Что мешает мне добавить свою собственную подпись к вещам?

Question

есть что-то, чего я не вижу в понимании цифровых подписей, и надеялся, что кто-то сможет его очистить.

Цифровая подпись заключается в проверке того, что что-то не было изменено и получено от человека.

Так сказать, я как-то перехватил XML-файл с подписью на нем. Я разорвать подпись, а затем внести некоторые изменения в файл. Затем я создаю новую подпись для этого файла и отправляю ее тому, кто это собирается. Они проверяют ссылку и проверяют ее. Файл не был изменен. Но это было, только подделка была также подделана. Это не должно быть возможным, так, какую гигантскую вещь мне не хватает в этой головоломке?

Answer 1

Если получатель примет документ, подписанный кем-либо, тогда ваш подход будет работать. Но подпись обычно используется в сочетании с некоторыми другими идентификационными данными, что делает замену подписи бессмысленной.

Например. когда пользователь отправляет подписанный отчет в налоговую инспекцию, отчет содержит его имя, а подпись должна содержать его имя. И эта подпись доказывает, что Джон Доу санкционировал или составил это сообщение сам. Если вы замените подпись, она будет содержать ваше имя, а получатель отчета будет сравнивать имя в отчете и подпись и отклонить документ.

Другим примером является SSL-аутентификация сервера. Сервер представляет подписанный сертификат, содержащий доменное имя или IP-адрес сервера (процедура более сложная, и я опускаю детали здесь). Клиент сравнивает данные в сертификате с адресом, к которому он подключен, и решает, может ли он доверять серверу или нет.