數字證書是便于用戶在交易中相互驗證身份的一種憑證。就像護照可以證明一個人作為一國公民的身份一樣,數字證書的目的也是為用戶在生態系統內建立身份。由于數字證書用于識別接收加密數據的用戶或驗證信息簽名者的身份,因此保護證書的真實性和完整性對于保持系統的可信度來說至為關鍵。公鑰基礎設施(PKI)用數字證書把公鑰與相關聯的用戶(私鑰的擁有者)捆綁在一起。
發證機構(CA)是公鑰基礎設施(PKI)中負責建立分層信任鏈的核心成分。CA簽發用于認證用戶身份的數字證書。CA支撐著PKI以及PKI支持的服務的安全,因此難免成為復雜定向攻擊的焦點。為了降低發證機構面臨的攻擊風險,物理和邏輯控制以及強化機制(例如硬件安全模塊)已成為確保PKI完整性的必要條件。
在公鑰加密法中,代碼簽名是基于證書的數字簽名的一種特殊用法,可供機構用來驗證軟件發行商的身份并證明軟件自發布以來不曾被人更改。
數字簽名為軟件發行商和內部開發團隊提供了一種得到證明的密碼進程,可幫助最終用戶抵御各種網絡安全危險,其中包括高級持續威脅(APT),如Duqu 2.0等。數字簽名可確保軟件的完整性和真實性。數字簽名使最終用戶能夠驗證發行商的身份,同時驗證安裝包自簽名以來沒有被人更改過。所有現代操作系統都會在安裝過程中查找并驗證數字簽名,系統彈出的代碼沒有簽名的警告可能會導致最終用戶放棄安裝。
數字簽名為軟件發行商和內部開發團隊提供了一種得到證明的密碼進程,可幫助最終用戶抵御各種網絡安全危險,其中包括高級持續威脅(APT),如Duqu 2.0等。數字簽名使最終用戶能夠驗證發行商的身份,同時驗證安裝包自簽名以來沒有被人更改過,從而可以保證軟件和文檔的完整性和真實性。
數字簽名絕不僅僅是傳統簽名的電子版,它借助密碼技術大幅度提高了安全性和透明度,而這兩者對于建立信任和法律有效性都至為關鍵。作為公鑰加密法的一種應用,數字簽名可以應用于許多不同的環境,其中從公民提交在線納稅申報表,到采購人員與供應商簽訂合同,到電子發票,再到軟件開發人員發布更新代碼,應有盡有。
時間戳是對數字簽名實踐的補充,使機構得以能夠記錄數字項目(如消息、文檔、交易或軟件等)被簽名的時間,體現出越來越高的價值。對于某些應用來說,數字簽名的計時至關重要,這在股票交易、彩票發行和一些法律流程中表現得尤為突出。即便時間不是應用的固有因素,時間戳也可以為保存記錄和審計流程帶來幫助,因為它提供了一種機制來證明,數字證書在被使用的那個時刻是否合法有效。數字簽名解決方案日益增長的重要性產生了對時間戳的相應需求,因此許多軟件程序(例如Microsoft Office)都支持時間戳功能。
安全的重要性
既然時間戳會增加實際價值,那么時間戳就必須是安全的。
不安全時間戳帶來的風險
l? 對電子進程的無法信任可能會導致用高成本紙質記錄備份電子記錄。
l? 攻擊者可以通過操縱計算機時鐘來輕松破壞基于軟件的時間戳進程,從而使整個簽名進程失效。
l? 不安全的時間戳或數字簽名進程會使機構面臨合規問題和法律挑戰。
l? 簽名私鑰和證書即便被撤銷以后,用戶也依然能夠訪問它們。如果沒有時間戳,機構將無從證明簽名究竟是在證書被撤銷之前還是之后創建的。