数字签名VS。信息摘要

Question

我有消息 (m)，我想在以不安全的方式发送后存储一些数据以验证其完整性..

我可以创建数字签名 (DSA / RSA)。

• S(m) = m 的数字签名。

或者我可以计算一个摘要（哈希）并加密它。

• H(m) = m 的摘要
• C( H(m) ) = H(m) 的加密数据

无论如何，当接收者收到消息时，应该验证它的完整性。

S(m)和C(H(m))哪种方法更安全？

更新

假设 Alice 想给 Bob 发送一条消息

使用数字签名：

爱丽丝的部分：

• 使用她的私钥计算 S(m)
• 将 m、S(m) 和她的公钥发送给 Bob

鲍勃的部分：

• Bob 收到 S(m)、m 和 Alice 的公钥
• Bob 使用 m 和 Alice 的密钥验证 S(m)。

使用摘要：

爱丽丝的部分：

• 使用 Bob 的公钥计算 C( H(m) )
• 将 C( H(m) ) 和 m 发送给 Bob

鲍勃的部分：

• 使用他的私钥 (d) 解密 C( H(m) )
• 计算 H(m)
• 验证 m ( H(m) = d ) 的完整性

我看到一个软件使用我发布的第二种方法，但我认为第一种更安全，对吗？

更新 2

总之，最好的方法是使用第一种方法，以安全的方式与 Bob 共享 Alice 的公钥。

第二种方法根本不提供安全性。

感谢@Perseids

Answer 1

它们都不起作用。

第一次攻击： Eve 在中间攻击并拦截了 Alice 发送的所有消息。她没有转发m，而是转发n。她没有用 Alice 的私钥在m 上签名，而是用她的私钥在n 上签名。她将自己的公钥发送给 Bob，而不是 Alice 的公钥。 Bob 永远不会看到差异，因为他事先不知道 Alice 的公钥。

第二次攻击：拦截来自 Alice 的所有消息（并丢弃它们）并创建与 Alice 相同的消息，但使用 n 而不是 m。不要忘记伪装成爱丽丝。

问题的根源在于 Bob 需要了解爱丽丝的真实身份。如果你只知道“比尔盖茨”的名字，那么我很容易冒充他。数字签名的标准假设是 Bob 从安全来源知道 Alice 的公钥，或者他们之前已经通过安全通道交换了它。然后 Bob 可以对照 Alice 的已知良好的公钥检查 Alice 的签名。

Answer 2

在数字签名的上下文中，“消息”通常是一个哈希值——即某个文档的摘要（常规意义上的“消息”）。因此，当您以适当的方式“签署文档”时，您是在将由签名算法定义的单向变换应用于该文档的摘要，而不是应用于整个文档。

当然，您可以基于对称或非对称密码学，或同时基于这两种方法，发明一些其他的消息身份验证方法。但因此你肯定会重新发明轮子，你的轮子很有可能变成四倍左右。数字签名算法专为在公钥基础设施内进行无缝身份验证而设计。所以要适当地使用它们。