本文力圖以最淺顯的語言解釋數字證書和數字簽名的科學原理，以及它們對網上交易信息的安全保障機制，可供各位網民參考。

網上銀行交易中的安全問題
　　在網上交易中，交易雙方互不見面，有兩個安全問題是會引起擔心的。第一個問題是交易雙方身份是否真實，會不會被人假冒。換句話說，就是在網上發送交易信息的主體是否是真實的。第二個問題是有關交易的信息，如對方的銀行賬號、金額等是否屬實，有沒有被人篡改過。

　　在傳統交易中，交易者身份的真實性通過各種證件的出示和驗證得到檢驗；交易信息的真實有效性則通過簽名蓋章來解決。

　　然而在網上交易中，傳統的實物證件的查驗和手寫的簽名蓋章都不可能實現。那這兩個問題又是怎么解決的呢？有辦法。那就是用含有先進科技的數字證書和數字簽名。

公鑰密碼技術保護交易信息的安全
　　我們還是從網上傳遞的信息講起。
　　兩個人在互聯網上作交易，保護交易信息的手段有多種，其中最重要的手段是信息加密技術。加了密的信息只有用密鑰才能解開，雙方可以提前約定密鑰，只要密鑰妥善保管，只有買賣雙方知道，任何其他人破不了密，交易信息的傳遞就安全。現代的密碼技術強度很大，可以充分地保證密碼信息的安全。（請讀者牢記這一事實，它是數字簽名和數字證書存在的基礎。）

　　但是在互聯網上，參加交易的人很多，例如銀行，要面對成千上萬的客戶。想要一個一個地與每個客戶約定密鑰就變得不可能了。為了解決這個問題，一種新型的密碼技術——公鑰密碼技術應運而生。在這種密碼技術中，每個通信者擁有一對獨特的密鑰——公鑰和私鑰。公鑰可以在網上公開，私鑰則密不示人，而且是唯一的。

　　如果某甲要向某乙發送交易信息，就用在網上公開的某乙的公鑰來加密信息，送出去，某乙收到加密的信息后可以用自己的私鑰來解密。其他人即使截獲了加密的信息也無計可施，因為沒有某乙的私鑰是解不了密的。這樣就保證了交易信息的安全。反過來，某乙向某甲發信息的過程可依此類推。

數字簽名的原理
　　利用公鑰技術還可以達到另一個目的，就是解決信息的完整性和有效性。
　　如果某甲用自己的私鑰加密交易信息，傳給某乙，某乙可以用某甲的公鑰來解密信息。這時，這個被加密的交易信息，例如支付的金額，賬號等就是完整、有效的，同時也是不可抵賴的。這是因為某甲的私鑰是世界唯一的，別人不可能掌握，如果有人篡改了加密信息，某乙將無法解密。那么，從效用上講，這個用私鑰加密交易信息的動作就像為一個文件簽名蓋章一樣，經過“簽名”后的信息是完整、有效的，不可篡改，也不可抵賴。當然，實際上的數字簽名機制和過程比這要復雜一些。

　　如果交易信息很長，用私鑰去加密信息將花費較長的時間，效率太低，用戶無法接受。因此需要使用一種數學算法——哈希算法——先對這段信息作一次數學變換，把這段信息進行壓縮，形成了一段短短的“數字摘要”，讓數字摘要來“代表”信息本身。可以通過檢驗數字摘要，借以判斷信息本身是否發生了改變。這樣，我們才可以構建真正實用的數字簽名。

　　 某甲在發信前使用哈希算法求出待發信息的數字摘要，然后用私鑰對這個數字摘要進行加密而形成一段信息，這段信息就稱為數字簽名。某甲將這個數字簽名信息附在待發信息后面，一起發送過去。某乙收到信息后，一方面用某甲的公鑰對數字簽名解密，得到了摘要H；另一方面把收到的信息本身用同樣的哈希算法求出另一個摘要H’，可稱為摘要的副本。再把H和H’相比較，看看兩者是否相同。根據哈希算法的特性，如果兩個摘要H和H’完全符合，證明信息是完整的；如果不符合，就說明信息被人篡改了。?

　　由于摘要一般只有128位或160位比特，比信息本身要短千百倍，數字簽名的過程一般在一秒鐘內即可完成。

　　由于數字簽名具有數學嚴格性，黑客對交易信息哪怕只改動一個字一個比特，系統都會發現識破。又因為私鑰是不可仿造、偽造的，因此從某種意義上說，數字簽名比手寫簽名更嚴格可靠。2004年國家頒發的《中華人民共和國電子簽名法》賦予了電子簽名的法律意義，其規定，“可靠的電子簽名能夠與手寫簽名、蓋章一樣，受到法律保護”。

數字證書的原理
　　說到這，明眼的觀眾一定會發現一個關鍵的問題，就是網上公開的公鑰必須真實可靠，因為黑客也可以公布一個假的公鑰冒充某甲或某乙來引你上鉤呀。怎么來保證這個公鑰是真的呢？

　　這時候就要用到數字證書了。我們知道，身份證是由權威機關公安局頒發的，我們相信公安局，因而我們能夠通過檢驗身份證，相信持有某甲身份證的個人就是某甲本人。同樣，數字證書也是要由權威的認證機構來頒發。例如，中國金融認證中心就是一個權威可信的認證機構，它為數百萬網上銀行的用戶頒發了數字證書。

　　那么，數字證書怎樣完成網上身份的認證呢？

　　把數字證書說成是網上身份證，這是一種形象的比喻。實際上，數字證書所證明的是公鑰的真實性。

　　認證中心對用戶的身份進行嚴格的審核后，為用戶頒發數字證書。它通過公鑰加密技術對用戶的公鑰信息和用戶的身份信息作了數字簽名，把用戶所宣稱的身份信息與公鑰綁定在一起。于是，包含有用戶個人身份信息、公鑰和數字簽名的一個特殊的電子文件就形成了數字證書。數字證書可以存儲在硬盤里，也可以存儲在軟盤或USB Key里。


　　存儲數字證書的USB Key

　　在網上交易中，用戶雙方要互相驗證這個證書，用戶相信認證中心的數字簽名，也就相信這個公鑰是真實的，因而相信公鑰的持有者所發來的信息是真實的。雖然看上去數字證書認證過程與傳統的身份證認證有很大差別，但從目的和效用上看，兩者是一致的。都是證明發送交易信息主體的真實性。

　　數字證書的認證、數字簽名的發生與核驗都是由專用的應用軟件來自動實現的，速度極快，眨眼間就完成了，用戶并不需要費心做什么操作。

　　數字證書在網上交易中能夠保證交易的安全。

　　剛才我們提到了，黑客利用種種手段，盜取銀行客戶的密碼、賬號，進而企圖盜竊客戶帳戶上的資金。如果網上銀行業務采用了數字證書和數字簽名的安全機制，黑客即使輸入了正確的密碼、賬號也不能夠盜走客戶帳戶里的資金，因為黑客不掌握客戶的數字證書，也不能進行數字簽名，網上銀行系統就會拒絕交易，使黑客最終功虧一簣。

　　中國人民銀行、中國銀監會、公安部、國家工商總局曾聯合下發了《關于加強銀行卡安全管理預防和打擊銀行卡犯罪的通知》，其中強調：持卡人開通網上銀行轉賬的，應采用數字證書、電子簽名等安全認證方式，否則單筆轉賬金額不應超過1000元人民幣，每日累計轉賬金額不得超過5000元人民幣。

　　中國金融認證中心發布的2008年度網上交易調查結果中顯示，數字證書版網上銀行由于其較高的安全性而被超過半數（51.7%）的個人用戶所選擇，而在企業網銀中這一比例高達65.1%。

　　有人把數字證書昵稱為網上交易的衛兵。請廣大網上銀行用戶務必重視它，使用它。