本篇原文轉載：數字簽名算法介紹和區別

數字簽名是一個帶有密鑰的消息摘要算法，這個密鑰包括了公鑰和私鑰，用于驗證數據完整性、認證數據來源和抗否認，遵循OSI參考模型、私鑰簽名和公鑰驗證。也是非對稱加密算法和消息摘要算法的結合體，常見的數字簽名算法主要有RSA、DSA、ECDSA三種，本文對數字簽名算法進行詳細介紹。

Hash又譯散列、摘要等名，本文統一稱Hash。

1. RSA數字簽名算法

RSA是目前計算機密碼學中最經典算法，也是目前為止使用最廣泛的數字簽名算法，RSA數字簽名算法的密鑰實現與RSA的加密算法是一樣的，算法的名稱都叫RSA。密鑰的產生和轉換都是一樣的，包括在售的所有SSL數字證書、代碼簽名證書、文檔簽名以及郵件簽名大多都采用RSA算法進行加密。

RSA數字簽名算法主要包括MD和SHA兩種算法，例如我們熟知的MD5和SHA-256即是這兩種算法中的一類，具體如下表格分布

1.1. MD2、MD4、MD5算法

最常見的是我們熟知的MD5加密算法，MD5全稱Message-Digest Algorithm 5（信息-摘要算法 5），目前比較普遍的Hash算法，是散列算法的基礎原理，MD5的前身有MD2、MD3和MD4。MD5算法法是輸入任意長度字符，輸出固定長度128位的算法。經過程序流程，生成四個32位數據，最后聯合起來成為一個128位Hash值，主要方式是通過求余、取余、調整長度、與鏈接變量進行循環運算進而得出結果。

1.2. SHA-1算法

SHA-1是由NIST NSA設計為同DSA一起使用的，SHA-1設計時基于和MD4相同原理，并且模仿了該算法，SHA-1抗窮舉(brute-force)性更好，它產出160位的Hash值，對于非線性運算、移位和加法運算也與MD5類似。SHA-1也應用于包括TLS和SSL、PGP、SSH、S/MIME和IPsec等多種協議中，曾被視為是MD5的后繼者。SHA-1的如今已經明確不具備安全性可言了。

在2016年1月1日后基于SHA-1簽發的SSL和代碼簽名的X.509證書已不具備安全性可言，多個操作系統、瀏覽器都建議將基于SHA-1而簽發的證書、代碼簽名替換至SHA-2的產品，但目前在Windows XP（官方已停更）操作系統上仍然只兼容基于SHA-1算法的SSL和代碼簽名產品。

就在2017年2月23日Google宣布實現了對SHA-1算法的碰撞破解，所以SHA-1算法已經正式被宣布為不安全的算法，主流廠商對自身產品及安全要求都提升至了SHA-2算法。

1.3. SHA-2算法

SHA-224、SHA-256、SHA-384和SHA-512并稱為SHA-2，發布于2001年，目前比較廣泛應用的SSL數字證書和代碼簽名證書簽名算法均采用SHA-256算法，相較于SHA-1算法而言，至今SHA-2算法還未被破解，從某種意義上SHA-2延用了SHA-1算法，所以至少發文時間起是安全的。目前頂級CA和Google、蘋果等公司都采用基于SHA-256算法作為SSL證書和代碼簽名證書的主流簽名算法。

1.4. SHA-3算法

SHA-3算法正式發布于2015年，SHA-3并不是要取代SHA-2，因為SHA-2目前并沒有出現明顯的弱點。由于對MD5、SHA-0和SHA-1出現成功的破解，NIST感覺需要一個與之前算法不同的，可替換的加密Hash算法，也就是現在的 SHA-3。

SHA-3選用keccak算法為標準，以太坊便是采用keccak算法。

2. DSA數字簽名算法

DSA全稱Digital Signature Algorithm，DSA只是一種算法，和RSA不同之處在于它不能用作加密和解密，也不能進行密鑰交換，只用于簽名，所以它比RSA要快很多，其安全性與RSA相比差不多。DSA的一個重要特點是兩個素數公開，這樣，當使用別人的p和q時，即使不知道私鑰，你也能確認它們是否是隨機產生的，還是作了手腳。RSA算法卻做不到。

DSA的整個簽名算法流程如下：

• a. 發送方使用SHA-1和SHA-2編碼將發送內容加密產生的數字摘要；
• b. 發送方用自己的專用密鑰對摘要進行再次加密得到數字簽名；
• c. 發送方將原文和加密后的摘要傳給接收方；
• d. 接收方使用發送方提供的密鑰對進行解密 ，同時對收到的內容用SHA-1/SHA-2編碼加密產生同樣的摘要；
• e. 接收方再將解密后的摘要和d步驟中加密產生的摘要進行比對，如果兩者一至，則說明傳輸過程的信息沒有被破壞和篡改，否則傳輸信息則不安全。

3. ECDSA橢圓曲線數字簽名算法

ECDSA是用于數字簽名，是ECC與DSA的結合，整個簽名過程與DSA類似，所不一樣的是簽名中采取的算法為ECC，最后簽名出來的值也是分為r,s。而ECC（全稱Elliptic Curves Cryptography）是一種橢圓曲線密碼編碼學。

ECDH每次用一個固定的DH key，導致不能向前保密（forward secrecy），所以一般都是用ECDHE（ephemeral）或其他版本的ECDH算法。ECDH則是基于ECC的DH（ Diffie-Hellman）密鑰交換算法。

ECC與RSA 相比，有以下的優點：

• a. 相同密鑰長度下，安全性能更高，如160位ECC已經與1024位RSA、DSA有相同的安全強度。
• b. 計算量小，處理速度快，在私鑰的處理速度上（解密和簽名），ECC遠 比RSA、DSA快得多。
• c. 存儲空間占用小 ECC的密鑰尺寸和系統參數與RSA、DSA相比要小得多， 所以占用的存儲空間小得多。
• d. 帶寬要求低使得ECC具有廣泛得應用前景。

下表是ECC和RSA安全性比較

攻破時間(MIPS年)RSA/DSA(密鑰長度)ECC密鑰長度RSA/ECC密鑰長度比1045121065：11087681326：1101110241607：11020204821010：110782100060035：1

下表是RSA和ECC速度比較

功能Security Builder 1.2BSAFE 3.0163位ECC(ms)1,023位RSA(ms)密鑰對生成3.84,708.3簽名2.1(ECNRA)228.43.0(ECDSA)認證9.9(ECNRA)12.710.7(ECDSA)Diffie—Hellman密鑰交換7.31,654.0

在 ECDHE 密鑰交換中，服務端使用證書私鑰對相關信息進行簽名，如果瀏覽器能用證書公鑰驗證簽名，就說明服務端確實擁有對應私鑰，從而完成了服務端認證。密鑰交換和服務端認證是完全分開的。

可用于 ECDHE 數字簽名的算法主要有 RSA 和 ECDSA，也就是目前密鑰交換 + 簽名有三種主流選擇：

• RSA 密鑰交換（無需簽名）；
• ECDHE 密鑰交換、RSA 簽名；
• ECDHE 密鑰交換、ECDSA 簽名；

4. 總結

對于SSL數字證書和代碼簽名證書以及其它非對稱加密產品來說，RSA目前普及度最高，以SHA-256簽名算法最廣，對于更高級基于ECC簽名算法是需要對證書請求文件CSR和根證書都有相應的要求。

SHA-2

自2016年1月1日起大多CA已停止簽發不安全的SHA-1簽名算法，所有CA目前簽發的證書都要求基于SHA-2簽名算法。

FULL SHA-2

與SHA-2選項類似，FULL SHA-2選項將為您提供相同的SHA-2證書和中間證書，但根證書不再是基于SHA-1而是SHA-2。

ECC-FULL

和“FULL-SHA-2”選項類似，你將需要提供一個基于ECC算法的CSR，同時ECC-HYBRID ECC-HYBRID與ECC-FULL一樣，ECC的幾種算法都要求根證書是RSA。

參考文獻

• https://segmentfault.com/a/1190000012158045
• https://imququ.com/post/ecc-certificate.html
• http://blog.sina.com.cn/s/blog_a9303fd90101cgw4.html
• http://blog.csdn.net/xueyepiaoling/article/details/62433378
• http://blog.syscallx.com/2016/11/15/rsa-and-dh.html
• https://zh.wikipedia.org/wiki/SHA-2
• https://zh.wikipedia.org/wiki/SHA-3
• http://blog.csdn.net/zuiyuezhou888/article/details/7557048
• http://blog.csdn.net/u013991521/article/details/48224919
• https://technet.microsoft.com/library/security/2880823