠保證交易的安全。

剛才我們提到了,黑客利用種種手段,盜取銀行客戶的密碼、賬號,進而企圖盜竊客戶帳戶上的資金。如果網上銀行業務採用了數字證書和數字簽名的安全機制,黑客即使輸入了正確的密碼、賬號也不能夠盜走客戶帳戶裡的資金,因為黑客不掌握客戶的數字證書,也不能進行數字簽名,網上銀行系統就會拒絕交易,使黑客最終功虧一簣。

中國人民銀行、中國銀監會、公安部、國家工商總局曾聯合下發了《關於加強銀行卡安全管理預防和打擊銀行卡犯罪的通知》,其中強調:持卡人開通網上銀行轉賬的,應採用數字證書、電子簽名等安全認證方式,否則單筆轉賬金額不應超過1000元人民幣,每日累計轉賬金額不得超過5000元人民幣。

中國金融認證中心發布的2023年度網上交易調查結果中顯示,數字證書版網上銀行由於其較高的安全性而被超過半數(51.7%)的個人使用者所選擇,而在企業網銀中這一比例高達65.1%。

有人把數字證書暱稱為網上交易的衛兵。請廣大網上銀行使用者務必重視它,使用它。

美女CEO自殺網上交易金幣壓力巨大

2月27日techinasia 訊息,新加坡位元幣交易平台firstmeta的28歲美女ceo秋 萊德科 autumnradtke 日前自殺身亡,自殺原因未知。firstmeta是新加坡一家創業公司,該公司經營著乙個位元幣等虛擬貨幣的交易平台。該公司ceo秋 萊德科自殺身亡的訊息不久前在facebo...