非对称密钥沉思系列（2）：聊聊RSA与数字签名

先简单回顾下MAC

在前面的文章《消息验证码MAC入门指南》中，我们围绕消息验证码的工作原理进行了一些分析和实验。

在对消息进行MAC计算时，无论是使用HMAC亦或是CBC-MAC，它们都是基于"Encrypt-Then-MAC"的机制，其工程上的含义为：对明文加密生成密文，然后对密文进行MAC计算。

在现有的许多工程实践上，其实还存在另外两种MAC生成方式：

• MAC-Then-Encrypt 这种方式的使用，是先对明文进行MAC生成，然后将明文和MAC值一起进行加密，这种方式在早期的TLS中应用比较多。
• Encrypt-And-MAC 这种方式，也是首先对明文计算MAC值，只不过，在发送数据时，MAC值一直是保持明文的，明文的MAC值和对明文加密后的密文将会一起发送。早期的Secure Shell中就使用了这种方式。

这里多说一句，在针对消息不可篡改的使用目的上，工程学上其实更推荐"Encrypt-Then-MAC"的方式，本文不过多讨论关于这种方式安全性的算法论证，但是有一点是比较值得强调的，那就是，密码学领域的许多大佬专家都更倾向于认为，"Encrypt-Then-MAC"在避免直接修改密文的攻击手法上，效果会更好。

当然，在兼具不可篡改与保密性的加密选择上，AEAD（Authenticated Encryption With Additional Data）的方式是更值得推荐的，这一块后面有时间我们展开细聊，这篇文章先不过多探讨。

但是，无论MAC在算法实现上多么的优雅，MAC始终有一个很致命的问题，就是它需要共享密钥！

使用共享密钥意味着，一旦密钥泄露，数据的安全性将会极大的降低。

从MAC过渡到数字签名

相同的目的

与MAC的目的一样，数字签名的目的，其实也是为了验证消息来源真实性与消息不可篡改性。

消息来源真实性，在MAC中指的是，只有具有这把共享密钥的人，才可以验证通过。

消息不可篡改性，在MAC中指的是，一旦这个消息被篡改过，那么即使使用的是同一把共享密钥，最后计算出来的结果也一定具有可显式分辨的差异性。

回顾下非对称密钥的特性

在前面的文章《非对称密钥沉思系列（1）：RSA专题之PKCSv1.5填充模式下的选择性密文攻击概述》中，我们探讨了非对称秘钥的一些特性，这里总结几个比较重要的性质：

• 非对称加密总是以密钥对的形式出现，而在对称加密中总是共享一般密钥。
• 公钥和私钥，总是一个加密，另一个解密，互为对立面。
• 在RSA中，公钥可以从私钥派生出来，而反过来不行。
• 私钥应该总是保持为私有，永远不能公开。
• 公钥应该允许广泛传播，允许被任何人持有。

总的来说，任何人都可以使用密钥对中的公钥进行消息加密，同时密文总是可以被密钥对中的私钥进行解密。

也就是说，生成密文消息的人，总是知道，只有拥有私钥的人才可以解密。

如果使用私钥加密呢？

私钥是可以加密的，也就是说，加密的方向，是可以反过来的。

并且，使用使用私钥加密的消息，也只有公钥能够解密，算法上这是没有问题的。

但是，这种加密方式，在工程上有什么意义呢？？？

前面我们提到了，公钥其实可以被任何持有，也就是说，任何持有公钥的人，都能解密由私钥加密的数据，这样对数据来说，其实其保密性相当于为零！！！

但是，想想对称密钥场景下，密文能被解密，则说明，解密者必定是持有共享密钥的那个人；

同样的道理，如果持有公钥的人可以解密被私钥加密的数据，那么说明，发送私钥加密密文的人，一定是持有私钥的人！！

也就是说：

如果你得到一条可以用你的公钥解密的消息，那么你一定能确定这条消息来自于对应的私钥持有者，因为其他任何人都不能加密它。

非对称加密的效率问题

这里其实就是要强调，非对称加解密是一个很慢的过程。

相比较于对称加密解密，非对称加解密的过程是一种相当低效的过程。

也就是说，在使用非对称加解密能力时，最好不要在数据量比较大的场景下使用。

诶？？？

这个时候有没有想到什么？？？

既然不能对原始大数据做加解密，那么，能否直接怼数据的哈希做加解密呢？？

要记住，此时我们做加解密的目的，已经不是保密性，而是为了证明来源的真实性！！

RSA数字签名的基本思想

RSA数字签名，基本可以概括为以下几个步骤：

• 首先对数据进行哈希计算，得到原始数据的哈希值。
• 使用私钥对哈希值加密，此时得到的密文就是原始数据的签名。
• 将哈希密文与原始数据一起发送。
• 接收方接收到原始明文与哈希密文后，对原始明文同样计算哈希值，并使用公钥对哈希密文解密，对比两个哈希值是否一致，这个过程也叫做验签。

这里有必要再次强调，RSA的公钥加密与私钥加密，适用于不同的用途：

• 公钥加密，可以对消息保密，只有私钥所有者才能解密它
• 私钥加密，可以验证消息来源真实性，因为只有私钥持有者才能生成这个消息

在RSA工程化时间上，一般都建议：

• 使用RSA进行加密时，推荐使用OAEP的填充方式。
• 使用RSA进行签名时，推荐使用PSS的填充方式。
• PSS填充时，其掩码生成函数，有且仅有一个，那就是MGF1。

数字签名实践的决策点：先加密再签名 还是 先签名在加密？

在MAC的场景下，我们强调过，建议使用"Encrypt-Then-MAC"的方式，那么在RSA的签名场景下，我们是否也应该推荐先加密再签名的方式呢？？

这里笔者的结论是，不建议使用先对称加密再签名的方式，而是应该先对明文签名，再对明文和签名做对称加密。

在做数字签名时，消息的完整性已经不仅仅是其目的，更重要的是，我们需要验证消息来源的真实性，也就是验证发送方的身份。

MAC场景下，其共享密钥，理论上只会被两方共享，持有第三方密钥的人无法替换由真实共享密钥生成的MAC值；

而在RSA数字签名的场景下，用于创建数字签名的私钥是不被共享的，而公钥确实公开且可以被任何人持有的；

公钥只能验签，但是不能伪造签名，先签名，后加密，可以保护签名人，因为在签名之后又做了一层加密，即使第三方截获了这段消息，也没办法知道是谁发送的。

而如果先加密，后签名，则这段消息如果被第三方拦截后，其可以修改这段密文并重新生成签名，此时虽然签名用的私钥变换了，但如果第三方的公钥同样也被接收者合法采用，则接收者在验签时是有概率认为签名成功的，且此时，接收者很可能会误以为发送者来自于第三方。