消息認證與數(shù)字簽名

消息認證與數(shù)字簽名第1頁，課件共55頁，創(chuàng)作于2023年2月1問題的提出通信威脅1.泄露：把消息內(nèi)容發(fā)布給任何人或沒有合法密鑰的進程。2.偽造：從一個假冒信息源向網(wǎng)絡中插入消息。3.內(nèi)容修改：消息內(nèi)容被插入刪除變換修改。4.順序修改：插入刪除或重組消息序列。5.時間修改：消息延遲或重放。6.否認：接受者否認收到消息,發(fā)送者否認發(fā)送過消息。第2頁，課件共55頁，創(chuàng)作于2023年2月25.1信息認證回顧：前面講述的對稱密碼（如DES和AES）和公鑰密碼體制（RSA）都是圍繞信息的保密性，即防止第三方獲取明文消息而展開的，但信息的完整性和抗否認性也是信息安全內(nèi)容的重要特征。保證信息的完整性和抗否認性是通過信息認證和數(shù)字簽名來實現(xiàn)的。信息認證（消息認證）驗證信息的完整性，當接收方收到發(fā)送方的報文時，接收方能夠驗證收到的報文時真實的未被篡改的。（包括順序和及時性）它包含兩方面的含義：（1）驗證信息的發(fā)送者是真正的而不是冒充的，即數(shù)據(jù)起源驗證；（2）驗證信息在傳遞過程中未被篡改、重放或延遲等。第3頁，課件共55頁，創(chuàng)作于2023年2月3信息認證檢驗的內(nèi)容：證實報文的信源和信宿、報文內(nèi)容是否遭到偶然或有意地篡改、報文的序號是否正確，報文到達的時間是否在指定的期限內(nèi)。這種認證只在通信的雙方之間進行，而不允許第三者進行上述認證。認證不一定實時的。保密和認證同時是信息系統(tǒng)安全的兩個方面，但它們是兩個不同屬性的問題，認證不能自動提供保密性，而保密性也不能自然提供認證功能。一個純認證系統(tǒng)的模型如下圖所示：第4頁，課件共55頁，創(chuàng)作于2023年2月4認證系統(tǒng)的模型第5頁，課件共55頁，創(chuàng)作于2023年2月5認證函數(shù)可用來做認證的函數(shù)分為三類(1)信息加密函數(shù)(Messageencryption)：將明文加密后以密文作為認證(2)信息認證碼MAC(MessageAuthenticationCode)：用一個密鑰控制的公開函數(shù)作用后，產(chǎn)生固定長度的數(shù)值作為認證符，也稱密碼校驗和。(3)散列函數(shù)(HashFunction)：是一個公開的函數(shù)它將任意長的信息映射成一個固定長度的散列值，以散列值作為認證符。常見的散列函數(shù)有：MD4、MD5、SHA和SHA-1第6頁，課件共55頁，創(chuàng)作于2023年2月65.1.1信息加密認證信息加密函數(shù)分兩種，一種是常規(guī)的對稱密鑰加密函數(shù)，另一種是公開密鑰的雙密鑰加密函數(shù)。下圖的通信雙方是，用戶A為發(fā)信方，用戶B為接收方。用戶B接收到信息后，通過解密來判決信息是否來自A，信息是否是完整的，有無竄擾。1.對稱密碼體制加密：對稱加密：具有機密性，可認證,不提供簽名第7頁，課件共55頁，創(chuàng)作于2023年2月7?如何自動確定是否收到的明文可解密為可懂的明文??一種解決辦法是強制明文有某種結(jié)構(gòu).差錯控制：ErrorControl第8頁，課件共55頁，創(chuàng)作于2023年2月82.公鑰密碼體制加密認證：

（1）公鑰加密：具有機密性，不能提供認證（任何人都可以得到公鑰）

（2）私鑰加密：認證和簽名，沒有保密性第9頁，課件共55頁，創(chuàng)作于2023年2月9（3）公鑰加密體制：機密性，可認證和簽名第10頁，課件共55頁，創(chuàng)作于2023年2月105.1.2消息認證碼（MAC）消息認證碼（MAC）是在密鑰的控制下將任意長的消息映射到一個簡短的定長數(shù)據(jù)分組，并將它附加在消息后。MAC進行消息的認證過程如圖：消息認證算法K消息MAC消息MAC認證算法KMAC比較認證碼的使用MAC的基本用法(a)第11頁，課件共55頁，創(chuàng)作于2023年2月11AB:M||CK(M)即A使用雙方共享的密鑰K對明文進行計算，產(chǎn)生一個短小的數(shù)據(jù)塊，即消息驗證碼MAC=CK(M)。發(fā)送給接收方B時，將它附加在報文中。接收方收到報文使用相同的密鑰K執(zhí)行相同的計算，得到新的MAC。接收方將收到的MAC與計算得到MAC進行比較，如果相匹配，那么可以保證報文在傳輸過程中維持了完整性：（1）報文未被更改過（2）接收者確信報文來自真實的發(fā)送者。（無人知曉密鑰）注意：上述認證過程只提供認證、不提供保密性。第12頁，課件共55頁，創(chuàng)作于2023年2月12MAC的基本用法(b)提供消息認證與保密，認證碼與明文連接Providesauthentication--onlyAandBshareK1Providesconfidentiality--onlyAandBshareKK22AB:EK2(M||CK1(M))第13頁，課件共55頁，創(chuàng)作于2023年2月13MAC的基本用法(c)提供消息認證與保密，認證碼與密文連接Providesauthentication--UsingK1Providesconfidentiality--UsingK2AB:EK2(EK2(M)||CK1(EK2(M)))第14頁，課件共55頁，創(chuàng)作于2023年2月14消息認證VS常規(guī)加密MAC函數(shù)類似于加密函數(shù)，主要區(qū)別在于MAC函數(shù)不需要可逆而加密函數(shù)必須是可逆的，因此，認證函數(shù)比加密函數(shù)更不易破解。保密性與真實性是兩個不同的概念根本上,信息加密提供的是保密性而非真實性加密代價大(公鑰算法代價更大)認證函數(shù)與保密函數(shù)的分離能提供功能上的靈活性某些信息只需要真實性,不需要保密性

–廣播的信息難以使用加密(信息量大)–網(wǎng)絡管理信息等只需要真實性

–政府/權(quán)威部門的公告第15頁，課件共55頁，創(chuàng)作于2023年2月155.2散列（Hash）函數(shù)散列函數(shù)（又稱雜湊函數(shù)）是對不定長的輸入產(chǎn)生定長輸出的一種特殊函數(shù)：h=H(M)M:變長消息

h=H(M)是定長的散列值（或稱消息摘要）

H：散列函數(shù)，是公開的；H(M)又稱為：哈希函數(shù)、數(shù)字指紋（Digitalfingerprint)、壓縮（Compression)函數(shù)、數(shù)據(jù)鑒別碼（Dataauthenticationcode）等散列值在信源處被附加在消息上，接收方重新計算散列值來確認消息未被篡改。由于函數(shù)本身公開，傳送過程中需要對散列值加密保護（如果沒有對散列值的保護，篡改者可以在修改消息的同時修改散列值，從而使散列值的認證功能失效）。第16頁，課件共55頁，創(chuàng)作于2023年2月165.2.1散列函數(shù)的性質(zhì)散列函數(shù)的目的是為文件、消息或其他的分組數(shù)據(jù)產(chǎn)生“指紋”。用于消息認證的散列函數(shù)H具有如下性質(zhì):（1）H能用于任何大小的數(shù)據(jù)分組，都能產(chǎn)生定長的輸出。（2）對于任何給定的x，H(x)要相對易于計算。（3）對任何給定的散列碼h,尋找x使得H(x)=h在計算上不可行（單向性）。（4）對任何給定分組x，尋找不等于x的y，使得H(x)=H(y)在計算上不可行（弱抗沖突）。（5）尋找任何的（x,y），使得H(x)=H(y)在計算上不可行（強抗沖突）。第17頁，課件共55頁，創(chuàng)作于2023年2月17注意：前兩個性質(zhì)使得散列函數(shù)用于消息認證成為可能。第二和第三個性質(zhì)保證H的單向性，保證攻擊者無法通過散列值恢復消息。第四個性質(zhì)保證了攻擊者無法在不修改散列值的情況下替換消息而不被察覺。第五個性質(zhì)比第四個更強。保證了一種被稱為生日攻擊的方法無法湊效。生日問題：一個教室中，最少應有多少學生，才使至少有兩人具有相同生日的概率不小于1/2？實際上只需23人,即任找23人，從中總能選出兩人具有相同生日的概率至少為1/2。第18頁，課件共55頁，創(chuàng)作于2023年2月18通過以下方式使用散列函數(shù)常提供消息認證（1）使用對稱加密算法對附加消息摘要的報文進行加密AB:EK(M||H(M))提供保密、認證（2）使用對稱加密方法對消息摘要加密AB:M||EK(H(M))提供認證（3）使用發(fā)方的私鑰對消息摘要進行加密AB:M||EKRa(H(M))提供數(shù)字簽名、認證（4）在（3）的基礎(chǔ)上，使用對稱加密方法進行加密AB:EK(M||EKa(H(M)))提供數(shù)字簽名、認證和保密（5）假定雙方共享一個秘密值S，與消息M串接，計算散列值A(chǔ)B:M||(H(M||S))提供認證（6）假定雙方共享一個秘密值S，使用散列函數(shù)，對稱加密方法AB:EK(M||H(M||S))提供數(shù)字簽名、認證和保密第19頁，課件共55頁，創(chuàng)作于2023年2月19認證和保密認證認證和數(shù)字簽名第20頁，課件共55頁，創(chuàng)作于2023年2月20認證保密和數(shù)字簽名認證S:雙方共享的秘密值認證保密和第21頁，課件共55頁，創(chuàng)作于2023年2月21HashvsMACMAC需要對全部數(shù)據(jù)進行加密MAC速度慢Hash是一種直接產(chǎn)生認證碼的方法第22頁，課件共55頁，創(chuàng)作于2023年2月225.2.2散列函數(shù)的結(jié)構(gòu)為了對不定長的輸入產(chǎn)生定長的輸出，并且最后的結(jié)果要與所有的字節(jié)有關(guān)，大多數(shù)的散列函數(shù)的結(jié)構(gòu)都采用了分塊填充鏈接的模式，其結(jié)構(gòu)是迭代型的。以MD4為例講解散列函數(shù)的結(jié)構(gòu)

MD4散列函數(shù)將輸入數(shù)據(jù)分為L個固定長度為b比特的分組。輸入數(shù)據(jù)包括：消息、填充數(shù)據(jù)和消息的長度值（消息長度值用64比特表示）。

說明：填充數(shù)據(jù)的目的是使輸入數(shù)據(jù)為b比特的倍數(shù)；增加消息長度值將增加攻擊者攻擊的難度。散列函數(shù)的結(jié)構(gòu)如圖所示：第23頁，課件共55頁，創(chuàng)作于2023年2月23fbnVi=CV0CV1fbnCV2fbnCVL-1CVLnnY0Y1YL-1迭代型散列函數(shù)的結(jié)構(gòu)MD4算法如下：CV0=ViCVi=f(CVi-1,Yi-1)h=H(M)=CVL=f(CVL-1,YL-1)Vi：初始鏈接變量CVi-1：連接變量；f：壓縮函數(shù)(由若干輪處理組成)；通常b>n第24頁，課件共55頁，創(chuàng)作于2023年2月245.2.3MD5算法RonRivest于1990年提出了一個稱為MD4的散列函數(shù)。他的設計沒有基于任何假設和密碼體制，不久，他的一些缺點也被提出。為了增強安全性和克服MD4的缺陷，Rivest于1991年對MD4作了六點改進，并將改進后的算法稱為MD5.MD5算法：將明文按512比特進行分組，即MD5中的b=512bit，經(jīng)填充后信息長度為512的倍數(shù)（包括64比特的消息長度）。填充：首位為1，其余補0至滿足要求，即填充后的比特數(shù)為512的整數(shù)倍減去64，或使得填充后的數(shù)據(jù)長度與448模512同余。第25頁，課件共55頁，創(chuàng)作于2023年2月25100…0消息K比特Lx512比特1到512比特的填充消息長度Y0512bitHMD5512128CV0=VIY1512bitHMD5512128CV1Yq512bitHMD5512128CVqYL-1512bitHMD5512128CVlL-1……消息摘要128bitMD5的框圖第26頁，課件共55頁，創(chuàng)作于2023年2月265.2.4安全散列算法（SHA）舉例：MD5算法：已知消息為“河北工業(yè)大學分校電子Z08級的信息安全技術(shù)是一門專業(yè)基礎(chǔ)課，我們必須學好?！庇嬎闾畛溟L度為多少？（標點符號為全角）（392）

目前，MD5被認為是易受攻擊的（很容易遭遇強碰撞的生日攻擊），因此，有必要用一個具有更長散列碼和更能抗擊已知密碼分析攻擊的散列函數(shù)來代替現(xiàn)在流行的MD5?，F(xiàn)在已經(jīng)有兩個散列碼長度為160比特的替代者SHA-1和RIPEMD-160。我們了解SHA-1即可。第27頁，課件共55頁，創(chuàng)作于2023年2月27第28頁，課件共55頁，創(chuàng)作于2023年2月28安全散列算法SHA(SecureHashAlgorithm)是由美國國家標準和技術(shù)協(xié)會提出的，并作為聯(lián)邦信息處理標準在1993年公布。1995年又發(fā)布了一個修訂版，通常稱為SHA-1。SHA是基于MD4算法的。MD5與SHA-1對比

MD5SHA-1消息長度128bit160bit分組長度512bit512bit步驟數(shù)6480消息最大長度

264-1速度較快慢第29頁，課件共55頁，創(chuàng)作于2023年2月29Hash函數(shù)MD5：對輸入消息（任意長）按照512位進行分組處理，輸出128位消息摘要SHA-1：輸入長度小于2^64位消息，按512位進行分組處理，輸出160位消息摘要。RIPEMD-160：對輸入消息（任意長）按照512位進行分組處理，輸出160位消息摘要第30頁，課件共55頁，創(chuàng)作于2023年2月305.3數(shù)字簽名體制數(shù)字簽名是電子商務安全的一個非常重要的分支，在大型網(wǎng)絡安全通信中的密鑰分配、安全認證、防否認等方面具有重要作用。1999年美國參議院已通過了立法，規(guī)定數(shù)字簽名與手寫簽名的文件、郵件在美國具有同等的法律效力。前面我們講述的消息認證是保護通信雙方之間不受第三方的攻擊，但卻無法防止通信雙方中一方對另一方的欺騙。如A偽造一個消息并使用與B共享的密鑰產(chǎn)生該消息的認證碼，然后聲稱該消息來自于B，同樣，B也可以對自己給A發(fā)送的消息予以否認。因此，除了認證之外還需要其他機制來防止通信雙方的抵賴行為，最常見的是數(shù)字簽名技術(shù)。第31頁，課件共55頁，創(chuàng)作于2023年2月315.3.1數(shù)字簽名原理傳統(tǒng)的軍事、政治、外交活動中的文件、命令和條約及商業(yè)中的契約等需要人手工完成簽名或印章，以表示確認和作為舉證等。隨著計算機通信網(wǎng)絡的發(fā)展，人們更希望通過電子設備實現(xiàn)快速、遠距離交易，數(shù)字簽名就由此應運而生，并被用于商業(yè)通信系統(tǒng)。數(shù)字簽名：在公鑰體制下的簽名，用戶用自己的私鑰對原始數(shù)據(jù)的哈希摘要進行加密，然后信息接收者使用信息發(fā)送者的公鑰對附在原始信息后的數(shù)字簽名進行解密后獲得哈希摘要，并通過與用自己收到的原始數(shù)據(jù)產(chǎn)生的哈希摘要對照，便可確信原始信息是否被篡改，這樣就保證了數(shù)據(jù)傳輸?shù)牟豢煞裾J性。第32頁，課件共55頁，創(chuàng)作于2023年2月32案例中國首例電子郵件案例

1996年7月9日,北京市海淀區(qū)法院審理國內(nèi)第一起電子郵件侵權(quán)案。此案的原、被告均系北大心理學系93級女研究生。4月9日。原告薛燕戈收到美國密執(zhí)安大學教育學院通過互聯(lián)網(wǎng)發(fā)給她的電子郵件。內(nèi)容是該學院將給她提供1.8萬美元金額獎學金的就學機會，她非常高興。因為這是唯一一所答應給她獎學金美國名牌大學。此后，她久等正式通知，但杳無音訓，蹊蹺之中委托在美國的朋友去密執(zhí)安大學查詢。4月27日朋友告知，密執(zhí)安大學收到一封北京時間4月12日10時16分發(fā)出的署名薛燕戈的電子郵件，表示拒絕該校的邀請。因此密執(zhí)安大學以將原準備給薛的獎學金轉(zhuǎn)給他人。第33頁，課件共55頁，創(chuàng)作于2023年2月33

法庭上，薛燕戈說，密執(zhí)安大學發(fā)來的電子郵件，是她和被告張男一起去北大心理學認知心理學實驗室看到的，并且存放在張男的電子信箱里。薛燕戈認為，是張男在4月12日10時16分用薛的名義給密執(zhí)安大學發(fā)了一封郵件，謊稱薛已接受其他學校的邀請，故不能去該校學習。薛從北大計算中心取得4月12日的電子郵件記錄，與美國取證回來的材料完全吻合。因此，薛提出訴訟請求：被告承認并公開道歉，又被告承擔原告的調(diào)查取證以及和美國學校交涉的費用、醫(yī)療費和營養(yǎng)費用、精神損失補償?shù)热嗣駧?.5萬元。張男在法庭上稱，事實上她從未以薛的名義給密執(zhí)安大學發(fā)過電子郵件，對此事沒有絲毫責任。

第34頁，課件共55頁，創(chuàng)作于2023年2月34

此案在開庭審理后，盡管到底誰借原告之名向密執(zhí)安大學發(fā)出拒絕接受入學邀請的電子郵件，使原告喪失了一次出國深造的機會，并沒有得出確切結(jié)論。但是在休庭之后，被告終于向原告承認，該電子郵件時她所為，并愿意就此向原告道歉并賠償因其侵權(quán)行為給原告造成的精神及財產(chǎn)損失。經(jīng)過法院調(diào)解，原、被告雙方當事人自愿達成協(xié)議：被告以書面形式向原告賠禮道歉，并賠償原告精神損害、補償經(jīng)濟損失共計1.2萬元。如果郵件的發(fā)送附加了可防偽和可追蹤的數(shù)字簽名，也許本案就不會發(fā)生了。第35頁，課件共55頁，創(chuàng)作于2023年2月351.數(shù)字簽名的設計要求依賴性：簽名必須是依賴于被簽名信息的比特模式（依賴性）唯一性：簽名必須使用某些對發(fā)送者是唯一的信息，以防止雙方的偽造與否認可用性：必須相對容易生成該數(shù)字簽名，在存儲器中保存一個數(shù)字簽名副本是現(xiàn)實可行的可驗證：必須相對容易識別和驗證該數(shù)字簽名，抗偽造：偽造該數(shù)字簽名在計算上具有不可行性，既包括對一個已有的數(shù)字簽名構(gòu)造新的消息，也包括對一個給定消息偽造一個數(shù)字簽名第36頁，課件共55頁，創(chuàng)作于2023年2月362.數(shù)字簽名與手寫簽名的區(qū)別簽名：手簽是被簽文件的物理組成部分，而數(shù)字簽名不是被簽文件的物理組成部分，因而需要將簽名連接到被簽文件上。驗證：手寫簽名是通過將它與真實的簽名進行比較來驗證；而數(shù)字簽名是利用已經(jīng)公開的算法來驗證。數(shù)字簽名消息的復制品與其本身是一樣的；而手寫簽名的復制品與原品是不同的。第37頁，課件共55頁，創(chuàng)作于2023年2月373.數(shù)字簽名應滿足的基本條件簽名者不能否認自己的簽名接收者能夠驗證簽名，而其他任何人都不能偽造簽名當關(guān)于簽名的真?zhèn)伟l(fā)生爭執(zhí)時，存在一個仲裁機構(gòu)或第三方能夠解決爭執(zhí)第38頁，課件共55頁，創(chuàng)作于2023年2月384.數(shù)字簽名的分類按明文、密文對應關(guān)系劃分：確定性數(shù)字簽名（RSA體制）和非確定數(shù)字簽名（ElGamal體制）按照簽名方式：直接數(shù)字簽名和需仲裁的數(shù)字簽名按照簽名內(nèi)容的多少劃分：對整個消息簽名和對壓縮消息的簽名安全性:無條件安全的數(shù)字簽名和計算上安全的數(shù)字簽名可簽名次數(shù):一次性的數(shù)字簽名和多次性的數(shù)字簽名。第39頁，課件共55頁，創(chuàng)作于2023年2月39直接數(shù)字簽名直接數(shù)字簽名可通過四種方法實現(xiàn)直接數(shù)字簽名僅涉及通信方。假設接收方知道發(fā)方的公鑰。數(shù)字簽名通過使用發(fā)方的私鑰對整個消息進行加密或使用發(fā)方的私鑰對消息的散列碼（消息摘要）進行加密來產(chǎn)生。(1)A→B:EKRa[M]提供了認證與簽名?只有A具有KRa進行加密;?傳輸中無法被篡改?需要某些格式信息/冗余度?任何第三方可以用KUa驗證簽名第40頁，課件共55頁，創(chuàng)作于2023年2月40直接數(shù)字簽名(2)A→B:EKUb[EKRa(M)]提供了保密(KUb)、認證與簽名(KRa)(3)A→B:M||EKRa[H(M)]提供認證及數(shù)字簽名--H(M)受到密碼算法的保護--只有A能夠生成EKRa[H(M)]4)A→B:EK[M||EKRa[H(M)]]提供保密性、認證和數(shù)字簽名第41頁，課件共55頁，創(chuàng)作于2023年2月41直接數(shù)字簽名的缺點?驗證模式依賴于發(fā)送方的保密密鑰（1）發(fā)送方要抵賴發(fā)送某一消息時，可能會聲稱其私有密鑰丟失或被竊，從而他人偽造了他的簽名。（2）通常需要采用與私有密鑰安全性相關(guān)的行政管理控制手段來制止或至少是削弱這種情況，但威脅在某種程度上依然存在。（3）改進的方式：例如可以要求被簽名的信息包含一個時間戳（日期與時間），并要求將已暴露的密鑰報告給一個授權(quán)中心。?X的某些私有密鑰確實在時間T被竊取，敵方可以偽造X的簽名及早于或等于時間T的時間戳第42頁，課件共55頁，創(chuàng)作于2023年2月42仲裁數(shù)字簽名引入仲裁者

–通常的做法是所有從發(fā)送方X到接收方Y(jié)的簽名消息首先送到仲裁者A，A將消息及其簽名進行一系列測試，以檢查其來源和內(nèi)容，然后將消息加上日期并與已被仲裁者驗證通過的指示一起發(fā)給Y。仲裁者在這一類簽名模式中扮演敏感和關(guān)鍵的角色

–所有的參與者必須極大地相信這一仲裁機制工作正常（trustedsystem）第43頁，課件共55頁，創(chuàng)作于2023年2月43仲裁數(shù)字簽名技術(shù)單密鑰加密方式仲裁者可以看見消息X與A之間共享密鑰Kxa，Y與A之間共享密鑰Kay；X：準備消息M，計算其散列碼H(M)，用X的標識符IDx和散列值構(gòu)成簽名，并將消息及簽名經(jīng)Kxa加密后發(fā)送給A；A：解密簽名，用H(M)驗證消息M，然后將Idx，M，簽名和時間戳一起經(jīng)Kay加密后發(fā)送給Y；Y：解密A發(fā)來的信息，并可將M和簽名保存起來。第44頁，課件共55頁，創(chuàng)作于2023年2月44解決糾紛：Y：向A發(fā)送EKay[IDx||M||EKxa[IDx||H(M)]]A：用Kay恢復IDx，M和簽名（EKxa[IDx||H(M)]），然后用Kxa解密簽名并驗證散列碼注意：在這種模式下Y不能直接驗證X的簽名，Y認為A的消息已認證，只因為它來自A，因此雙方都需要高度相信A：?X必須信任A沒有暴露Kxa并且沒有生成錯誤的簽名，EKxa[IDx||H(M)]?Y必須信任A僅當散列值正確并且簽名確實是X產(chǎn)生的情況下才發(fā)送的EKay[IDx||M||EKxa[IDx||H(M)]||T]?雙方都必須信任A處理爭議是公正的。第45頁，課件共55頁，創(chuàng)作于2023年2月45解決糾紛：只要A遵循上述要求，則X相信沒有人可以偽造其簽名；Y相信X不能否認其簽名。上述情況還隱含著A可以看到X給Y的所有信息，因而所有的竊聽者也能看到。第46頁，課件共55頁，創(chuàng)作于2023年2月46(b)單密鑰加密方式，仲裁者不可以看見消息在這種情況下，X與Y之間共享密鑰Kxy，X：將標識符IDx,密文EKxy[M]，以及對IDx和密文消息的散列碼用Kxa加密后形成簽名發(fā)送給A。A：解密簽名用散列碼驗證消息，這時A只能驗證消息的密文，而不能讀取其內(nèi)容，然后A將來自X的所有信息加上時間戳并用Kay加密后發(fā)送給Y。(a)和(b)共同存在一個共性問題：A和發(fā)送方聯(lián)手可以否認簽名的信息；A和接收方聯(lián)手可以偽造發(fā)送方的簽名；第47頁，課件共55頁，創(chuàng)作于2023年2月47(c)雙密鑰加密方式仲裁者不可以看見消息X：對消息M雙重加密：首先用X的私有密鑰KRx，然后用Y的公開密鑰Kuy。形成一個簽名的、保密的消息。