《信息系統(tǒng)安全》課件2.6-2.7 消息認(rèn)證和數(shù)字簽名

2023/11/131主要內(nèi)容1.基本概念2.消息加密認(rèn)證3.消息認(rèn)證碼4.散列函數(shù)1.基本概念2023/11/132基本概念消息認(rèn)證（MessageAuthentication,報文鑒別）:證實收到的消息來自可信的源點且未被篡改的過程目的：驗證信息的完整性，在傳送或存儲過程中沒有被篡改、冒充。

2023/11/133消息認(rèn)證主要方法消息加密認(rèn)證消息認(rèn)證碼Hash函數(shù)2023/11/134主要內(nèi)容1.基本概念2.消息加密認(rèn)證3.消息認(rèn)證碼4.散列函數(shù)2.消息加密認(rèn)證2023/11/135對稱密碼體制認(rèn)證端午節(jié)子時在南京火車站會合2023/11/136對稱密碼體制認(rèn)證問題：B如何判斷收到的密文X的合法性？如果消息M是具有某種語法特征的文本，或者M(jìn)本身具有一定的結(jié)構(gòu)：B可通過分析Y的語法或結(jié)構(gòu)特征。2023/11/137對稱密碼體制認(rèn)證端午·*iipp--會合2023/11/138對稱密碼體制認(rèn)證如果消息M是完全隨機(jī)的二進(jìn)制比特序列,B無法判斷是否正確恢復(fù)密文。解決辦法：

強(qiáng)制明文使其具有某種結(jié)構(gòu)。2023/11/139附加消息認(rèn)證2023/11/1310附加消息認(rèn)證源點A對消息明文M首先利用校驗函數(shù)F計算出消息的校驗碼C=F(M)；校驗碼C=F(M)被附加到原始消息明文上，生成新的明文[M‖C]；利用密鑰K對明文[M‖C]進(jìn)行加密，得到密文X=EK[M‖C]；將密文X發(fā)送給接收端B

終點B接收密文X；用密鑰K解密得到明文Y=DK(X)，其中Y被視為附加校驗碼的消息，即Y=[M′‖C′]；利用校驗函數(shù)F計算明文Y中消息部分的校驗碼C′=

F(M′)。2023/11/1311附加消息認(rèn)證2023/11/1312公開密鑰體制認(rèn)證2023/11/1313公開密鑰體制認(rèn)證2023/11/1314存在問題性能開銷大在某些應(yīng)用中，只需要保證報文的真實性而不需要保證保密性政府或者權(quán)威部門的公告2023/11/1315主要內(nèi)容1.基本概念2.消息加密認(rèn)證3.消息認(rèn)證碼4.散列函數(shù)3.消息認(rèn)證碼2023/11/1316消息認(rèn)證碼消息認(rèn)證碼（messageauthenticationcode,MAC）把密鑰和需要認(rèn)證的消息一起代入一個函數(shù)，計算出一個固定長度的短數(shù)據(jù)塊，稱為MAC，并附加到消息后，一起發(fā)送給接收方。MAC＝CK（M）C是MAC函數(shù)，K是通信雙方共享的密鑰，MAC是消息認(rèn)證碼2023/11/1317消息認(rèn)證碼MKMAC函數(shù)域：任意長度的報文值域：所有可能的MAC和所有可能的密鑰MAC一般為多對一函數(shù)2023/11/1318消息認(rèn)證碼的使用2023/11/1319消息認(rèn)證碼功能如果B端通過比較發(fā)現(xiàn)MAC匹配，則可確信報文M沒有被篡改過（完整性）若攻擊者更改報文內(nèi)容而未更改MAC，則接收者計算出的MAC將不同于接收到的MAC；由于攻擊者不知道密鑰K，故他不可能計算出一個與更改后報文相對應(yīng)MAC值。接收者B也能夠確信報文M是來自發(fā)送者A的（可信源點）只有A了解密鑰K，也只有A能夠計算出報文M所對應(yīng)的正確的MAC值。2023/11/1320MACVS

加密函數(shù)MAC方式更適合不需要加密保護(hù)的數(shù)據(jù)的認(rèn)證。計算代價小MAC：單向加密：雙向

MAC安全性?2023/11/1321消息認(rèn)證碼的使用2023/11/1322攻擊消息認(rèn)證碼假設(shè)攻擊者使用強(qiáng)行攻擊，且已經(jīng)獲得報文的明文和相應(yīng)的MAC,即

消息M1及其對應(yīng)的MAC1(密鑰長度為k個bit,MAC長度為n個，bit,n<k)2023/11/1323攻擊消息認(rèn)證碼已知消息M1及其對應(yīng)的MAC1(密鑰長度為k個bit,MAC長度為n個bit,n<k)對所有可能的MAC密鑰Ki

,計算消息M1

的MAC值由于密鑰空間為2k個，因此上述的計算將產(chǎn)生2k個MAC結(jié)果，而MAC的空間為2n<2k，故必然存在多密鑰產(chǎn)生相同MAC結(jié)果2k-n2023/11/1324攻擊消息認(rèn)證碼函數(shù)域：任意長度的報文值域：所有可能的MAC和所有可能的密鑰假設(shè)假設(shè)攻擊者使用強(qiáng)行攻擊，且已經(jīng)獲得報文的明文和相應(yīng)的MAC,即

2023/11/1325攻擊消息認(rèn)證碼2023/11/1326攻擊消息認(rèn)證碼大約需要進(jìn)行k/n輪才能找出一個惟一正確的密鑰。對MAC函數(shù)強(qiáng)行攻擊的難度大于對密碼的攻擊的難度。2023/11/1327主要內(nèi)容1.基本概念2.消息加密認(rèn)證3.消息認(rèn)證碼4.散列函數(shù)4.散列函數(shù)2023/11/1328基本概念hashfunction：哈希函數(shù)、摘要函數(shù)對不定長的輸入產(chǎn)生定長輸出的一種特殊函數(shù)h=H(M)輸入：任意長度的消息報文M輸出：一個固定長度的散列碼值H(M)基本用法基本用法2023/11/1331哈希函數(shù)性質(zhì)為了防止偽造hash值或通過hash值計算明文單向性對任何給定的h，尋找x使得H(x)＝h在計算上不可行。弱抗沖突性對給定x，尋找y≠x使H(y)＝H(x)在計算上不可行。弱碰撞強(qiáng)抗沖突性尋找任意y≠x使H(y)＝H(x)在計算上不可行。強(qiáng)碰撞2023/11/1332安全散列函數(shù)的結(jié)構(gòu)安全散列函數(shù)結(jié)構(gòu)由RonRivest于1990年提出一個迭代的散列函數(shù)。將輸入報文分為L個定長b比特的分組Y0,Y1，…，YL-1。最后一個分組需要填充至b

比特。最后一個分組包含了散列函數(shù)H()的輸入總長度。散列算法中重復(fù)使用了一個壓縮函數(shù)f

，f()的輸入是前一輪的n比特輸出（稱為鏈接變量）以及當(dāng)前的b比特分組，輸出為n比特的鏈接變量值。散列函數(shù)bY0nIV=CV0fbY1nfbYL-1nCVL-1fCV1nnIV=初始值CV=鏈接值Yi=第i個輸入數(shù)據(jù)塊f=壓縮算法n=Hash碼的長度b=輸入塊的長度CVLCV0=IV=n比特的鏈接變量初始值CVi=f(CVi-1,Yi-1)(1

i

L)H(M)=CVL安全Hash算法的一般結(jié)構(gòu)MD5算法MD5（Message-digestAlgorithm5）輸入：任意長度的消息輸出：128位消息摘要處理：以512位輸入數(shù)據(jù)塊為單位MD5(RFC1321)wasdevelopedbyRonRivest(“R”oftheRSA)atMITin90’s.2023/11/1335安全散列函數(shù)–MD5散列函數(shù)MD5算法步驟1：附加填充位對報文進(jìn)行填充，使其比512的整數(shù)倍少64位。即使消息已經(jīng)滿足上述長度要求，仍需要進(jìn)行填充。例：消息長度為448位，仍需填充512位填充方法：填充比特串的最高位為1，其余各位均為0MD5算法步驟2：添加長度信息在填充內(nèi)容的后面附上64位，存放的填充前的消息長度如果消息長度大于264,則取其對264的模MD5算法步驟3：初始化緩沖區(qū)Hash函數(shù)的中間結(jié)果和最終結(jié)果保存于128位的緩沖區(qū)中。緩沖區(qū)表示為4個32位的寄存器(A,B,C,D)。寄存器初始化為以下的16進(jìn)制值。MD5算法步驟4：壓縮：四個循環(huán)的壓縮算法壓縮函數(shù)HMD5是本算法的核心。它包括4輪處理。四輪處理具有相似的結(jié)構(gòu),但每次使用不同的基本邏輯函數(shù)，記為F,G,H,I。每一輪以當(dāng)前的512位數(shù)據(jù)塊(Yq)和128位緩沖值A(chǔ)BCD作為輸入，輸出仍然放在緩沖區(qū)中。第四輪的輸出與第一輪的輸入相加得到最后的輸出單個512-bit分組的MD5處理過程F,T[1…16],X[i]16stepsG,T[17…32],X[

2i]16stepsH,T[33…48],X[

3i]16stepsI,T[49…64],X[

4i]16steps++++ABCDABCDABCDABCDCVq12832Yq512CVq+1128+ismod232當(dāng)前正在處理的512比特分組128bit的緩存值T[0,1…64]MD5算法步函數(shù)MD5每輪包含16步，每輪所使用的512比特的消息分組Yq被均分為16個子分組(每個子分組為32比特）參與每輪16步函數(shù)運算。每步的輸入是4個32比特的鏈接變量和一個32比特的消息分組的子分量，輸出為32位的值。每輪16步使用的函數(shù)相同，也就是使用同一個非線性函數(shù)，而不同輪使用的非線性函數(shù)是不同的，即4輪使用4個不同的非線性函數(shù)(邏輯函數(shù))。這四個邏輯函數(shù)F、G、H、I定義為：ABCDABCD+++<<<s+X[k]T[i]基本MD5操作(單步)非線性函數(shù)gg(b,c,d)1F(b,c,d)(bc)(bd)2G(b,c,d)(bd)(cd)3H(b,c,d)bcd4I(b,c,d))c(bd非線性函數(shù)g當(dāng)前分組的第k個字單個512-bit分組的MD5處理過程F,T[1…16],X[i]16stepsG,T[17…32],X[

2i]16stepsH,T[33…48],X[

3i]16stepsI,T[49…64],X[

4i]16steps++++ABCDABCDABCDABCDCVq12832Yq512CVq+1128+ismod232當(dāng)前正在處理的512比特分組X[0..15]:保存當(dāng)前512bit待處理輸入分組的值X[k]=M[q×16+k]=在第q個512位數(shù)據(jù)塊中的第k個32位字每輪循環(huán)(4)的每步(16)內(nèi)，X[i]的使用循序各不相同0≤i≤15

2i=(1+5i)mod16

3i=(5+3i)mod16

4i=7imod16MD5算法T表由sin函數(shù)構(gòu)造而成。T的第i個元素表示為T[i]=232

abs(sin(i))T[i]是一個偽隨機(jī)的常數(shù)，可以消除輸入數(shù)據(jù)的規(guī)律性。步驟5：輸出結(jié)果。所有L個512位數(shù)據(jù)塊處理完畢后，最后的結(jié)果就是128位消息摘要。

MD5算法基本用法散列函數(shù)攻擊哈希函數(shù)的攻擊攻擊者的主要目標(biāo)是用非法消息替代合法消息進(jìn)行偽造和欺騙，對哈希函數(shù)的攻擊也是尋找碰撞的過程；散列函數(shù)的安全性1.弱碰撞[思考]給定一個散列函數(shù)H和某Hash值h，假定H有n個可能的輸出。如果H有k個隨機(jī)輸入，k必須為多大才能使至少存在一個輸入y，使得H(y)=h的概率大于0.5？散列函數(shù)的安全性1.弱碰撞[思考]給定一個散列函數(shù)H和某Hash值h，假定H有n個可能的輸出。如果H有k個隨機(jī)輸入，k必須為多大才能使至少存在一個輸入y，使得H(y)=h的概率大于0.5？因為H有n種可能的輸出，所以對于某個y值，H(y)=h的概率為1/n。那么H(y)≠h的概率為1-1/n。那么隨機(jī)地產(chǎn)生k個隨機(jī)的y值，均使H(y)≠h的概率為(1-1/n)k。散列函數(shù)的安全性1.弱碰撞那么在k個隨機(jī)的y值當(dāng)中至少有一個使H(y)=h的概率為1-(1-1/n)k。根據(jù)二項式定理：(1-a)k=1-ka+k(k-1)a2/2!-k(k-1)(k-2)a3/3!+…當(dāng)a很少時，(1-a)k

≈1-ka,所以對于(1-1/n)k，當(dāng)n很大時，(1-1/n)k≈1-k/n。那么在k個隨機(jī)的y值當(dāng)中至少有一個使H(y)=H(x)的概率為1-(1-1/n)k≈k/n?，F(xiàn)在要使這個概率等于0.5，所以，k=n/2。散列函數(shù)的安全性1.弱碰撞如果hash函數(shù)為m位，則有2m個可能的Hash碼輸出如果給定h=H(x)，要想找到一個y，使H(y)=h的概率為0.5，嘗試的次數(shù)大約為2m/2=2m-1。對于一個使用64位的Hash碼，攻擊者要想找到滿足H(M’)=H(M)的M’來替代M，即尋找一個弱碰撞，平均來講，他找到這樣的消息大約需要進(jìn)行263次嘗試。散列函數(shù)的安全性50個人中至少有兩個人具有相同生日的概率A10%B20%C50%D97%生日悖論散列函數(shù)的安全性2.生日悖論[分析]在一個教室中，最少應(yīng)有多少學(xué)生，才能使至少有兩個人具有相同生日的概率不小于0.5？第一個學(xué)生的生日占了一天，因此第二個人有不同生日的概率為364/365，第三個人則少了兩個選擇，因此他與前兩個人生日都不同的概率是363/365，依此類推，第k個人與前面k-1個人生日都不同的概率是[365-(k-1)]/365。所以，這k個人生日都不同的概率是(364/365)×(363/365)×…×((365-k+1)/365)散列函數(shù)的安全性2.生日悖論那么，這k個人中至少有兩個生日相同的概率則為：P=1-(364/365)×(363/365)×…×((365-k)/365)=1-365!/(365-k)!(365)k可以計算出，當(dāng)k=23時，p=0.5073。當(dāng)k=100時，p=0.9999997。結(jié)果說明：只需要23個人，即任找23個人，從中總能選出兩個人具有相同生日的概率至少為0.5。概率結(jié)果與人的直覺是違背的。這說明某些事情的發(fā)生概率是比我們的感覺要大得多的！散列函數(shù)的安全性3.生日攻擊[思考]對于一個64位的Hash碼，攻擊者以50%的概率找到M1,M2，使得Hash(M1)＝Hash(M2)，他要找到這樣的消息大約要進(jìn)行多少次嘗試。散列函數(shù)的安全性3.生日攻擊[思考]給定兩個集合X和Y，每個集合有k個元素；X={x1，x2，…，xk}，Y={y1，y2，…，yk}，其中各元素的取值是1～n之間均勻分布的隨機(jī)值(k<n)，那么，這兩個集合中至少有一對元素(X中的一個元素和Y中的一個元素)相同的概率R(n,k)是多少呢？給定x1，那么y1=x1的概率為1/n，所以y1≠x1的概率為1-1/n。那么Y中的k值都不等于x1的概率為(1-1/n)k同理，給定x2，那么Y中的k值都不等于x2的概率為(1-1/n)k。散列函數(shù)的安全性3.生日攻擊Y中沒有任何元素與X中任何元素相同的概率為：Pr=((1-1/n)k)k=(1-1/n)k2Y中至少有一個元素與X中元素相同的概率為：R(n,k)=1-(1-1/n)k2可以證明，當(dāng)x≥0時，不等式(1-x)≤e-x是成立的，且當(dāng)x→0時，1-x≈e-x。根據(jù)此不等式有(1-1/n)<e-1/n，其中n>0，所以，(1-1/n)k2<(e-1/n)k2，散列函數(shù)的安全性那么R(n,k)=1-(1-1/n)k2＞(e-1/n)k2＝1－e-k2/n顯然，當(dāng)1－e-k2/n＝0.5時，R(n,k)＞0.5。由此可得，k＝(ln2·n)1/2=0.83·n1/2，當(dāng)n很大時，k≈n1/2。所以，當(dāng)n=2m時，k≈2m/2。也就是說，對于一個64位的Hash碼，攻擊者要想找到M1,M2，使得Hash(M1)＝Hash(M2)，平均來說，他要找到這樣的消息大約要進(jìn)行232次嘗試。這一計算代價要比尋找一個弱碰撞小很多。生日攻擊ESka(M)比較HPKaMHDMESKaA方B方公鑰加密Hash值的驗證方式生日攻擊假設(shè)HASH算法生成64位HASH值攻擊者截獲到報文M，根據(jù)M生成232表達(dá)相同含義的的報文集M1。同時，攻擊者還準(zhǔn)備了232個用于欺騙的假報文M2。計算兩個報文集中能夠產(chǎn)生相同簽名的報文對<M1',M2'>，根據(jù)生日悖論，只要k>2m/2成功的概率大于0.5。攻擊者將M1'提交給發(fā)方請求簽名，并用M2'替代M1'。因為這兩報文具有相同簽名，因此即使不知道加密密鑰，攻擊者也能夠獲得成功。ESka(M)比較HPKaMHDMESKaA方B方散列函數(shù)攻擊強(qiáng)行攻擊對一個長度為m的散列碼各個性質(zhì)的抗強(qiáng)行攻擊的有效級的數(shù)量級分別為：弱抗沖突性2m-1強(qiáng)抗沖突性2m/2目前對于HASH攻擊的研究主要集中在如何降低窮舉的空間大小上2023/11/1362王小云在2004年8月17日,在美國加州圣芭芭拉召開的國際密碼大會(Crypto’2004)上，中國的王小云等學(xué)者宣布,只需1小時就可找出找出MD5的碰撞，破譯MD5、HAVAL-128、MD4和RIPEMD算法2005年2月，SHA-1也被她破解。2023/11/1363王小云王小云教授，1966年生于山東諸城，1983年至1993年就讀于山東大學(xué)數(shù)學(xué)系，先后獲得學(xué)士、碩士和博士學(xué)位。1993年畢業(yè)后留校任教。2005年獲國家自然科學(xué)基金杰出青年基金資助，同年入選清華大學(xué)“百名人才計劃”。2023/11/1364簡要小結(jié)消息認(rèn)證的必要性和作用消息加密認(rèn)證信息認(rèn)證碼及認(rèn)證散列函數(shù)及認(rèn)證數(shù)字簽名數(shù)字簽名信息安全的三個基本目標(biāo)

機(jī)密性完整性不可否認(rèn)性信息加密消息認(rèn)證？數(shù)字簽名消息認(rèn)證能否解決不可否認(rèn)性問題？例：用戶A發(fā)送包含認(rèn)證碼的消息給用戶B，如果A否認(rèn)，B能證明A確實給B發(fā)送了消息嗎？消息認(rèn)證用以保護(hù)雙方之間的數(shù)據(jù)交換不被第三方侵犯，但是不能保證雙方自身的相互欺騙網(wǎng)絡(luò)環(huán)境中消息的抗否認(rèn)性問題該如何解決呢？簽名概念及屬性簽名是用來證實當(dāng)事者身份或認(rèn)可數(shù)據(jù)真實性有效性的一種信息。簽名的基本屬性不可偽造性不可重用性簽名概念及屬性書面簽名

書面簽名不能用作計算機(jī)中文件的簽名。

簽字、手印、印章簽名易于修改簽名易于復(fù)制數(shù)字簽名原理數(shù)字簽名：用于計算機(jī)中文件的簽名,實現(xiàn)基礎(chǔ)是加密技術(shù)數(shù)字簽名的實現(xiàn)途徑不可偽造性：使用簽名者的獨有信息產(chǎn)生不可重用性：依賴于被簽名信息產(chǎn)生F（）簽名變換

+簽名者唯一信息被簽名信息

簽名數(shù)字簽名原理數(shù)字簽名工具：

公鑰密碼體制基于公鑰密碼體制的直接數(shù)字簽名原理消息A的私鑰

加密算法加密后的消息消息加密后的消息消息加密后的消息A的公鑰

消息解密算法解密后的消息比較發(fā)送者A接收者B數(shù)字簽名原理數(shù)字簽名的不可否認(rèn)性保證消息加密后的消息A的公鑰

消息解密算法解密后的消息比較簽名驗證成功失敗A無法抵賴消息不可信數(shù)字簽名原理思考題：用戶B向用戶A發(fā)送消息85，如果采用RSA進(jìn)行數(shù)字簽名，假設(shè)p=11，q=13，試述數(shù)字簽名及驗證過程。數(shù)字簽名原理基于公鑰密碼體制直接數(shù)字簽名的缺陷簽名效率不高

公鑰密碼體制的加解密算法效率不高

數(shù)字簽名原理基于公鑰密碼和散列函數(shù)的直接數(shù)字簽名原理消息A的私鑰

加密算法加密后的摘要消息加密后的摘要消息加密后的摘要A的公鑰

解密算法解密后的摘要比較發(fā)送者A接收者B散列函數(shù)摘要摘要散列函數(shù)數(shù)字簽名方法直接數(shù)字簽名如何提供機(jī)密性保護(hù)？

方案1：利用共享對稱密鑰加密消息。方案2：利用接收方公鑰加密消息。方案3：首先利用非對稱密鑰加密消息，然

后用接收方公鑰加密非對稱密鑰。

2023/11/13理工大學(xué)指揮自動化學(xué)院77“我們的計劃...”明文這是ＨＡＳＨ算法算出摘要“Py75c%bn...”“g5v’r…”電子鑰匙明文簽名簽名A私鑰數(shù)字信封B公鑰電子簽名包密文加密過后的文件A方Internet/Intranet數(shù)字信封密文明文簽名“我們的計劃...”明文A公鑰“g5v’r…”簽名摘要二解出經(jīng)A簽字的摘要摘要一由明文生成的摘要B方作比較如果摘要一和二相同則確定是A發(fā)送的文件且內(nèi)容完整B私鑰電子鑰匙78⑥發(fā)送方將信息原文用SHA函數(shù)編碼，產(chǎn)生一段固定長度的數(shù)字摘要初始文件數(shù)字摘要數(shù)字簽名初始文件簽名文件加密的簽名文件數(shù)字信封數(shù)字簽名初始文件數(shù)字摘要數(shù)字摘要一致正確的初始文件KeyABKeyABKeyA私②SHA編碼①KeyB公④KeyB私⑤SHA編碼KeyA公⑦⑧

KeyAB③A:文件發(fā)送方B:文件接收方A通信網(wǎng)絡(luò)BX的私用密鑰X的公用密鑰KeyX私KeyX公A、B的通信密鑰KeyAB發(fā)方用自己的私鑰對摘要加密，形成數(shù)字簽名，并附在信息原文后面發(fā)方用收方公鑰加密通信密鑰發(fā)方生成通信密鑰，對帶數(shù)字簽名的信息原文加密用收方私鑰解密數(shù)字信封收方用發(fā)方公鑰解密數(shù)字簽名，形成數(shù)字摘要判斷兩者是否一樣數(shù)字簽名方法直接數(shù)字簽名安全問題方案的有效性取決于私鑰的安全性發(fā)送者聲稱私鑰丟失或被盜用數(shù)字簽名方法如何解決直接數(shù)字簽名中的安全隱患？仲裁數(shù)字簽名

從發(fā)送方A到接收方B的簽名消息首先送到仲裁者S，S對消息及其簽名進(jìn)行一系列測試，以檢查其來源和內(nèi)容，然后將消息加上日期并與已被仲裁通過的信息一起發(fā)送給B。

仲裁者是簽名模式中的敏感和關(guān)鍵角色所有參與者都信任仲裁者數(shù)字簽名方法仲裁數(shù)字簽名的實現(xiàn)

方法一X→A:M||EKXA[IDX||H(M)]A→Y:EKAY[IDX||M||EKXA[IDX||H(M)]||T]

其中：E是單鑰加密算法；KXA和KAy是A分別與X和Y的共享密鑰；M是消息；T是時間戳；IDX是X的身份標(biāo)識；H(M)是M的Hash值。約定：X是發(fā)送方；Y是接收方；A是仲裁者數(shù)字簽名方法仲裁數(shù)字簽名的實現(xiàn)

方法一XYA驗證驗證并仲裁M||EKXA[IDX||H(M)]EKAY[IDX||

M||EKXA[IDX||H(M)]]12354EKAY[IDX||

M||EKXA[IDX||H(M)]||T]數(shù)字簽名方法仲裁數(shù)字簽名的實現(xiàn)

方法一的幾點說明

(1)X以EKXA[IDX||H(M)]作為自己對M的簽名。

(2)T用于向Y表示所發(fā)的消息不是舊消息的重放。

(3)A在向接收方Y(jié)發(fā)送信息前需要驗證來自X的簽名。

(4)方法的安全性依賴于發(fā)送方和仲裁者的共享密鑰。方法一的仲裁機(jī)制如果出現(xiàn)爭議，Y可聲稱M的確來自X，并將EKAY[IDX||M||EKXA[IDX||H(M)]]發(fā)給A，由A仲裁，A用KAy解密后，再用KXA對EKXA[IDX||H(M)]解密，并對H(M)加以驗證，從而驗證了X的簽名。數(shù)字簽名方法提供機(jī)密性保護(hù)的仲裁數(shù)字簽名方案

方法二X→A:IDX||EKXY[M]||EKXA[IDX