1、4. 请解释“数字签名”的概念及工作原理?
概念:
安软数字签名的功能是用来实现电子签名,确保交易和操作的不可否认性和不可抵赖性。可以在各种应用系统中实现对表单、文件的电子签名,实现出现问题后原始操作的可追溯。
工作原理:
安软数字签名是采用PKI技术的安全产品,PKI很容易满足对数据完整性、防篡改、防抵赖、数据私密性和身份认证这些安全要求。
安软数字签名能够保证网上交易数据的完整性和可信性,是电子签名中间件的主要功能。电子签名中间件可以提供用户签名、服务器签名和相互验证对方数字签名的能力。一般,用户使用USB Key电子钥匙内的密码算法进行数字签名,服务器端采用加密机或加密卡内的密码算法进行数字签名。电子签名中间件的数字签名采用标准的PKCS7格式,可以供第三方的验证程序验证。
电子签名中间件由电子签名中间件服务器和电子签名中间件 用户端程序(包括IE插件、签名验证工具和用户证书)组成。另外需要一个证书管理系统为电子签名中间件的签发数字证书。
2、如何将程序进行数字签名
简单地说,需要三步:
1. 购买或自己创立一个的数字签名证书文件。
有工具软件可以制作数字签名证书,比如openssl,但自签的,在别人的机器上,回出现签名无法校验的问题。除非人家信任,否则人家不会安装你的证书。
2. 用工具软件对exe或其他任何文件,进行数字签名。 可以是免费的UI工具,比如:kSign;也可以类似signtool(微软的命令行工具);还可以操作系统的向导程序(比如微软Windows上的签名文件安装,导入并对文件数字签名的向导)。 xNix下,可以用GnuPG (gpg)从证书到签名,一次搞定。
3. 你要是做程序开发的,可以利用signtool这样的命令行工具,写批处理,然后加入自己项目的make过程中自动加签。
3、服务器2008bios 启动禁用驱动强制签名
64位win7禁用驱动程序签名强制 几种常用方法:
其实想要在64位win7中使用未有签名的驱动程序还是有很多方法的,如上图中,开机之后在登录等待界面按下F8键,进入Windows系统的高级启动项,我们会发现与原有的XP系统多了一些不同的地方,最后一项中为禁用驱动程序签名强制,按照此项进入系统即可使用未有数字签名的驱动程序,当然,使用调试模式同样也可以加载未有签名的驱动,这里不推荐。
这个解决方法很简单,但是只能是在开机时设置,并且在计算机重新启动之后又回到了原始的状态,有没有什么一劳永逸的方法呢?办法还是有的——关闭Windows 7系统中的驱动签名强制要求,关闭强制驱动签名的命令为:
bcdedit.exe -set loadoptions DDISABLE_INTEGRITY_CHECKS
使用管理员的身份打开CMD命令行,然后输入上面的命令,完成之后重新启动计算机,就可以随时在64位win7系统上使用未有数字签名的驱动程序了。当然,此操作也降低了系统的安全系数,所以不推荐一直关闭,而且也不推荐也没有经验的用户使用,养成良好的安全意识是安全的第一步。
bcdedit {bootmgr} /set nointegritychecks Yes
在Windows Server 2003操作系统下不能启动无线网卡 在设备管理器中始终显示黄色感叹号。
产生这个问题的原因是Windows 2003 Server对无线网卡的pci资源分配出了问题,而笔记本bios中屏蔽了pci配置项,无法修改。
要解决这个问题,有的人选择更换支持的无线网卡,其实不用更换无线网卡,解决方法如下:
打开资源管理器菜单,工具-文件夹选项-显示,去掉“隐藏受保护的操作系统文件”选项前的对号,打开C盘根目录,右键boot.ini文件属性,去掉只读属性。打开boot.ini文件,把其中noexecute=optout 项改为execute=optin,保存修改,恢复boot.ini只读属性,恢复隐藏受保护的操作系统文件。重新启动计算机进入设备管理器即可看到,无线网卡已经启用了!
http://technet.microsoft.com/zh-cn/ff557134
WIN7 X64系统中对驱动程序要求有数字签名,否则无法正常使用。但有时需要用到没有数字签名的驱动程序,可正常安装后驱动是无法使用的,这时我们只有在开机时按F8用“禁用驱动程序签名强制”模式进入系统后驱动使用才正常。
目前该问题还没有完美的解决方案,只有一个临时性的解决方法:
临时解决方法:运行,输入:bcdedit/set testsigning on 回车
然后重启
就可以关闭强制数字签名
但是启动到桌面后会有提示水印,不过在使用上已经没有实质上的不便了。
Driver Signature Enforcement Overrider
4、IE浏览器中的数字签名是什么?
以及申请的周期是多少?对于这个问题,想必该用户认为数字签名是由微软颁发的了,这应该是用户对数字签名缺乏了解所致。其实在日常网络浏览中,特别是在访问敏感数据,如网络银行的时候,IE浏览器经常会询问我们安装数字证书。因为若要对程序包和自定义程序进行数字签名,必须首先获得数字证书。以继续访问该程序或网站,这是对数据的一种保护。那么什么是数字签名呢?先看看微软官方给出的定义:“数字签名”是指可以添加到文件的电子安全标记。使用它可以验证文件的发行者以及帮助验证文件自被数字签名后是否发生更改。如果文件没有有效的数字签名,则无法确保该文件确实来自它所声称的源,或者无法确保它在发布后未被篡改(可能被病毒篡改)。较为安全的做法是,除非您确定该文件的创建者而且知道其内容才可以安全地打开,否则不要打开该文件。即便是有效的数字签名也无法验证文件的内容没有危害。必须决定是否应根据发行者的身份以及下载文件的位置信任文件的内容。上面的说法有点太过于书面了,不便理解,这里我们可以通过图片通俗易懂地理解,"数字签名"(digital signature)和"数字证书"(digital certificate)到底是什么。1.鲍勃有两把钥匙,一把是公钥,另一把是私钥。2.鲍勃把公钥送给他的朋友们----帕蒂、道格、苏珊----每人一把。3.苏珊要给鲍勃写一封保密的信。她写完后用鲍勃的公钥加密,就可以达到保密的效果。4.鲍勃收信后,用私钥解密,就看到了信件内容。这里要强调的是,只要鲍勃的私钥不泄露,这封信就是安全的,即使落在别人手里,也无法解密。5.鲍勃给苏珊回信,决定采用"数字签名"。他写完后先用Hash函数,生成信件的摘要(digest)。6.然后,鲍勃使用私钥,对这个摘要加密,生成"数字签名"(signature)。7.鲍勃将这个签名,附在信件下面,一起发给苏珊。8.苏珊收信后,取下数字签名,用鲍勃的公钥解密,得到信件的摘要。由此证明,这封信确实是鲍勃发出的。9.苏珊再对信件本身使用Hash函数,将得到的结果,与上一步得到的摘要进行对比。如果两者一致,就证明这封信未被修改过。10.复杂的情况出现了。道格想欺骗苏珊,他偷偷使用了苏珊的电脑,用自己的公钥换走了鲍勃的公钥。此时,苏珊实际拥有的是道格的公钥,但是还以为这是鲍勃的公钥。因此,道格就可以冒充鲍勃,用自己的私钥做成"数字签名",写信给苏珊,让苏珊用假的鲍勃公钥进行解密。11.后来,苏珊感觉不对劲,发现自己无法确定公钥是否真的属于鲍勃。她想到了一个办法,要求鲍勃去找"证书中心"(certificate authority,简称CA),为公钥做认证。证书中心用自己的私钥,对鲍勃的公钥和一些相关信息一起加密,生成"数字证书"(Digital Certificate)。12.鲍勃拿到数字证书以后,就可以放心了。以后再给苏珊写信,只要在签名的同时,再附上数字证书就行了。13.苏珊收信后,用CA的公钥解开数字证书,就可以拿到鲍勃真实的公钥了,然后就能证明"数字签名"是否真的是鲍勃签的。14.下面,我们看一个应用"数字证书"的实例:https协议。这个协议主要用于网页加密。15.首先,客户端向服务器发出加密请求。16.服务器用自己的私钥加密网页以后,连同本身的数字证书,一起发送给客户端。17.客户端(以IE浏览器为例,单击“工具”——“Internet 选项”——“内容”选项卡——单击“证书”)的"证书管理器",有"受信任的根证书颁发机构"列表。客户端会根据这张列表,查看解开数字证书的公钥是否在列表之内。18.如果数字证书记载的网址,与你正在浏览的网址不一致,就说明这张证书可能被冒用,浏览器会发出警告。19.如果这张数字证书不是由受信任的机构颁发的,浏览器会发出另一种警告。20.如果数字证书是可靠的,客户端就可以使用证书中的服务器公钥,对信息进行加密,然后与服务器交换加密信息。(完)通过上面的了解以后,在回到本文开头的问题。要获得数字签名,我们可以从证书颁发机构或私人控制的证书服务器那里获得证书。数字签名是由当地相关的颁发机构管理,不是由微软管理的。所以关于数字签名的申请周期与费用,这个应该视当地的颁发机构而定。更多信息你可以和当地相关机构取得联系进行咨询。
5、证书服务器的作用是什么?
服务器证书的作用,有两个主要的功能,其相关价值的体现也集中在这两个功能之上:
一、 建立SSL加密通道,这是所有服务器证书,无论品牌、申请方式都可以起到的功能,唯一的价值区别在于加密强度,目前,达到128位对称加密强度的服务器证书均可以实现有保障的加密通道。
二、 服务器身份的保障,分成几个不同的层级衡量服务器的价值:
1、 无保障:自签名证书或非根预置于浏览器的服务器证书,该类证书由于存在服务器证书或非预置根证书的伪造风险,因此根本起不到服务器身份保障的作用。基本不能实现服务器证书应有价值。
2、 低保障:不进行鉴证的服务器证书,这类服务器证书虽然具有根内置的特征,但由于证书发放机构不进行鉴证,并把证书未鉴证导致发放错误的风险转嫁给实际的证书申请者,假冒网站的证书申请者获得服务器证书后损害的是真实网站用户的利益,而真实网站用户由于对服务器证书的信任,而遭遇损害,假冒网站的证书申请者根本不可能承担发放错误的风险责任,最终损害的是真实网站经营者的信誉。
3、 保障:对服务器证书的服务器域名所有权进行严格的鉴证,避免服务器证书发放给假冒的网站,从而保障网站用户的切身利益,有效地维护网站的真实身份。
4、 增值保障:服务器证书不但保障服务期的域名所有权,而且对域名拥有企业自身身份进行鉴证,并配合浏览器内置的技术实现直观的浏览器颜色标识提醒网站用户。进一步的扩展了网站及网站运营方的身份,实现附加价值。
通过上述描述,我们可以清晰地了解服务器证书在服务器身份识别方面的递增价值,VeriSign在中国大陆区的唯一合作伙伴天威诚信数字认证中心所签发的普通服务器证书,在提供第三部分描述的保障的基础上其实已完成了增值保障中的企业身份鉴证工作,因此,虽然证书申请者申请服务器证书过程稍感繁琐,但其本质上是对网站运营方的最终用户负责,对网站运营方的企业信誉负责。当然,随者增值验证(EV)服务器证书的发放,由于浏览器技术的进步,这一部分价值的体现将更为直观。
6、数字签名,数字证书,SSL,https是什么关系
理解HTTPS前需要理解这些概念:明文、密文、密码、密钥、对称加密、非对称加密、摘要、数字签名、数字证书
密码(cipher)
密码学中的密码(cipher)和我们日常生活中所说的密码不太一样,计算机术语『密码 cipher』是一种用于加密或者解密的算法,而我们日常所使用的『密码 password』是一种口令,它是用于认证用途的一组文本字符串,这里我们要讨论的是前者:cipher。
密钥(key)
密钥是一种参数,它是在使用密码(cipher)算法过程中输入的参数。同一个明文在相同的密码算法和不同的密钥计算下会产生不同的密文。很多知名的密码算法都是公开的,密钥才是决定密文是否安全的重要参数,通常密钥越长,破解的难度越大,比如一个8位的密钥最多有256种情况,使用穷举法,能非常轻易的破解,知名的DES算法使用56位的密钥,目前已经不是一种安全的加密算法了,主要还是因为56位的密钥太短,在数小时内就可以被破解。密钥分为对称密钥与非对称密钥。
明文/密文
明文(plaintext)是加密之前的原始数据,密文是通过密码(cipher)运算后得到的结果成为密文(ciphertext)
对称密钥
对称密钥(Symmetric-key algorithm)又称为共享密钥加密,对称密钥在加密和解密的过程中使用的密钥是相同的,常见的对称加密算法有DES、3DES、AES、RC5、RC6。对称密钥的优点是计算速度快,但是他也有缺点,密钥需要在通讯的两端共享,让彼此知道密钥是什么对方才能正确解密,如果所有客户端都共享同一个密钥,那么这个密钥就像万能钥匙一样,可以凭借一个密钥破解所有人的密文了,如果每个客户端与服务端单独维护一个密钥,那么服务端需要管理的密钥将是成千上万,这会给服务端带来噩梦
非对称密钥
非对称密钥(public-key cryptography),又称为公开密钥加密,服务端会生成一对密钥,一个私钥保存在服务端,仅自己知道,另一个是公钥,公钥可以自由发布供任何人使用。客户端的明文通过公钥加密后的密文需要用私钥解密。非对称密钥在加密和解密的过程的使用的密钥是不同的密钥,加密和解密是不对称的,所以称之为非对称加密。与对称密钥加密相比,非对称加密无需在客户端和服务端之间共享密钥,只要私钥不发给任何用户,即使公钥在网上被截获,也无法被解密,仅有被窃取的公钥是没有任何用处的。常见的非对称加密有RSA,非对称加解密的过程:
服务端生成配对的公钥和私钥
私钥保存在服务端,公钥发送给客户端
客户端使用公钥加密明文传输给服务端
服务端使用私钥解密密文得到明文
数字签名(Digital Signature)
数据在浏览器和服务器之间传输时,有可能在传输过程中被冒充的盗贼把内容替换了,那么如何保证数据是真实服务器发送的而不被调包呢,同时如何保证传输的数据没有被人篡改呢,要解决这两个问题就必须用到数字签名,数字签名就如同日常生活的中的签名一样,一旦在合同书上落下了你的大名,从法律意义上就确定是你本人签的字儿,这是任何人都没法仿造的,因为这是你专有的手迹,任何人是造不出来的。那么在计算机中的数字签名怎么回事呢?数字签名就是用于验证传输的内容是不是真实服务器发送的数据,发送的数据有没有被篡改过,它就干这两件事,是非对称加密的一种应用场景。不过他是反过来用私钥来加密,通过与之配对的公钥来解密。
第一步:服务端把报文经过Hash处理后生成摘要信息Digest,摘要信息使用私钥private-key加密之后就生成签名,服务器把签名连同报文一起发送给客户端。
第二步:客户端接收到数据后,把签名提取出来用public-key解密,如果能正常的解密出来Digest2,那么就能确认是对方发的。
第三步:客户端把报文Text提取出来做同样的Hash处理,得到的摘要信息Digest1,再与之前解密出来的Digist2对比,如果两者相等,就表示内容没有被篡改,否则内容就是被人改过了。因为只要文本内容哪怕有任何一点点改动都会Hash出一个完全不一样的摘要信息出来。
数字证书(Certificate Authority)
数字证书简称CA,它由权威机构给某网站颁发的一种认可凭证,这个凭证是被大家(浏览器)所认可的,为什么需要用数字证书呢,难道有了数字签名还不够安全吗?有这样一种情况,就是浏览器无法确定所有的真实服务器是不是真的是真实的,举一个简单的例子:A厂家给你们家安装锁,同时把钥匙也交给你,只要钥匙能打开锁,你就可以确定钥匙和锁是配对的,如果有人把钥匙换了或者把锁换了,你是打不开门的,你就知道肯定被窃取了,但是如果有人把锁和钥匙替换成另一套表面看起来差不多的,但质量差很多的,虽然钥匙和锁配套,但是你却不能确定这是否真的是A厂家给你的,那么这时候,你可以找质检部门来检验一下,这套锁是不是真的来自于A厂家,质检部门是权威机构,他说的话是可以被公众认可的(呵呵)。
同样的, 因为如果有人(张三)用自己的公钥把真实服务器发送给浏览器的公钥替换了,于是张三用自己的私钥执行相同的步骤对文本Hash、数字签名,最后得到的结果都没什么问题,但事实上浏览器看到的东西却不是真实服务器给的,而是被张三从里到外(公钥到私钥)换了一通。那么如何保证你现在使用的公钥就是真实服务器发给你的呢?我们就用数字证书来解决这个问题。数字证书一般由数字证书认证机构(Certificate Authority)颁发,证书里面包含了真实服务器的公钥和网站的一些其他信息,数字证书机构用自己的私钥加密后发给浏览器,浏览器使用数字证书机构的公钥解密后得到真实服务器的公钥。这个过程是建立在被大家所认可的证书机构之上得到的公钥,所以这是一种安全的方式。
7、如何将程序进行数字签名?
具体如下:
1、通过makecert.exe生成需要的证书,用cmd命令打开窗口,输入命令D:证书创建工具makecert -$ "indivial" -r /sv "1.PVK" /n "CN=Windows,E=microsoft,O=微软" 1.cer,生成两个文件分别是1.cer和1.PVK。
2、需Signcode.exe(文件签名工具),打开,添加需要数字签名的程序。
3、自动选择自定义选项,下一步,然后点击从文件中选择1.cer文件,1.cer文件在第一个步骤你生成的目录中,然后下一步。
4、点击浏览按钮,添加文件1.PVK,1.PVK文件也是在第一步生成的目录中,点击下一步,哈希算法,自己随便选,可以选md5,也可以选sha1.,点击下一步。
5、默认点击下一步,出现数据描述框,自己可以填写,也可以不填。点击下一步。
6、填写时间戳服务器URL:http://timestamp.wosign.com/timestamp,也可以不选添加时间戳,点击下一步,完成,弹出签名成功框。
7、右键点击软件属性,检验数字签名是否成功。数字签名总过程就是这个样子,让软件更加安全可靠。
8、数字签名是什么意思?
数字签名(又称公钥数字签名、电子签章)是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领域的技术实现,用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算,一个用于签名,另一个用于验证。
个人觉得有点类似于网银的U盾
9、数字签名服务器有哪些
您问的不是很具体,一般有对软件或文件做数字签名的CA机构,例如VeriSign、GlobalSign、Thawte等,在做数字签名的时候往往需要时间戳服务,你可以在网上搜索免费时间戳服务URL就可以了。希望可以帮到你。