数字签名——我指的不是用 ApplePen 在 PDF 上的涂鸦，而是具有防伪功能，基于密码学的数学签名——在其发明 40 年之后，终于在各国都基本获得了认可。

数字签名技术是信息安全机制中的一种重要技术。已经广泛应用于电子商务和通信系统中 , 包括身份认证 , 数据完整性 , 不可否认性等方面 , 甚至在日常的电子邮件中也有应用。数字签名提出的目的就是在网络环境下模拟日常的手工签名或印章 , 它可以抵御冒充、篡改、伪造、抵赖问题。数字签名的安全特性是 : 不可否认性 , 不可伪造性。

数字签名算法一般采用非对称密钥密码体制来实现。常见的数字签名算法有 :RSA, 其安全性是基于求解离散对数的困难性 ;DSA, 其安全性是基于对有限域的离散对数问题的不可实现性 ;ECDSA(椭圆曲线数字签名算法 ,Elliptic CurveDigital Signature Algorithm), 其安全性给予椭圆曲线离散对数问题的不可实现性) 等 。

法律上认可的数学签名是需要证书的，用以证明签名者在真实世界里的身份。

有些国家对发证机构有偏好，比如中国要求发证机构从工信部获得牌照。比如德国、丹麦等国政府直接发证。在我们这里新加坡，Netrust 似乎是唯一一家按 2010 年新加坡电子交易法案认可的发证机构。

为了做一个听党的话的好公民，我从指定的发证机构为我们的创业公司申请了证书，以便完全合法地在在新加坡使用数字签名签合同。我觉得可以借这个机会做一下数字签名的科普，顺带点评一下各国数学签名技术的优劣。

我从 Netrust 获得的证书是 2048 位 RSA，装在一个 Alladin 牌的 U 盾里。

2048 位 RSA 如今算是比较标准的。不是因为它绝对安全仿伪，而是因为它是效率和安全性都不错。效率这里是指每秒钟一个 U 盾能签的次数。显然对于签合同这种事，每秒能签 1000 个和 10 秒能签 1 个实际差别不大。加上合同常常有十年有效期，所以这个 2048 位 RSA 比起 10 秒才能签一次的爱沙尼亚电子居民证书算是比较凑合的。实际上，用暴力伪造爱沙尼亚电子居民证书的难度是伪造新加坡这个的 1 亿亿亿倍（1 后面 24 个零）。

为什么新加坡不使用这样高强度的签名系统？其实效率不是重点。有些公司要求每一封电子邮件都有数字签名，所以能签得快一点确实有好处（国内的区块链大牛谢晗剑每封电子邮件都用 2048 位 RSA 签名，尽管没有公司老板逼他），但是即使提高伪造难度 1000 倍，也没有人会感觉出区别。那么我们为什么还在用这套技术？

原因之一是软件支持落后。现在的合同文件大多是 PDF 1.5 版的，最多只能支持 2048 位 RSA 证书。在支持安全技术方面，Adobe 公司可以算是屡教不改的反动分子，每次技术更新都是必不得己而后行。很多电子邮件软件不能验更安全的签名。

实际上，爱沙尼亚，作为全球数学签名技术领先的国家，使用了一种新的文件格式 ASICE，应用欧盟标准（而非 PDF），一部分的原因就是 PDF 还不支持它使用的安全签名技术 384 位 ECDSA。还有其它原因是爱沙尼亚有更多安全要求，比如对数字签名的日期作证，还有管理方便的原因，比如一份合同和其多份附件可以一起签，不用做到同一个 PDF 文件里。不过，大家都觉得电脑文件格式已经太多了。

话既然讲到这里，就得解释一下为什么 ECDSA 是更为安全的技术。ECDSA 发明几十年以来，虽然性能更好，却无人问津，直到比特币出现，使用了 256 位 ECDSA，大家才重视。比特币的发明人中本聪知道数学签名的安全性是按十年计算的。我们现在流行的 2048 位 RSA，20 年前是美国禁止出口的军方技术，而当时的民间技术伪造难度只有约百万分之一。现在我们觉得 2048 位 RSA 算是安全，二十年后就是不够安全了。比特币完全可以活二十年，中本聪想，所以要使用最新密码学技术。

这里我要特别说明一下，密码学技术从发明到实用一般有 30 年周期。比如 ECC 是 80 年代发明的，到了中本聪发明比特币时候才刚刚开始有人用。最近这几年，密码学技术从发明到实用只有半年到一年的周期，这都是因为区块链，以前密码学家常常不指望着有生之年他们发明的新技术被广泛使用。

尽管密码学的应用非常缓慢，直到中本聪之后才进入大跃进模式，但是在新加坡这边看也不算差。政府要求建筑合同备案需要数字签名，要不然假签名不等到起官司是不知道有做假的。个人也常有申请数字签名的，虽然大多只用它报车辆管理资料这一件事（相关部门只收数学签名的文件）。

讲到这了我得说一个新闻。去年下半年（2017 年），PDF2.0 新标准，即 ISO 32000-2:2017，终于，终于，在 ECDSA 发明 30 年之后，宣布 PDF 文件兼容 ECDSA 了！

这样看来，不出十年，就会有人可以用 ECDSA 签 PDF 合同了，不过，到时候数学签名的 PDF 合同也就不流行了，因为都用智能合约签名了。

密码学关注更多的并不是加密解密的各种数学算法，而是在已有数学算法上如何实现各种安全需求。防止消息泄露只是众多安全问题中的冰山一角，而这个问题本身又有很多复杂的变化。