【网络安全-数字签名与数字证书】

一、概念

1.数字签名= 防伪造 + 防篡改 + 防抵赖（相当于 “电子手写签名 + 指纹”）。
2.数字证书= 公钥的身份证，证明这个公钥确实是某人的（相当于 “公钥的户口本”）。
3.公钥私钥体系中，公钥用于加密和认证，私钥用于解密和签名。
4.数字签名和验证过程：
①网站向CA认证中心申请证书，CA认证中心给网站颁发证书。
②用户向CA确认证书是否是CA颁发给网站的，CA确认后，用户访问网站。
③用户使用公钥加密消息发送给网站，网站用私钥解密消息并接收。
④网站使用私钥对回发的消息签名，用户用公钥对接收的消息进行验证（认证）。
（网站发出的信息，需要进行签名（私钥），用户接收的信息，需要被验证（公钥））
5.A对信息进行数字签名（使用A的私钥），B接收到后，需要使用A的公钥进行解密，得到摘要后，将前后摘要进行对比。

二、数字签名

1.作用：身份认证、完整性、不可否认。
2.原理：用私钥签，用公钥验，哈希保证完整性，私钥加密保证身份，公钥验证保证可信。
3.发送方签名过程：对原文做哈希（MD5/SHA256/SM3），得到摘要，用自己的私钥加密这个摘要 →生成数字签名，把原文+签名一起发出去。
4.接收方验签过程：收到原文+签名，用发送方的公钥解密签名，得到摘要1，自己对原文哈希，得到摘要2，对比摘要1和摘要2：一样 → 没篡改、身份真实，不一样 → 被改了或伪造。

三、数字证书

1.由CA 机构（证书颁发机构）签发。
2.数字证书的数据域包含：证书、版本号、序列号、算法标识、颁发者、有效期、有效起始日期、有效终止日期、使用者、使用者公钥信息、公钥算法、公钥、颁发者唯一标识、使用者唯一标识、扩展、证书签名算法、证书签名。
2.证书=公钥+身份信息+CA的签名
3. 信任链：信任 CA → 就信任CA签的证书 → 就信任证书里的公钥。