1、4. 請解釋「數字簽名」的概念及工作原理?
概念:
安軟數字簽名的功能是用來實現電子簽名,確保交易和操作的不可否認性和不可抵賴性。可以在各種應用系統中實現對表單、文件的電子簽名,實現出現問題後原始操作的可追溯。
工作原理:
安軟數字簽名是採用PKI技術的安全產品,PKI很容易滿足對數據完整性、防篡改、防抵賴、數據私密性和身份認證這些安全要求。
安軟數字簽名能夠保證網上交易數據的完整性和可信性,是電子簽名中間件的主要功能。電子簽名中間件可以提供用戶簽名、伺服器簽名和相互驗證對方數字簽名的能力。一般,用戶使用USB Key電子鑰匙內的密碼演算法進行數字簽名,伺服器端採用加密機或加密卡內的密碼演算法進行數字簽名。電子簽名中間件的數字簽名採用標準的PKCS7格式,可以供第三方的驗證程序驗證。
電子簽名中間件由電子簽名中間件伺服器和電子簽名中間件 用戶端程序(包括IE插件、簽名驗證工具和用戶證書)組成。另外需要一個證書管理系統為電子簽名中間件的簽發數字證書。
2、如何將程序進行數字簽名
簡單地說,需要三步:
1. 購買或自己創立一個的數字簽名證書文件。
有工具軟體可以製作數字簽名證書,比如openssl,但自簽的,在別人的機器上,回出現簽名無法校驗的問題。除非人家信任,否則人家不會安裝你的證書。
2. 用工具軟體對exe或其他任何文件,進行數字簽名。 可以是免費的UI工具,比如:kSign;也可以類似signtool(微軟的命令行工具);還可以操作系統的向導程序(比如微軟Windows上的簽名文件安裝,導入並對文件數字簽名的向導)。 xNix下,可以用GnuPG (gpg)從證書到簽名,一次搞定。
3. 你要是做程序開發的,可以利用signtool這樣的命令行工具,寫批處理,然後加入自己項目的make過程中自動加簽。
3、伺服器2008bios 啟動禁用驅動強制簽名
64位win7禁用驅動程序簽名強制 幾種常用方法:
其實想要在64位win7中使用未有簽名的驅動程序還是有很多方法的,如上圖中,開機之後在登錄等待界面按下F8鍵,進入Windows系統的高級啟動項,我們會發現與原有的XP系統多了一些不同的地方,最後一項中為禁用驅動程序簽名強制,按照此項進入系統即可使用未有數字簽名的驅動程序,當然,使用調試模式同樣也可以載入未有簽名的驅動,這里不推薦。
這個解決方法很簡單,但是只能是在開機時設置,並且在計算機重新啟動之後又回到了原始的狀態,有沒有什麼一勞永逸的方法呢?辦法還是有的——關閉Windows 7系統中的驅動簽名強制要求,關閉強制驅動簽名的命令為:
bcdedit.exe -set loadoptions DDISABLE_INTEGRITY_CHECKS
使用管理員的身份打開CMD命令行,然後輸入上面的命令,完成之後重新啟動計算機,就可以隨時在64位win7系統上使用未有數字簽名的驅動程序了。當然,此操作也降低了系統的安全系數,所以不推薦一直關閉,而且也不推薦也沒有經驗的用戶使用,養成良好的安全意識是安全的第一步。
bcdedit {bootmgr} /set nointegritychecks Yes
在Windows Server 2003操作系統下不能啟動無線網卡 在設備管理器中始終顯示黃色感嘆號。
產生這個問題的原因是Windows 2003 Server對無線網卡的pci資源分配出了問題,而筆記本bios中屏蔽了pci配置項,無法修改。
要解決這個問題,有的人選擇更換支持的無線網卡,其實不用更換無線網卡,解決方法如下:
打開資源管理器菜單,工具-文件夾選項-顯示,去掉「隱藏受保護的操作系統文件」選項前的對號,打開C盤根目錄,右鍵boot.ini文件屬性,去掉只讀屬性。打開boot.ini文件,把其中noexecute=optout 項改為execute=optin,保存修改,恢復boot.ini只讀屬性,恢復隱藏受保護的操作系統文件。重新啟動計算機進入設備管理器即可看到,無線網卡已經啟用了!
http://technet.microsoft.com/zh-cn/ff557134
WIN7 X64系統中對驅動程序要求有數字簽名,否則無法正常使用。但有時需要用到沒有數字簽名的驅動程序,可正常安裝後驅動是無法使用的,這時我們只有在開機時按F8用「禁用驅動程序簽名強制」模式進入系統後驅動使用才正常。
目前該問題還沒有完美的解決方案,只有一個臨時性的解決方法:
臨時解決方法:運行,輸入:bcdedit/set testsigning on 回車
然後重啟
就可以關閉強制數字簽名
但是啟動到桌面後會有提示水印,不過在使用上已經沒有實質上的不便了。
Driver Signature Enforcement Overrider
4、IE瀏覽器中的數字簽名是什麼?
以及申請的周期是多少?對於這個問題,想必該用戶認為數字簽名是由微軟頒發的了,這應該是用戶對數字簽名缺乏了解所致。其實在日常網路瀏覽中,特別是在訪問敏感數據,如網路銀行的時候,IE瀏覽器經常會詢問我們安裝數字證書。因為若要對程序包和自定義程序進行數字簽名,必須首先獲得數字證書。以繼續訪問該程序或網站,這是對數據的一種保護。那麼什麼是數字簽名呢?先看看微軟官方給出的定義:「數字簽名」是指可以添加到文件的電子安全標記。使用它可以驗證文件的發行者以及幫助驗證文件自被數字簽名後是否發生更改。如果文件沒有有效的數字簽名,則無法確保該文件確實來自它所聲稱的源,或者無法確保它在發布後未被篡改(可能被病毒篡改)。較為安全的做法是,除非您確定該文件的創建者而且知道其內容才可以安全地打開,否則不要打開該文件。即便是有效的數字簽名也無法驗證文件的內容沒有危害。必須決定是否應根據發行者的身份以及下載文件的位置信任文件的內容。上面的說法有點太過於書面了,不便理解,這里我們可以通過圖片通俗易懂地理解,"數字簽名"(digital signature)和"數字證書"(digital certificate)到底是什麼。1.鮑勃有兩把鑰匙,一把是公鑰,另一把是私鑰。2.鮑勃把公鑰送給他的朋友們----帕蒂、道格、蘇珊----每人一把。3.蘇珊要給鮑勃寫一封保密的信。她寫完後用鮑勃的公鑰加密,就可以達到保密的效果。4.鮑勃收信後,用私鑰解密,就看到了信件內容。這里要強調的是,只要鮑勃的私鑰不泄露,這封信就是安全的,即使落在別人手裡,也無法解密。5.鮑勃給蘇珊回信,決定採用"數字簽名"。他寫完後先用Hash函數,生成信件的摘要(digest)。6.然後,鮑勃使用私鑰,對這個摘要加密,生成"數字簽名"(signature)。7.鮑勃將這個簽名,附在信件下面,一起發給蘇珊。8.蘇珊收信後,取下數字簽名,用鮑勃的公鑰解密,得到信件的摘要。由此證明,這封信確實是鮑勃發出的。9.蘇珊再對信件本身使用Hash函數,將得到的結果,與上一步得到的摘要進行對比。如果兩者一致,就證明這封信未被修改過。10.復雜的情況出現了。道格想欺騙蘇珊,他偷偷使用了蘇珊的電腦,用自己的公鑰換走了鮑勃的公鑰。此時,蘇珊實際擁有的是道格的公鑰,但是還以為這是鮑勃的公鑰。因此,道格就可以冒充鮑勃,用自己的私鑰做成"數字簽名",寫信給蘇珊,讓蘇珊用假的鮑勃公鑰進行解密。11.後來,蘇珊感覺不對勁,發現自己無法確定公鑰是否真的屬於鮑勃。她想到了一個辦法,要求鮑勃去找"證書中心"(certificate authority,簡稱CA),為公鑰做認證。證書中心用自己的私鑰,對鮑勃的公鑰和一些相關信息一起加密,生成"數字證書"(Digital Certificate)。12.鮑勃拿到數字證書以後,就可以放心了。以後再給蘇珊寫信,只要在簽名的同時,再附上數字證書就行了。13.蘇珊收信後,用CA的公鑰解開數字證書,就可以拿到鮑勃真實的公鑰了,然後就能證明"數字簽名"是否真的是鮑勃簽的。14.下面,我們看一個應用"數字證書"的實例:https協議。這個協議主要用於網頁加密。15.首先,客戶端向伺服器發出加密請求。16.伺服器用自己的私鑰加密網頁以後,連同本身的數字證書,一起發送給客戶端。17.客戶端(以IE瀏覽器為例,單擊「工具」——「Internet 選項」——「內容」選項卡——單擊「證書」)的"證書管理器",有"受信任的根證書頒發機構"列表。客戶端會根據這張列表,查看解開數字證書的公鑰是否在列表之內。18.如果數字證書記載的網址,與你正在瀏覽的網址不一致,就說明這張證書可能被冒用,瀏覽器會發出警告。19.如果這張數字證書不是由受信任的機構頒發的,瀏覽器會發出另一種警告。20.如果數字證書是可靠的,客戶端就可以使用證書中的伺服器公鑰,對信息進行加密,然後與伺服器交換加密信息。(完)通過上面的了解以後,在回到本文開頭的問題。要獲得數字簽名,我們可以從證書頒發機構或私人控制的證書伺服器那裡獲得證書。數字簽名是由當地相關的頒發機構管理,不是由微軟管理的。所以關於數字簽名的申請周期與費用,這個應該視當地的頒發機構而定。更多信息你可以和當地相關機構取得聯系進行咨詢。
5、證書伺服器的作用是什麼?
伺服器證書的作用,有兩個主要的功能,其相關價值的體現也集中在這兩個功能之上:
一、 建立SSL加密通道,這是所有伺服器證書,無論品牌、申請方式都可以起到的功能,唯一的價值區別在於加密強度,目前,達到128位對稱加密強度的伺服器證書均可以實現有保障的加密通道。
二、 伺服器身份的保障,分成幾個不同的層級衡量伺服器的價值:
1、 無保障:自簽名證書或非根預置於瀏覽器的伺服器證書,該類證書由於存在伺服器證書或非預置根證書的偽造風險,因此根本起不到伺服器身份保障的作用。基本不能實現伺服器證書應有價值。
2、 低保障:不進行鑒證的伺服器證書,這類伺服器證書雖然具有根內置的特徵,但由於證書發放機構不進行鑒證,並把證書未鑒證導致發放錯誤的風險轉嫁給實際的證書申請者,假冒網站的證書申請者獲得伺服器證書後損害的是真實網站用戶的利益,而真實網站用戶由於對伺服器證書的信任,而遭遇損害,假冒網站的證書申請者根本不可能承擔發放錯誤的風險責任,最終損害的是真實網站經營者的信譽。
3、 保障:對伺服器證書的伺服器域名所有權進行嚴格的鑒證,避免伺服器證書發放給假冒的網站,從而保障網站用戶的切身利益,有效地維護網站的真實身份。
4、 增值保障:伺服器證書不但保障服務期的域名所有權,而且對域名擁有企業自身身份進行鑒證,並配合瀏覽器內置的技術實現直觀的瀏覽器顏色標識提醒網站用戶。進一步的擴展了網站及網站運營方的身份,實現附加價值。
通過上述描述,我們可以清晰地了解伺服器證書在伺服器身份識別方面的遞增價值,VeriSign在中國大陸區的唯一合作夥伴天威誠信數字認證中心所簽發的普通伺服器證書,在提供第三部分描述的保障的基礎上其實已完成了增值保障中的企業身份鑒證工作,因此,雖然證書申請者申請伺服器證書過程稍感繁瑣,但其本質上是對網站運營方的最終用戶負責,對網站運營方的企業信譽負責。當然,隨者增值驗證(EV)伺服器證書的發放,由於瀏覽器技術的進步,這一部分價值的體現將更為直觀。
6、數字簽名,數字證書,SSL,https是什麼關系
理解HTTPS前需要理解這些概念:明文、密文、密碼、密鑰、對稱加密、非對稱加密、摘要、數字簽名、數字證書
密碼(cipher)
密碼學中的密碼(cipher)和我們日常生活中所說的密碼不太一樣,計算機術語『密碼 cipher』是一種用於加密或者解密的演算法,而我們日常所使用的『密碼 password』是一種口令,它是用於認證用途的一組文本字元串,這里我們要討論的是前者:cipher。
密鑰(key)
密鑰是一種參數,它是在使用密碼(cipher)演算法過程中輸入的參數。同一個明文在相同的密碼演算法和不同的密鑰計算下會產生不同的密文。很多知名的密碼演算法都是公開的,密鑰才是決定密文是否安全的重要參數,通常密鑰越長,破解的難度越大,比如一個8位的密鑰最多有256種情況,使用窮舉法,能非常輕易的破解,知名的DES演算法使用56位的密鑰,目前已經不是一種安全的加密演算法了,主要還是因為56位的密鑰太短,在數小時內就可以被破解。密鑰分為對稱密鑰與非對稱密鑰。
明文/密文
明文(plaintext)是加密之前的原始數據,密文是通過密碼(cipher)運算後得到的結果成為密文(ciphertext)
對稱密鑰
對稱密鑰(Symmetric-key algorithm)又稱為共享密鑰加密,對稱密鑰在加密和解密的過程中使用的密鑰是相同的,常見的對稱加密演算法有DES、3DES、AES、RC5、RC6。對稱密鑰的優點是計算速度快,但是他也有缺點,密鑰需要在通訊的兩端共享,讓彼此知道密鑰是什麼對方才能正確解密,如果所有客戶端都共享同一個密鑰,那麼這個密鑰就像萬能鑰匙一樣,可以憑借一個密鑰破解所有人的密文了,如果每個客戶端與服務端單獨維護一個密鑰,那麼服務端需要管理的密鑰將是成千上萬,這會給服務端帶來噩夢
非對稱密鑰
非對稱密鑰(public-key cryptography),又稱為公開密鑰加密,服務端會生成一對密鑰,一個私鑰保存在服務端,僅自己知道,另一個是公鑰,公鑰可以自由發布供任何人使用。客戶端的明文通過公鑰加密後的密文需要用私鑰解密。非對稱密鑰在加密和解密的過程的使用的密鑰是不同的密鑰,加密和解密是不對稱的,所以稱之為非對稱加密。與對稱密鑰加密相比,非對稱加密無需在客戶端和服務端之間共享密鑰,只要私鑰不發給任何用戶,即使公鑰在網上被截獲,也無法被解密,僅有被竊取的公鑰是沒有任何用處的。常見的非對稱加密有RSA,非對稱加解密的過程:
服務端生成配對的公鑰和私鑰
私鑰保存在服務端,公鑰發送給客戶端
客戶端使用公鑰加密明文傳輸給服務端
服務端使用私鑰解密密文得到明文
數字簽名(Digital Signature)
數據在瀏覽器和伺服器之間傳輸時,有可能在傳輸過程中被冒充的盜賊把內容替換了,那麼如何保證數據是真實伺服器發送的而不被調包呢,同時如何保證傳輸的數據沒有被人篡改呢,要解決這兩個問題就必須用到數字簽名,數字簽名就如同日常生活的中的簽名一樣,一旦在合同書上落下了你的大名,從法律意義上就確定是你本人簽的字兒,這是任何人都沒法仿造的,因為這是你專有的手跡,任何人是造不出來的。那麼在計算機中的數字簽名怎麼回事呢?數字簽名就是用於驗證傳輸的內容是不是真實伺服器發送的數據,發送的數據有沒有被篡改過,它就干這兩件事,是非對稱加密的一種應用場景。不過他是反過來用私鑰來加密,通過與之配對的公鑰來解密。
第一步:服務端把報文經過Hash處理後生成摘要信息Digest,摘要信息使用私鑰private-key加密之後就生成簽名,伺服器把簽名連同報文一起發送給客戶端。
第二步:客戶端接收到數據後,把簽名提取出來用public-key解密,如果能正常的解密出來Digest2,那麼就能確認是對方發的。
第三步:客戶端把報文Text提取出來做同樣的Hash處理,得到的摘要信息Digest1,再與之前解密出來的Digist2對比,如果兩者相等,就表示內容沒有被篡改,否則內容就是被人改過了。因為只要文本內容哪怕有任何一點點改動都會Hash出一個完全不一樣的摘要信息出來。
數字證書(Certificate Authority)
數字證書簡稱CA,它由權威機構給某網站頒發的一種認可憑證,這個憑證是被大家(瀏覽器)所認可的,為什麼需要用數字證書呢,難道有了數字簽名還不夠安全嗎?有這樣一種情況,就是瀏覽器無法確定所有的真實伺服器是不是真的是真實的,舉一個簡單的例子:A廠家給你們家安裝鎖,同時把鑰匙也交給你,只要鑰匙能打開鎖,你就可以確定鑰匙和鎖是配對的,如果有人把鑰匙換了或者把鎖換了,你是打不開門的,你就知道肯定被竊取了,但是如果有人把鎖和鑰匙替換成另一套表面看起來差不多的,但質量差很多的,雖然鑰匙和鎖配套,但是你卻不能確定這是否真的是A廠家給你的,那麼這時候,你可以找質檢部門來檢驗一下,這套鎖是不是真的來自於A廠家,質檢部門是權威機構,他說的話是可以被公眾認可的(呵呵)。
同樣的, 因為如果有人(張三)用自己的公鑰把真實伺服器發送給瀏覽器的公鑰替換了,於是張三用自己的私鑰執行相同的步驟對文本Hash、數字簽名,最後得到的結果都沒什麼問題,但事實上瀏覽器看到的東西卻不是真實伺服器給的,而是被張三從里到外(公鑰到私鑰)換了一通。那麼如何保證你現在使用的公鑰就是真實伺服器發給你的呢?我們就用數字證書來解決這個問題。數字證書一般由數字證書認證機構(Certificate Authority)頒發,證書裡麵包含了真實伺服器的公鑰和網站的一些其他信息,數字證書機構用自己的私鑰加密後發給瀏覽器,瀏覽器使用數字證書機構的公鑰解密後得到真實伺服器的公鑰。這個過程是建立在被大家所認可的證書機構之上得到的公鑰,所以這是一種安全的方式。
7、如何將程序進行數字簽名?
具體如下:
1、通過makecert.exe生成需要的證書,用cmd命令打開窗口,輸入命令D:證書創建工具makecert -$ "indivial" -r /sv "1.PVK" /n "CN=Windows,E=microsoft,O=微軟" 1.cer,生成兩個文件分別是1.cer和1.PVK。
2、需Signcode.exe(文件簽名工具),打開,添加需要數字簽名的程序。
3、自動選擇自定義選項,下一步,然後點擊從文件中選擇1.cer文件,1.cer文件在第一個步驟你生成的目錄中,然後下一步。
4、點擊瀏覽按鈕,添加文件1.PVK,1.PVK文件也是在第一步生成的目錄中,點擊下一步,哈希演算法,自己隨便選,可以選md5,也可以選sha1.,點擊下一步。
5、默認點擊下一步,出現數據描述框,自己可以填寫,也可以不填。點擊下一步。
6、填寫時間戳伺服器URL:http://timestamp.wosign.com/timestamp,也可以不選添加時間戳,點擊下一步,完成,彈出簽名成功框。
7、右鍵點擊軟體屬性,檢驗數字簽名是否成功。數字簽名總過程就是這個樣子,讓軟體更加安全可靠。
8、數字簽名是什麼意思?
數字簽名(又稱公鑰數字簽名、電子簽章)是一種類似寫在紙上的普通的物理簽名,但是使用了公鑰加密領域的技術實現,用於鑒別數字信息的方法。一套數字簽名通常定義兩種互補的運算,一個用於簽名,另一個用於驗證。
個人覺得有點類似於網銀的U盾
9、數字簽名伺服器有哪些
您問的不是很具體,一般有對軟體或文件做數字簽名的CA機構,例如VeriSign、GlobalSign、Thawte等,在做數字簽名的時候往往需要時間戳服務,你可以在網上搜索免費時間戳服務URL就可以了。希望可以幫到你。