数字证书是便于用户在交易中相互验证身份的一种凭证。就像护照可以证明一个人作为一国公民的身份一样,数字证书的目的也是为用户在生态系统内建立身份。由于数字证书用于识别接收加密数据的用户或验证信息签名者的身份,因此保护证书的真实性和完整性对于保持系统的可信度来说至为关键。公钥基础设施(PKI)用数字证书把公钥与相关联的用户(私钥的拥有者)捆绑在一起。
发证机构(CA)是公钥基础设施(PKI)中负责建立分层信任链的核心成分。CA签发用于认证用户身份的数字证书。CA支撑着PKI以及PKI支持的服务的安全,因此难免成为复杂定向攻击的焦点。为了降低发证机构面临的攻击风险,物理和逻辑控制以及强化机制(例如硬件安全模块)已成为确保PKI完整性的必要条件。
在公钥加密法中,代码签名是基于证书的数字签名的一种特殊用法,可供机构用来验证软件发行商的身份并证明软件自发布以来不曾被人更改。
数字签名为软件发行商和内部开发团队提供了一种得到证明的密码进程,可帮助最终用户抵御各种网络安全危险,其中包括高级持续威胁(APT),如Duqu 2.0等。数字签名可确保软件的完整性和真实性。数字签名使最终用户能够验证发行商的身份,同时验证安装包自签名以来没有被人更改过。所有现代操作系统都会在安装过程中查找并验证数字签名,系统弹出的代码没有签名的警告可能会导致最终用户放弃安装。
数字签名为软件发行商和内部开发团队提供了一种得到证明的密码进程,可帮助最终用户抵御各种网络安全危险,其中包括高级持续威胁(APT),如Duqu 2.0等。数字签名使最终用户能够验证发行商的身份,同时验证安装包自签名以来没有被人更改过,从而可以保证软件和文档的完整性和真实性。
数字签名绝不仅仅是传统签名的电子版,它借助密码技术大幅度提高了安全性和透明度,而这两者对于建立信任和法律有效性都至为关键。作为公钥加密法的一种应用,数字签名可以应用于许多不同的环境,其中从公民提交在线纳税申报表,到采购人员与供应商签订合同,到电子发票,再到软件开发人员发布更新代码,应有尽有。
时间戳是对数字签名实践的补充,使机构得以能够记录数字项目(如消息、文档、交易或软件等)被签名的时间,体现出越来越高的价值。对于某些应用来说,数字签名的计时至关重要,这在股票交易、彩票发行和一些法律流程中表现得尤为突出。即便时间不是应用的固有因素,时间戳也可以为保存记录和审计流程带来帮助,因为它提供了一种机制来证明,数字证书在被使用的那个时刻是否合法有效。数字签名解决方案日益增长的重要性产生了对时间戳的相应需求,因此许多软件程序(例如Microsoft Office)都支持时间戳功能。
安全的重要性
既然时间戳会增加实际价值,那么时间戳就必须是安全的。
不安全时间戳带来的风险
l 对电子进程的无法信任可能会导致用高成本纸质记录备份电子记录。
l 攻击者可以通过操纵计算机时钟来轻松破坏基于软件的时间戳进程,从而使整个签名进程失效。
l 不安全的时间戳或数字签名进程会使机构面临合规问题和法律挑战。
l 签名私钥和证书即便被撤销以后,用户也依然能够访问它们。如果没有时间戳,机构将无从证明签名究竟是在证书被撤销之前还是之后创建的。
