Тонкость в терминологии, везде пишут что публичный ключ расшифровывает подпись, даже если согласиться с этой терминологией, то расшифровка подписи это единственное что может расшифровать публичный ключ. даже если взять какой-то пример из программирования и реализовать функцию проверки подписи то она звучит как расшифровка.
Островные тезисы
Сертификат один
У сертификата два ключа, приватный и публичный, эта пара ключей уникальна, и только они могут работать вместе.
Публичный для шифрования и ВАЛИДАЦИИ подписи (все называют расшифровкой, это не расшифровка, а валидация). Публичный ключ можно раздавать всем.
Приватный для расшифровки и подписи (подпись с точки зрения алгоритма это шифрование, но никто не будет ее расшифровывать, ее будут валидировать)
Когда документ подписываю, это не значит что его шифруют. При подписи берут хеш сумму документа применяют математическую функцию с использованием приватного ключа и получается подпись. математическую функцию нельзя повторить другим ключом. Документ и подпись передают другой стороне. Подпись позволяет проверить что документ не был изменен в процессе передачи и что подпись создана с использованием этого приватного ключа.
При валидации публичный ключ позволяет проверить что подпись была создана именно с использованием этого приватного ключа и документ не изменен. Так же берут хеш сумму документа и применяют математическую функцию с использованием публичного ключ. Как именнно работает алгоритм надо читать в спецификации, но это не расшифровка, а процедура валидации.
При https, сервер передает клиенту свой сертификат и публичный ключ. Клиент проверяет что сертификат валидный по множеству параметров и удостоверяется что он валидный, котом он проверяет подпись сертификата публичным ключем и тоже убеждается что она валидная, клиент генерит сессионный ключ, шифрует его публичным ключом сервера и передает ему, сервер расшифровывает сессионный ключ приватным ключом и далее клиент и сервер шифруют и расшифровывают между собой передачу данных сессионным ключом, это называется симметричное шифрование.
При шифрованной почты, у каждого клиента есть свой уникальный сертификат и своя уникальная пара ключей. При отправке письма отправителем А, письмо шифруется публичным ключом В, получатель В расшифровывает письмо своим приватным ключом. В обратную сторону наоборот. Это асимметричное шифрование т.к. у шифрование ирасшифровка происходят разными ключами. Сертификат это документ который подтверждает что А это А, а В это В.
Если взять всем известный vpn от WireGuard, то там тоже у каждого есть пара ключей, но сертификат не нужен т.к. все участники vpn сессии заранее знают кому принадлежат ключ и валидация не требуется.
Пример на пальцах.
Есть царь который издает указы на бумаге и рассылает в свои губернии, для этого он приказал изготовить одну приватную печать для себя и кучу публичных печатей для своих апричников, публичная печать не похожа на приватную, а приватная столь уникальна что никто не может ее повторить. Царь пишет указ, ставит на нем штамп приватной печатью и отправляет гонцом, апричник получает документ прикладывает к штампу на документе свою печать и у него получается некий рисунок из двух печатей по которому он понимает что на документе стоит штамп сделанный именно царской печатью и ему можно доверять. К сожаление шифрование публичной печатью так не объяснить)
