關於數字簽名及驗証方法

有新手網友詢問數字簽名的問題，美博園編輯找到了自己幾年前寫的一個數字簽名驗証教程，修改後從新發佈於此。數字簽名的主要功能是：保證信息傳輸的完整性、發送者的身份認證、防止交易中的抵賴發生。數字簽名技術是將摘要信息用發送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發送的公鑰才能解密被加密的摘要信息，然後用HASH函數對收到的原文產生一個摘要信息，與解密的摘要信息對比。如果相同，則說明收到的信息是完整的，在傳輸過程中沒有被修改，否則說明信息被修改過，因此數字簽名能夠驗証信息的完整性。

｢數字簽名｣是個加密的過程，｢數字簽名驗証｣是個解密的過程。

一些公司發布的軟體，如微軟的產品、升級補丁、卡巴、自由門、無界瀏覽、賽風等翻牆軟體，等等，軟體都自帶有數字簽名，下載後可以驗証其數字簽名來確認是否正版鑒別真偽。

一：簡單驗証方法：

滑鼠右鍵點待驗証的軟體 ==> 彈出右鍵菜單 ==> 屬性 ==> 數字簽名 ==> 點選框中的公司名 ==> 細節 ==> 彈出新窗口 ==> 注意看上部是不是顯示 ｢該數字簽名正常｣ ！ ==> 然後點｢瀏覽證書｣ ==> 彈出新窗口 ==> 看看是不是軟體發布者的公司名和數字證書有效期，如果完全一致就表明是正版軟體了。更進一步的驗証請參看下面的圖文詳細教程。

若要進一步認證軟體簽發者的證書是否屬假冒，請點擊上圖 "查看證書"按鍵，下面分兩步，實質上驗証效果是一樣。
其一是，進一步查看完整的公司名（必需100％的與原發布者的公司名相同，包括其大小寫的區別）和簽名有效期；
其二是，點｢詳細信息後，可以看到證書的微縮圖是28 11 bc cb c3 de d8 41 96 fb 68 a4 4c b0 a9 8b 44 76 cb f3這樣的一串數字，這是與發布者的專用公司名對應的唯一的指紋標識。

驗証結果：：

1）如果某公司發布的軟體本應該有數字簽名，但驗証時卻沒有"數字簽名"頁；
2）簽發者不是發布公司的公司名；
3）簽名失效

說明此軟體文件已被修改或是假冒。

二、批量驗証｢數字簽名｣

請參考美博園以前的文章：

SigcheckGUI_v1.09 批量驗証 數字簽名 的可視化工具官方綠色版下載

附註：

證書頒發機構 (CA)發給某個公司的數字簽名（證書）一般包括一個公鑰及其有效期、姓名、發證機構、序列號和發證者的數字簽名等資料，而且使用的是不可逆的SHA演算法。
就是說數字簽名（證書）是有有效期的，在有效期範圍內的簽名才是有效的。
比如，軟體公司要發布某個版本的軟體，在有效期內用證書頒發機構 (CA)發給該公司的證書籤名才是有效的。那麼，在那個有效期之內，公司發布的那個版本的軟體只要驗証數字簽名正常，說明是該公司發布的正版。但是之後，有效期會到期，由於那個軟體在有效期內已經是那個公司的簽名驗証了正常的，所以，證書失效後並不影響用戶使用的那個特定版本的軟體是正版。
數字簽名有效期到了之後，還可以申請加時間戳來延長證書有效期，以保證在密鑰等過期後證實簽名的有效性。

* * *
※ 本文由美博園翻牆網（allinfa.com）原創教程發布。
* * *