從數(shù)字簽名的工作原理看電子商務(wù)安全性

字號:

數(shù)字簽名已成為信息社會中人們保障網(wǎng)絡(luò)身份安全的重要手段之一,然而,隨著安全威脅的日益猖獗,數(shù)字簽名還能給企業(yè)和消費(fèi)者帶來安全嗎?
    世界各地制訂了賦予數(shù)字簽名合法地位的法律。一些人認(rèn)為,這些法律對電子商務(wù)和在線金融服務(wù)公司而言無疑是重大進(jìn)展,而有些人卻指出了隱患。大家都想搞清楚的問題就是:我們能夠從數(shù)字簽名得到什么?
    若要評估這些法律條例產(chǎn)生的影響,就要知道數(shù)字簽名的工作原理,這要對公匙加密法有一個(gè)基本認(rèn)識。
    最重要的問題就是:一、公匙和相應(yīng)的私匙有著特殊的關(guān)系:一把密匙加密的內(nèi)容只能由另一把密匙來解密;二、通過一家可信賴的認(rèn)證中心(CA)頒發(fā)及簽名的數(shù)字證書(根證書),私匙與你的身份密切相關(guān)。
    數(shù)字簽名是涉及簽名信息和簽名人私匙的計(jì)算結(jié)果。首先,簽名人的軟件對發(fā)送信息進(jìn)行散列函數(shù)運(yùn)算后,生成信息摘要(message digest)——這段信息所特有的長度固定的信息表示。然后,軟件使用簽名人的私匙對摘要進(jìn)行解密,將結(jié)果連同信息和簽名人的數(shù)字證書一同傳送給預(yù)定的接受者。而接受者的軟件會對收到的信息生成信息摘要(使用同樣的散列函數(shù)),并使用簽名人的公匙對簽名人生成的摘要進(jìn)行解密。接受者的軟件也可以加以配置,驗(yàn)證簽名人證書的真?zhèn)?,確保證書是由可信賴的CA頒發(fā),而且沒有被CA吊銷。如果兩個(gè)摘要一樣,就表明接受者成功核實(shí)了數(shù)字簽名。
    經(jīng)核實(shí)的數(shù)字簽名向接受者保證了兩點(diǎn):一、信息未經(jīng)改動;二、信息的確來自簽名人。后者就成了對原產(chǎn)地證明(Proof of Origin)的認(rèn)可,即加密認(rèn)可這一概念的基礎(chǔ)。
    這正是癥結(jié)所在。更確切地說,經(jīng)核實(shí)的數(shù)字簽名向接受者保證信息未經(jīng)改動,而且信息是用簽名人的私匙簽名的。但仍存在欺詐的可能性。在私匙持有人毫不知情的情形下,有人會利用無人照管的臺式機(jī)對合同進(jìn)行數(shù)字簽名。由于“始終聯(lián)通”的互聯(lián)網(wǎng)連接如線纜調(diào)制解調(diào)器和DSL日益普及,黑客竊取私匙的機(jī)會也隨之激增。消費(fèi)者的利益就容易受到侵害。
    還存在另一種可怕的情景:將欺詐作為理由,即完全是想終止簽署合同的簽名人可能以合乎法律為由,拒絕履行合法簽署的合同。這樣,企業(yè)的利益就容易受到侵害。
    明智的個(gè)人和機(jī)構(gòu)一定要意識到這些危險(xiǎn)。大多數(shù)企業(yè)和個(gè)人知道,始終沒法消除所有風(fēng)險(xiǎn),于是專注于如何降低風(fēng)險(xiǎn),而不是完全避免風(fēng)險(xiǎn)。
    互聯(lián)網(wǎng)連接“始終聯(lián)通”的消費(fèi)者在用完后關(guān)掉計(jì)算機(jī),并使用可靠的個(gè)人防火墻軟件阻止黑客入侵,就可以盡量減小風(fēng)險(xiǎn)。另外,也可以使用智能卡存放私匙,不用時(shí)就把卡鎖在抽屜里。
    企業(yè)要考慮“風(fēng)險(xiǎn)連續(xù)體”,采取措施盡量降低風(fēng)險(xiǎn)。數(shù)字簽名就可以降低風(fēng)險(xiǎn)。目前,在電子商務(wù)網(wǎng)站上購買商品的最通常的方式就是,通過安全連接,把信用卡號碼、姓名、開賬地址和送貨地址發(fā)送到電子商務(wù)公司的服務(wù)器。那么,那家公司如何知道這些信息是你本人輸入以及信用卡的使用得到了你的認(rèn)可呢?較之于以往,數(shù)字簽名提供了比較放心的保證:認(rèn)可這筆交易的確實(shí)是你。
    盡管有時(shí)被夸大,但數(shù)字簽名所具有的好處還是不可否認(rèn)的。例如,數(shù)字簽名有助于迅速解決糾紛。向購買者重新發(fā)送一份數(shù)字簽名的采購單,以核實(shí)訂單要比傳真由手寫簽名的采購單方便得多。實(shí)際上,并非所有糾紛都會導(dǎo)致訴訟。如果是一家公司的工作人員在采購單上簽名,而接受者有數(shù)字簽名作為證據(jù),就不會有太多糾紛了。
    數(shù)字簽名可以幫助自動化,從而帶來諸多好處,包括處理速度更快、效率提高;降低出錯(cuò)率和管理成本。雖然數(shù)字簽名不是自動化所必需的,但采用數(shù)字簽名可以獲得遞增效益。
    數(shù)字簽名完全適合于人們往往隨手?jǐn)y帶的具有上網(wǎng)功能的無線設(shè)備。顧客抱怨,在臺式機(jī)上進(jìn)行客戶端數(shù)字簽名仍很不方便,證書注冊過程也令人混淆。相比之下,為無線設(shè)備開發(fā)應(yīng)用軟件的人正在竭力確保注冊過程對用戶而言是透明的。他們從聯(lián)網(wǎng)世界的缺陷當(dāng)中汲取了經(jīng)驗(yàn)。
    總地來說,涉足高價(jià)值交易如銀行和金融行業(yè)的公司會首先樂于接受數(shù)字簽名,而這些行業(yè)的一些公司早已在采用這項(xiàng)技術(shù)。臺式機(jī)和無線平臺都將得到支持,因?yàn)橄M(fèi)者在進(jìn)行這類交易時(shí)需要既快速,又方便。