身份认证的核心在于:只有持有特定私钥的人才能生成可用对应公钥验证通过的签名。私钥由所有者唯一持有且不对外泄露,任何其他人无法伪造出合法的签名。当接收方用某公钥成功验证签名时,即可确认该签名必然由持有对应私钥的发送方生成,从而实现身份认证。这一机制不依赖密码、不依赖生物特征,仅依赖密码学数学原理。
仅凭公钥验签成功只能确认"持有对应私钥的人签署了数据",但无法直接确认"这个公钥属于谁"。数字证书由权威 CA 机构签发,将持有者的身份信息(如域名、企业名称、个人身份标识)与其公钥绑定,并用 CA 的私钥对证书内容进行签名。接收方通过验证证书链,确认公钥的合法性及其与发送方身份的对应关系,从而完成完整的身份认证。
在高安全等级场景中,数字签名常与多因子认证结合使用。例如,在移动端签名操作中,用户需先通过生物特征(指纹、面容)或 PIN 码解锁私钥存储区,才能进行签名操作。这防止了私钥文件被盗后攻击者直接冒充合法用户签署数据。在企业场景中,还会结合 USB Key、HSM(硬件安全模块)等物理设备存储私钥,进一步提升身份认证的安全性。