Digital Signature

Planning


Outline-text

ชื่อหัวข้อที่จะนำเสนอ

  • Digital Signature คืออะไร

โครงสร้างของเนื้อหา

  1. จำนวนหัวข้อทั้งหมดที่จะนำเสนอ
    3 หัวข้อ
  2. แต่ละหัวข้อจะนำเสนออะไร
    • หัวข้อที่ 1 : Digital signature คืออะไร
    • หัวข้อที่ 2 : ขั้นตอนในการ sign signature (การเซ็น) แบ่งเป็น deterministic > ทุกครั้งที่เซ็นลายเซนต์จะเหมือนกัน / non-deterministic > ทุกครั้งที่เซ็นจะไม่เหมือนกัน (เหมือนเวลาเราเซ็นลายเซ็นกันปกติทั่วไป)
    • หัวข้อที่ 3 : ขั้นตอนในการ Verify Signature (การเช็ค)

ประเด็นสำคัญของบทความ

  • หลักการทำงาน Digital signature

สิ่งที่ผู้อ่านจะได้รับจากบทความ

  • เข้าใจการทำงานของ Digital signature

Outline-graphic

รูปแบบของกราฟฟิค + โครงสร้าง


คำถามที่รบกวนให้ Reviewer ช่วยตอบค่ะ

1. ต้องการรู้ประเด็นไหนเพิ่มเติมไหม เพราะอะไร

2. คิดว่าเรียงลำดับการนำเสนอได้ดีรึยัง ถ้าไม่ดี มีไอเดียอย่างไร

3. มีประเด็นไหนควรตัดทิ้งไหม เพราะอะไร


:memo: Content text + graphic

Digital Signature เปรียบเสมือน “ลายนิ้วมือ” ของคนเรา แต่อยู่ในรูปแบบอิเล็กทรอนิกส์ ใช้ในการตรวจสอบความถูกต้องของข้อความหรือเอกสารในรูปแบบดิจิทัล ซึ่งลายเซ็นอิเล็กทรอนิกส์ที่ถูกต้องและสมบูรณ์ ต้องเป็นไปตามข้อกำหนดดังนี้

  1. มีความถูกต้อง ( Authenticity)
  2. มีความสมบูรณ์ (Integrity)
  3. เมื่อเราทำการเซ็นไปแล้วจะไม่สามารถปฏิเสธความรับผิดชอบได้ (Non-Repudiation)

ขั้นตอนในการทำงานของ Digital Signature แบ่งออกเป็น 2 ส่วน คือ

  1. ขั้นตอนในการเซ็น Digital Signature
    คือ การนำเอาข้อความ (Message) และ คีย์ส่วนตัว (Private Key) ไปเข้ากระบวนการ Signing Algorithm จากนั้นเราจะได้ Digital Signature ออกมา

  2. ขั้นตอนในการตรวจสอบ Digital Signature
    คือ การนำเอา 1. ข้อความ (Message) 2. ลายเซ็นดิจิทัล (Digital Signature) และ 3. คีย์สาธารณะ (Public Key) ไปเข้ากระบวนการ Signature Verifying Algorithm ผลลัพธ์ที่ได้ที่ได้ออกมาจะเป็นค่า ถูก/ผิด (True/False) ซึ่งหากเป็น True แสดงว่าข้อมูลนี้ถูกต้องและไม่ได้ถูกเปลี่ยนแปลงระหว่างการส่ง แต่ถ้าหากเป็น False แสดงว่า ข้อมูลนี้ไม่ถูกต้องและอาจมีการเปลี่ยนแปลงระหว่างการส่ง

    รูปภาพ32

Reference

t-draft ok kub

@Namtan

  • Authentication หรือ authenticity ครับ ?
  • แค่ Integrity ก็พอครับ
  • ลายเซ็นต์มันจะต้องมีความถูกต้องและสมบูรณ์ใช่ไหมครับ ที่ต้องการจะสื่อ รบกวนแก้และเขียนให้กระชับเข้าใจง่ายกว่านี้ครับ วงเล็บภาษาอังกฤษดีกว่า เช่น authenticity (ความถูกต้อง)
  • มันไม่ใช่ “ได้ข้อมูลที่ถูกเข้ารหัสโดย Digital Signature” นะครับ ผลลัพธ์ที่ได้คือมันจะได้ “Digital Signature” นะครับ

ลองอ่านตรงนี้เพิ่มครับ จากภาพตัวอย่างใน wiki

Alice signs a message—“Hello Bob!”—by appending a signature computed from the message and her private key. Bob receives both the message and signature. He uses Alice’s public key to verify the authenticity of the signed message.
Blockquote

  • จะเห็นว่าเราเอาข้อความไปสร้าง Digital Signature ด้วย private key
  • เราส่ง ข้อความและ Digital Signature ไปให้คนรับ
  • คนรับใช้ public key ในการถอดรหัส Digital Signature เพื่อตรวจสอบความถูกต้องของลายเซ็นต์ (ถ้าลายเซ็นต์ถูกแสดงว่าข้อมูลที่ส่งมามันน่าเชื่อถือ หลักการคล้ายๆ เวลาเราเซ็นต์สำเนาบัตรประชาชน)
  • เขียนให้ชัดเจนครับ แยก Digital Signature ออกมาจากข้อมูล
  • ตรงนี้ปรับใหม่เขียนให้กระชับเข้าใจง่าย ลองไปเรียบเรียงมาใหม่ครับ (หลักๆ คือเรากำลังจะบอกว่า นำ hash ของข้อมูล เทียบกับ hash ที่ถอดรหัสได้จาก Digital Signature มาเทียบกัน ถ้าเหมือนกันแสดงว่า Digital Signature ถูกส่งมาจากคนที่เราเชื่อถือได้ ข้อมูลนี้ถูกต้อง)

@Namtan

อันนี้หมายถึงยังไงนะครับ มี ref ไหม อธิบายพี่เพิ่มเติมหน่อยอ่านแล้วไม่ค่อยเข้าใจตรงนี้

หมายถึงว่าถ้าลงลงนามไปแล้วไม่สามารถปฏิเสธความรับผิดชอบได้ เนื่องจาก Digital signature จะได้รับการตรวจสอบกับทุกฝ่าย ดังนั้นผู้ลงนามในข้อความจึงไม่สามารถปฏิเสธความเกี่ยวข้องกับเนื้อหาที่ลงนามได้ค่ะ

Non-repudiation[edit]

Non-repudiation,[13] or more specifically non-repudiation of origin, is an important aspect of digital signatures. By this property, an entity that has signed some information cannot at a later time deny having signed it. Similarly, access to the public key only does not enable a fraudulent party to fake a valid signature.

Note that these authentication, non-repudiation etc. properties rely on the secret key not having been revoked prior to its usage. Public revocation of a key-pair is a required ability, else leaked secret keys would continue to implicate the claimed owner of the key-pair. Checking revocation status requires an “online” check; e.g., checking a certificate revocation list or via the Online Certificate Status Protocol.[14] Very roughly this is analogous to a vendor who receives credit-cards first checking online with the credit-card issuer to find if a given card has been reported lost or stolen. Of course, with stolen key pairs, the theft is often discovered only after the secret key’s use, e.g., to sign a bogus certificate for espionage purpose.