אז פעם למדנו שחתימה דיגיטלית זה שימוש בזוג מפתחות, פרטי וציבורי,
כאשר שולח ההודעה (שהנפיק את זוג המפתחות לראשונה) משתמש במפתח הפרטי שלו,
ולכן כל אחד אחר יכול להשתמש במפתח הציבורי, ע"י לוודא שאכן הוא זה ששלח (היחיד שיש לו את המפתח הפרטי).

1. הכל טוב ויפה, אבל כאשר אני מקבל מייל שמצורף אליו קובץ המהווה חתימה דיגיטלית,
פרקטית, כיצד אני יודע שאכן מי שאני חושב ששלח לי את ההודעה, זו הוא ?
אני אמור לפתוח את הקובץ ולהסתכל (על מה ?) האם תוכנת הדואר מבצעת בדיקה ומתריאה ? (מה בדיוק היא עושה) ?

2. האם זה כמו SSL, שאני יכול להנפיק בעצמי, אבל אם אפשר לא מכיר אותי (אני לא CA) ?

3. האם חתימה דיגיטלית סטנדרטית רק מסטיחה את זהות השולח, או גם את שלמות תוכן המייל ? (פרקטית, מה היא עושה ?)

1. אתה לא. צריך third party ששניכם סומכים עליו, שאיתו אפשר לאמת (ה third party חותם על התעודה הדיגיטלית, וחתימתו על התעודה מאשר שהוא קיבל את התעודה ואימת את השולח בדרכו. בדיוק כמו ב SSL, שם ה CA חותם על ה CSR שלך...). אני חושב שמטרת המפתח הציבורי שנשלח בהודעות האלה היא אחרת לגמרי. שהנמענים, אם הם מעוניינים בכך, יוכלו להחזיר לשולח מייל מוצפן, שרק הוא יכול לקרוא (על ידי הצפנתו עם המפתח הציבורי שלו)

2. גם SSL עובד על אותה שיטת מפתחות, כך ש...

3. מייל שנחתם דיגיטלית (ולא להתבלבל עם מייל שמצורף אליו מפתח ציבורי), הוא מייל שמובטח שמי שחתם עליו, מחזיק בידיו את המפתח הפרטי שתואם למפתח הציבורי שאיתו בדקנו את החתימה, ושתוכן ההודעה לא שונה בדרך (הרי מהות החתימה היא פעולה מתמטית שמתבצעת על המידע שעליו חותמים באמצעות המפתח הפרטי...)

נמאס לכם לזכור סיסמאות? לחצו כאן!