数字签名用于**验证数据来源的真实性、完整性和不可否认性**，其核心是使用私钥签名、公钥验签，适用于身份认证、文档签署、软件分发等场景

数字签名的应用通常不包括C. 密码存储✅
理由：数字签名用于验证数据来源的真实性、完整性和不可否认性，其核心是使用私钥签名、公钥验签，适用于身份认证、文档签署、软件分发等场景。而密码存储应采用加盐哈希（如 bcrypt、scrypt、Argon2）等单向不可逆方式，目的是防止明文泄露和彩虹表攻击；若用数字签名存储密码，不仅违背设计目的（签名可被公钥验证，但不应“可验证原始密码”），还可能引入私钥管理风险，且无法实现密码的单向保护。

常见数字签名典型应用包括：

• SSL/TLS 证书（验证服务器身份）
• 电子合同与政务签章（法律效力保障）
• APK/APP代码签名（Android/iOS 应用完整性校验）
• 软件发布签名（如 Linux 内核模块、GPG 签名）
• S/MIME 或 PGP 电子邮件签名（发件人身份认证）

❌ 密码存储不属于数字签名的应用范畴，属于密码学中的密钥派生与哈希保护领域。
数字签名不能用于密码存储，根本原因在于二者的设计目标、安全模型和使用方式存在本质冲突：

🔹1. 设计目标不同

• 数字签名：解决身份认证、数据完整性与不可否认性问题。它要求“可验证”——任何人持有公钥即可验证签名是否由对应私钥生成，但不隐藏原始消息内容（签名对象通常是明文摘要，而非保密数据）。
• 密码存储：核心目标是单向保护与抗逆向——即使数据库泄露，攻击者也无法从存储值恢复原始密码。这要求不可逆性、抗碰撞性、抗预计算（如彩虹表），且必须引入随机性（加盐）。

🔹2. 安全模型冲突

• 数字签名依赖私钥保密、公钥公开，验签过程天然暴露“该消息曾被某私钥签署”，若用它“存储密码”，相当于将“密码是否匹配”变成一个可被任意方（拥有公钥者）主动验证的公开操作，严重违背最小权限与保密原则。
• 更危险的是：若攻击者获取公钥和签名值，虽不能直接恢复密码，但可进行离线暴力/字典验证（即：猜一个密码 → 计算其摘要 → 用公钥验签是否匹配），而哈希加盐方案通过慢哈希（如 bcrypt）大幅增加验证成本，签名则无此防护。

🔹3. 技术机制不匹配

• 数字签名 ≠ 加密：签名是对消息摘要（如 SHA-256 值）的私钥运算，不改变原始密码的可枚举性；它不提供密钥派生（KDF）、不引入计算延迟、无盐值绑定，无法抵御批量爆破。
• 哈希加盐方案（如bcrypt(password, salt, cost)）：
  ✅ 强制唯一盐值（防彩虹表）
  ✅ 可调代价因子（防暴力加速）
  ✅ 单向函数（无法从输出反推输入）
  ✅ 专为密码场景标准化（OWASP 推荐）

✅ 正确做法：密码存储应使用专用密钥派生函数（KDF），如 bcrypt、scrypt、Argon2 或 PBKDF2；而数字签名仅用于“证明某主体对某数据的认可”，如签署登录挑战、证书、交易等。

# ❌ 错误示例：用 RSA 签名“存储”密码（极度危险！）fromcryptography.hazmat.primitives.asymmetricimportpadding,rsafromcryptography.hazmat.primitivesimporthashes private_key=rsa.generate_private_key(public_exponent=65537,key_size=2048)password=b"123456"signature=private_key.sign(password,padding.PKCS1v15(),hashes.SHA256())# 危险！签名暴露验证入口# ✅ 正确示例：用 bcrypt 安全存储密码importbcrypt password=b"123456"salt=bcrypt.gensalt(rounds=12)hashed=bcrypt.hashpw(password,salt)# 单向、加盐、慢计算