为什么我们需要安装数字证书？

Question

这个问题可能听起来有点愚蠢，但我真的很想知道这个。

当我们下载一个文件时，比如 abc.exe，它会使用一些组织的数字证书进行数字签名。为什么我们需要安装该证书？它有什么用？不安装怎么办？

当我在 Windows 系统中运行 certmgr.msc 时，我看到一些证书已经安装。它们是什么意思？

Answer 1

用于加密的 RSA 算法用于数字签名。 使用 RSA 进行签名如下：

1. First, a message digest is calculated.
2. The private key is used to sign the digest of the message.
3. The signature is appended to the message and transmitted to the recipient.
4. The recipient calculates the digest of the received message.
5. Then, verifying the signature requires extracting the signature from the message
and using RSA on the signature with the public key.
6. If the result of the transformation and the newly calculated digest are equal, the signature is valid.

Answer 2

如果您获得签名材料，您可能需要验证签名。

数字签名通常使用私钥创建，并且可以使用关联的公钥进行验证。

证书本质上是带有一些额外信息的公钥的传输容器。因此，要验证签名，您通常需要签名者的证书。

您安装证书以使您的系统知道它们（以允许签名验证）并告诉您的系统信任由相关私钥签名的材料。

由于必须由您要信任的每一方安装证书，工作量太大，证书可以有层次结构，某些根证书可能是多个其他证书的颁发者，并且通过信任该根，您可以隐含地信任那些其他证书发布的根目录。

如需了解更多详情，您可以通过https://security.stackexchange.com/ 询问。