借助数字签名基元,您可以验证是否有人篡改了您的数据。它可确保已签名数据的真实性和完整性,但不能保证其私密性。它是非对称的,也就是说,它使用一对密钥(公钥和私钥)。
数字签名基元具有以下属性:
- 真实性:除非您拥有私钥,否则无法创建可供
PublicKeyVerify.Verify(signature, message)进行验证的签名。 - 非对称:创建签名所用的密钥与验证签名所用的密钥不同。这样,您就可以将公钥分发给无法自行创建签名的各方,以便他们验证签名。
如果您不需要不对称性,不妨改用更简单、更高效的 MAC 基元。
数字签名的功能在 Tink 中表示为一对基元:
- 用于对数据进行签名的 PublicKeySign
- 用于验证签名的 PublicKeyVerify
选择密钥类型
对于大多数用例,我们建议使用 ECDSA_P256,但您也可以选择其他选项。一般来说,以下情况成立:
- ECDSA_P256 是最常用的选项,也是合理的默认选项。不过请注意,ECDSA 签名是可变的。
- ED25519 会创建确定性签名,并且比 ECDSA_P256 提供更好的性能。
- RSA_SSA_PKCS1_3072_SHA256_F4 会创建确定性签名,并提供最佳验证性能(但签名速度比 ECDSA_P256 或 ED25519 慢得多)。
最低安全保障
- 要签名的数据可以是任意长度
- 128 位安全级别,可针对基于椭圆曲线的方案防范自适应选择性消息攻击
- 112 位安全级别,可针对基于 RSA 的方案防范自适应选择消息攻击(允许使用 2048 位密钥)
可塑性
如果攻击者可以为已签名的消息创建不同的有效签名,则签名方案是可变的。虽然在大多数情况下这不是问题,但在某些情况下,程序员会隐式假定有效的签名是唯一的,这可能会导致意外结果。
用例示例
请参阅对数据进行数字签名。