在建立安全通信时，有两个截然不同但又密切相关的问题

加密数据，以便只有授权人员才能解密和读取数据。 核实发件人的身份/认证。

这两个问题都可以使用公钥密码学优雅地解决。

一、数据加密与解密

Alice想要给Bob发送一条没有人能看到的消息。

Alice用Bob的公钥加密消息并发送出去。 Bob接收消息并使用他的私钥对其解密。

注意，如果A想向B发送消息，A需要使用Public B的密钥(对任何人都是公开的)，并且都不是公开的 也没有A的私钥。

因此，如果你想给我发送消息，你应该知道并使用我提供给你的公钥，只有我能够解密消息，因为我是唯一有权访问相应私钥的人。

2验证发件人的身份(身份验证)

爱丽丝想再给鲍勃发一条消息。使用上述方法解决了数据加密问题。

但是，如果我坐在Alice和Bob之间，向Bob介绍自己是Alice，并将我自己的消息发送给Bob，而不是转发Alice发送的消息呢?尽管我不能解密和读取Alice发送的原始消息(这需要访问Bob的私钥)，但我劫持了他们之间的整个对话。

Bob是否有办法确认他收到的消息实际上是Alice发送的?

Alice用她的私钥签署消息并发送出去。(实际上，签名的是消息的哈希值，例如SHA-256或SHA-512。) Bob接收并使用Alice的公钥验证它。由于Alice的公钥成功验证了消息，Bob可以推断消息已由Alice签名。

在提问者意图将该解决方案用于软件许可的内容中回答这个问题，需求如下:

没有第三方可以从反编译应用程序产生许可密钥 软件密钥的内容不需要是安全的 软件密钥不是人类可读的

数字签名将解决这个问题，因为生成密钥的原始数据可以用私钥签名，这使得它不能被人类阅读，但如果进行逆向工程，可以被解码。但是私钥是安全的，这意味着没有人能够为您的软件制作许可证(这是重点)。

请记住，您不能阻止技术人员移除产品上的软件锁。所以如果他们必须破解每个发布的版本。但您确实不希望它们能够为您的产品生成可用于所有版本的新密钥。

Python PyNaCl文档中有一个“数字签名”的例子。http://pynacl.readthedocs.org/en/latest/signing/

和氯化钠工程的原因，以C的例子

加密时，你用他们的公钥写消息，他们用他们的私钥读取消息。

在签名时，你使用你的私钥来写消息的签名，他们使用你的公钥来检查它是否真的是你的。

我想使用我的私钥来生成消息，这样只有我可能是发送者。 我希望我的公钥被用于阅读消息，我不关心谁阅读它们

这是签名，它是用你的私钥完成的。

我希望能够加密某些信息，并将其用作我的软件的产品密钥。 我只在乎我是唯一能产生这些的人。

如果你只需要自己知道它，你不需要弄乱钥匙来做到这一点。您可能只是生成随机数据并将其保存在数据库中。

但如果你想让人们知道密钥确实是你的，你需要生成随机数据，保存在数据库中，并用你的密钥签名。

我想在我的软件中包含我的公钥，以解密/读取密钥的签名。

您可能需要从Verisign或Thawte等商业提供商处购买公钥证书，以便人们可以检查是否有人伪造了您的软件，并将您的公钥替换为他们的。

加密某些数据与签署某些数据(使用RSA)之间的区别是什么?

RSA仅仅是唯一一个同时支持公钥加密和数字签名的公钥密码系统。

这通常会让初学者感到困惑，因为各种来源/讲师说

RSA解密即RSA签名。 不，它不是!

这种困惑来自教科书RSA

RSA加密教科书; 消息m并计算c = m^e mod n用于加密，m = c^d mod n用于解密。 教科书RSA签名; 消息m，计算sg = m^d mod n进行签名验证，计算m == sg^e mod n进行签名验证。

两者都不安全，在现实生活中也不会使用!

它只是颠倒了公共-私有密钥的角色吗?

不，它不是!

加密

对于RSA加密，必须使用rsasa - pkcs1 -v1_5填充或最佳非对称加密填充(OAEP)。这些填充对消息有开销。例如，PKCS1-v1_5定义为

它的电磁结构是这样的

EM = 0x00 || 0x02 || PS || 0x00 || M.

它们是什么;

PS至少是8个ff块 M是信息 第一个0x00保证EM小于模量。 其余细节，如FF块的大小等可以在rfc 8017节7.2.1中找到

因此，它有一个特殊的信息结构是安全的，最近(2018年)被证明是安全的。填充至少有11个字节的开销。

签名

正确的签名术语是签名和验证。为了实现安全签名，RSA需要RSA- pss(概率签名方案)。结构有点复杂，一张图就能说明大部分情况

一旦您散列消息并正确填充，然后您可以使用您的私钥为填充消息签名!

对于验证，使用签名消息上的公钥并使用填充规则进行验证。

更倾向于OAEP，因为RSASSA-PKCS1-v1_5很难正确实现，尽管它被证明是安全的，但这些不正确的实现在过去一年中引起了许多攻击。

最后来看看康奈尔大学的页面;

RSA签名不是RSA解密

加密某些数据与签署某些数据(使用RSA)之间的区别是什么?

加密保留了消息(“一些数据”)的机密性，而签名提供了不可抵免性:即只有签署它的实体才能签署它。还有功能上的差异;继续读下去。

它只是颠倒了公共-私有密钥的角色吗?

绝对不是。使用相同的私钥进行签名和解密(或者同样地，使用相同的公钥进行验证和加密)是不允许的，因为您不应该混合使用这些目的。这不是一个数学问题(RSA应该仍然是安全的)，而是一个密钥管理的问题，例如，签名密钥应该有更短的存活时间，并在使用前包含更多的保护。

对于相同的消息，应该使用发送方的私钥进行签名，使用接收方的可信公钥进行加密。通常使用签名后加密，否则对手可以用自己的签名替换签名。同样，您应该使用接收方的私钥进行解密，使用发送方的可信公钥进行验证。

此外，您应该理解签名生成不使用“私钥加密”。虽然所有的RSA操作都是基于模取幂，填充方案是完全不同的签名生成。此外，在RSA的所有实际应用中，公钥与RSA私钥具有完全不同的属性。

例如，我想使用我的私钥来生成消息，这样只有我可能是发送者。

这就是不可抵赖性，可以通过签名来实现。

我希望我的公钥被用于阅读消息，我不关心谁阅读它们。

公钥应该被认为是所有人都知道的。如果您希望每个人都能阅读消息，那么您只需不加密它们。

签名通常不会影响消息的内容。消息被认为是独立于签名的。这种签名在官方上被称为“带附录的签名”，其中附录就是信息。这是一个有点奇怪的名字，因为信息被认为比上面的签名更重要，但是是的。只有少数签名提供(部分)消息恢复;它们不再经常使用，通常被认为已弃用。

请注意，诸如CMS之类的签名协议可以部署包含消息和签名的容器格式。在这种情况下，您首先需要从容器中获取尚未加密的消息，就像从普通的.zip归档文件中解压缩文件一样。因此，消息可能从视图中隐藏，在这种情况下不能直接使用。

我希望能够加密某些信息，并将其用作我的软件的产品密钥。我只在乎我是唯一能产生这些的人。

加密用于实现机密性。在过去，RSA签名生成通常被认为是“用私钥加密”。然而，如上所述，操作是完全不同的，后来的标准拼命地尝试将加密和签名生成分开。

我想在我的软件中包含我的公钥，以解密/读取密钥的签名。我不关心谁可以读取密钥中的数据，我只关心我是唯一可以生成它们的可验证的人。

是的，这被称为在公钥中建立信任。但是，保护程序代码与保护消息是完全不同的。您可以执行代码签名，但随后需要一些东西来检查代码之外的签名。有一些操作系统提供这种功能。

比如微软的Authenticode。像iStore和Android应用程序商店这样的应用程序商店可能使用也可能不使用代码签名，但它们提供了一些保证，确保您的应用程序不是克隆的，或者至少不是在商店内克隆的。密码学并非总能解决问题。

让你的代码不被克隆/修改要困难得多，如果你这样做，你就会陷入数字版权管理的领域。

签名在这种情况下有用吗?

是的,当然。如果对公钥有信任，它当然可以帮助确保消息仅由您签名。它是否有助于验证应用程序代码/集成公钥，这完全取决于您希望在其中运行代码的环境。

签名是用您的私钥生成一个“散列”，可以用您的公钥进行验证。文本是明文发送的。

加密使用接收方的公钥来加密数据;解码是用他们的私钥完成的。

因此，密钥的使用不会反转(否则您的私钥将不再是私有的!)。