实施数字签名的利与弊 (实施数字签名的目的)

教程大全 2025-07-18 09:12:16 浏览次

问：我们公司已经部署了Outlook 2003、Exchange 2007和Active Directory 2003，现在我们希望在Outlook 2003中引入数字签名技术，您认为实施数字签名在安全性方面有何利弊？

答：数字签名不仅可以用于验证特定个人账户生成的信息，而且还可以用于验证该信息是否是由账户的实际所有者生成的，就像在签署支票或法律文件时，你的签名可以用于验证你认可此交易一样。数字签名的好处是可以确保被签名的信息是由可信账户创建的，并且未受到任何篡改。数字签名算法计算要签名的实际信息并生成一个值。如果已签名的信息被添加或删除了任何内容，则验证数字签名的校验值时将会返回一个错误。

实施数字签名需要使用两种不同类型的证书（选一种）对信息进行签名：自己发行的证书或由正式的证书颁发机构颁发的证书。数字签名的利弊都与信任密切相关。如果你们只准备在企业内部使用数字签名，则可以使用自己发行的证书。但是，就像你自己制作的汽车牌照和驾驶证无法证明你的财产一样，你自己发行的数字证书将不能获得外界权威机构的认可。这将会打破你们与其他企业之间的内容信任。

因此，如果你们希望使用能够获得外界认可的证书，则需要通过一个正式的证书颁发机构获得多组织间的数字签名信任。使用这种证书的不利之处在于，你们必须为获得的每份证书支付一定的费用，通常是按照每用户证书付费。

从使用的角度来说，实施数字签名的一个普遍问题是要对用户进行意识培训。制定适当的用户培训计划很有必要，使用户明白什么时候应该使用数字签名验证收到的信息、如何获得数字证书以进行数字签名。当然，还要对管理员进行培训，使其掌握如何颁发和撤销数字签名证书的方法。

最后，还要注意数字签名证书的备份和存储问题。与内容加密证书不同的是，数字签名证书一旦被加载到用户的配置文件中，则必须被标记为千万不可备份。内容加密证书应该备份，以防多年以后你必须用其解密文件。因为数字签名具有不可抵赖性——只有证书的持有者才可以访问证书，所以数字签名证书绝对不可备份。如果备份了数字签名证书，则其他人可能通过访问备份的证书对信息进行签名，将会破坏数字签名的不可抵赖性，从而使数字签名证书的价值荡然无存。

【编辑推荐】

网络安全涉及的内容有哪些？

为了保证企业信息的安全性，企业CIMS网至少应该采取以下几项安全措施：(1)数据加密/解密数据加密的目的是为了隐蔽和保护具有一定密级的信息，既可以用于信息存储，也可以用于信息传输，使其不被非授权方识别。数据解密则是指将被加密的信息还原。通常，用于信息加密和解密的参数，分别称之为加密密钥和解密密钥。对信息进行加密/解密有两种体制，一种是单密钥体制或对称加密体制(如DES)，另一种是双密钥体制或不对称加密体制(如RSA)。在单密钥体制中，加密密钥和解密密钥相同。系统的保密性主要取决于密钥的安全性。双密钥体制又称为公开密钥体制，采用双密钥体制的每个用户都有一对选定的密钥，一个是公开的(可由所有人获取)，另一个是秘密的(仅由密钥的拥有者知道)。公开密钥体制的主要特点是将加密和解密能力分开，因而可以实现多个用户加密的信息只能由一个用户解读，或者实现一个用户加密的消息可以由多个用户解读。数据加密/解密技术是所有安全技术的基础。 (2)数字签名数字签名机制提供了一种鉴别方法，以解决伪造、抵赖、冒充等问题。它与手写签名不同，手写签名反映某个人的个性特征是不变的；而数字签名则随被签的对象而变化，数字签名与被签对象是不可分割的。数字签名一般采用不对称加密技术(如RSA)：通过对被签对象(称为明文)进行某种变换(如文摘)，得到一个值，发送者使用自己的秘密密钥对该值进行加密运算，形成签名并附在明文之后传递给接收者；接收者使用发送者的公开密钥对签名进行解密运算，同时对明文实施相同的变换，如其值和解密结果一致，则签名有效，证明本文确实由对应的发送者发送。当然，签名也可以采用其它的方式，用于证实接收者确实收到了某份报文。 (3)身份认证身份认证也称身份鉴别，其目的是鉴别通信伙伴的身份，或者在对方声称自己的身份之后，能够进行验证。身份认证通常需要加密技术、密钥管理技术、数字签名技术，以及可信机构(鉴别服务站)的支持。可以支持身份认证的协议很多，如Needham-schroedar鉴别协议、X.509鉴别协议、Kerberos鉴别协议等。实施身份认证的基本思路是直接采用不对称加密体制，由称为鉴别服务站的可信机构负责用户的密钥分配和管理，通信伙伴通过声明各自拥有的秘密密钥来证明自己的身份。 (4)访问控制访问控制的目的是保证网络资源不被未授权地访问和使用。资源访问控制通常采用网络资源矩阵来定义用户对资源的访问权限；对于信息资源，还可以直接利用各种系统(如数据库管理系统)内在的访问控制能力，为不同的用户定义不同的访问权限，有利于信息的有序控制。同样，设备的使用也属于访问控制的范畴，网络中心，尤其是主机房应当加强管理，严禁外人进入。对于跨网的访问控制，签证(Visas)和防火墙是企业CIMS网络建设中可选择的较好技术。 (5)防病毒系统计算机病毒通常是一段程序或一组指令，其目的是要破坏用户的计算机系统。因此，企业CIMS网必须加强防病毒措施，如安装防病毒卡、驻留防毒软件和定期清毒等，以避免不必要的损失。需要指出的是，病毒软件也在不断地升级，因此应当注意防毒/杀毒软件的更新换代。 (6)加强人员管理要保证企业CIMS网络的安全性，除了技术上的措施外，人的因素也很重要，因为人是各种安全技术的实施者。在CIMS网中，不管所采用的安全技术多么先进，如果人为的泄密或破坏，那么再先进的安全技术也是徒劳的。因此，在一个CIMS企业中，必须制定安全规则，加强人员管理，避免权力过度集中。这样，才能确保CIMS网的安全。

传统签名与电子签名的区别 是什么

电子商务中，双方或多方可能远隔万里而互不相识，甚至在整个交易过程中自始至终不见面，传统的签字方式很难应用于这种交易。因此，人们试探采用一种电子签字机制来相互证明自己的身份。这种电子签字是由符号及代码组成的，它具备了上述签字的特点和作用。对每一方来讲，具体采取什么符号或代码，将根据现有的技术、相关经验、可应用标准的要求及使用的安全程序来作出决定。任何一方的电子签字可以不时地改变，以保护其机密的特征。电子签名的概念没有统一的表述，典型的有：联合国贸易法委员会《电子签字示范法及其指南》：“电子签名是指在数据电文中，以电子形式所含、所附或逻辑上与数据电文有联系的数据，它可用于鉴别与数据电文有关的签字人和表明此人认可数据电文所含信息。 ”（注）目前有学者将电子签名划分为广义，狭义，和折衷（强化）三类：“所谓广义的电子签名，是指包括各种电子手段在内的电子签名。这一概念着重阐明了电子签名的目的与作用，而对电子签名所运用的技术方式几乎没有规定，凡是具有一定鉴别作用的，数据电讯中附加的，或与之有逻辑上联系的电子形式的数据，都可成为电子签名的方式。 ”（注） “狭义的电子签名，是以一定的电子签名技术为特定手段的签名，通常指数字签名，它是以非对称加密方法产生的数字签名。 ”（注）而所谓数字签名，就是只有信息发送者才能生成的，别人无法伪造的一段数字串，这一数字串同时也是对发送者发送的信息的真实性的一个证明（注）。第三种 “强化电子签名（Enhanced Electronic Signature），有时又称安全电子签名。它是指经过一定的安全应用程序，能够达到传统签名的等价功能的电子签名方式。 ”（注）此概念即为广义和狭义电子签名的概念的折衷概念，着重强调电子签名的效果，而在其具体实现形式上尽量泛化，以囊括各种技术手段，为电子签名技术的发展与应用，在法律上预留了空间。目前两者的区别主要还是体现为电子签字是未来商务活动的一个签字的形式,而电子签名更体现的是一种技术和手段.