当前位置:文档之家 › 第13部分认证理论数字签名与认证协议-文档资料

第13部分认证理论数字签名与认证协议-文档资料

  • 格式:ppt
  • 大小:73.50 KB
  • 文档页数:21

下载文档原格式

  / 21

合集下载

2.2数字签名和身份认证课件

2.2数字签名和身份认证课件
2.2数字签名和身份认证课件
江西广播电视大学经济管理学部
数字签名
数字签名(digital signature)在TS07498-2标准中的定义为: “附加在数据单元上的一些数据,或是对数据单元所作的密码 变换。这种数据和变换允许数据单元的接收者用以确认数据单 元来源和数据单元的完整性,并保护数据,防止被人(例如接 收者)进行伪造”。数字签名必须同时满足以下的要求: ·发送者事后不能否认对报文的签名; ·接收者能够核实发送者发送的报文签名; ·接收者不能伪造发送者的报文签名; ·接收者不能对发送者的报文进行部分篡改; ·网络中的其他用户不能冒充成为报文的接收者或发送者。
《计算机网络安全技术》
现状
• 常规加密技术没有被简单地应用到报文鉴别符。 • 实际应用中一般采用独立的报文鉴别码。 • 目前,用避免加密的方法提供报文鉴别越来越受到重视。 • 在最近几年,报文鉴别研究的热点转向由Hash函数导出
MAC。
《计算机网络安全技术》
Hash函数
Hash函数是一种能够将任意长度的消息压缩到某一固定长度 的消息摘要(Message Digest)的函数。Hash函数的 基本思想是把其函数值看成输入报文的报文摘要,当输 入中的任何一个二进制位发生变化时都将引起Hash函数 值的变化,其目的就是要产生文件、消息或其他数据块 的“指纹”。密码学上的Hash 函数能够接受任意长的 消息为输入,并产生定长的输出。
SHA-1比MD5更安全,但SHA-1对系统的要求较高。
《计算机网络安全技术》
THANKS!
MD5是Ronald Rivest设计的一系列消息摘要算法中的第5个 算法,其前一个版本的算法是MD4。在RFC 1321中规 定的报文摘要MD5算法已经得到了广泛应用。MD5算法 的特点是可以对任意长度的报文进行运算,得到的报文 摘要长度均为128位。

网络窃密、监听和防泄密技术(孙继银)章 (13)

网络窃密、监听和防泄密技术(孙继银)章 (13)

第13章 安全接入和身份认证
3.企业应用 大型企业内部网络结构复杂,应用众多,需要进行大量的 跨部门信息传递。因此,它对可信计算技术的需求最为强烈, 以解决底层安全、身份认证、数据加密、集成管理等一系列问 题。伴随着行业竞争的加剧,各级企业对非法窃取本公司商业 机密的行为也都给予了足够的重视,其中,利用可信应用进行 数据保全无疑是最好的解决办法。企业用户的部门观念都相对 较强,有些甚至达到了各自为营的地步,而集成管理平台可提 供“授权密网”功能,为部门间的信息沟通与密文阻隔搭建平 台。域令牌被实时存储于TCM芯片中,随用随取,而机要文件 始终以域的方式存在。数据永远都处于企业网域的授权控制下, 以增加信息资料的保密程度。
第13章 安全接入和身份认证
图13-1 TPM内部结构
第13章 安全接入和身份认证
将TPM安装在输入/输出控制器(I/O Controller),即连接 外部设备与内存的总线中,让TPM可以监视每一个从外存装载 入内存的软件。由于TPM处于硬件层,所以只要用户选择了打 开TCG功能,任何行为都无法逃避监视。TPM安全芯片首先验证 当前底层固件的完整性,如正确则完成正常的系统初始化,然 后由底层固件依次验证BIOS和操作系统完整性,如正确则正常 运行操作系统,否则停止运行。之后,利用TPM安全芯片内置 的加密模块生成系统中的各种密钥,对应用模块进行加密和解 密,向上提供安全通信接口,以保证上层应用模块的安全。
第13章 安全接入和身份认证
在硬件级底层安全保护方面,TCG计算机使用自主可信计 算根技术,在计算机启动时对操作系统进行校验,使只有用户 设定的操作系统和应用软件才能正常加载运行。可信计算根会 在启动之初对计算机系统中所有的运行软件进行可信性(完整 性)分析,由此判定它们是否被非授权篡改。若判定不可信则 阻止该软件运行,并自动恢复其合法的版本。因此计算机一旦 嵌入了该技术,即可在启动操作系统时发现内核已改,并根据 用户需求进行阻止和恢复。由此,不仅能从硬件安全基础层面 提升安全性,也能避免非法软件自运行的情况发生。

数字签名 信息系统安全理论与技术(第2版)课件

数字签名 信息系统安全理论与技术(第2版)课件

– 通常需要采用与私有密钥安全性相关的行政管理控制手段来制止 或至少是削弱这种情况,但威胁在某种程度上依然存在
– 改进的方式例如可以要求被签名的信息包含一个时间戳(日期与 时间),并要求将已暴露的密钥报告给一个授权中心
▪ X的某些私有密钥确实在时间T被窃取,敌方可以伪造X的签名及
早于或等于时间T的时间戳
CON:evidence of confirmation of issued by TTP
A<->T: ftp get A fetches message from T using “ftp get”
operation
双重签名
实现三方通信时的身份认证和信息完整性、防抵赖的保护。
网上购物(支付):客户和商家之间要完成在线支 付,在客户(甲) 、商家(乙)和银行(丙)之 间将面临以下问题:
仲裁数字签名通过仲裁的数字签名
仲裁是双方都高度信任的第三方。 需仲裁的数字签名即可以使用对称密码
算法,也可以使用公开密钥加密算法。 在这些方案中,当发生争执时,需要由
仲裁验证签名。
仲裁数字签名
▪ 引入仲裁者
– 所有从发送方X到接收方Y的签名消息首先送到仲裁者A – A将消息及其签名进行一系列测试,以检查其来源和内容 – A将消息加上日期并与已被仲裁者验证通过的指示一起发给 Y
甲向乙发送订单和甲的付款信息;乙收到订单后, 要同丙交互,以实现资金转帐
但甲不愿让乙看到自己的帐户信息 也不愿让丙看到订购信息。 此时甲使用双重签名技术对两种信息作数字签名,
来完成以上功能。
双重数字签名的实现步骤如下:
甲对发给乙的信息M1生成摘要A1; 甲对发给丙的信息M2生成摘要A2; 甲把A1和A2合起来生成摘要A3,并用私

认证与数字签名

认证与数字签名
密得到甲的数字签名,并将其附在数字信息上。
(4)甲随机产生一个加密密钥(如DES 密钥),并用此密钥对要发送的信息进行 加密,形成密文。
(5)甲用乙的公钥(PK)对刚才随机产 生的加密密钥进行加密,将加密后的DES 密钥连同密文一起传送给乙。
(6)乙收到甲传送过来的密文和加过密的 DES密钥,先用自己的私钥(SK)对加密 的DES密钥进行解密,得到DES密钥。
(1)注册服务器:通过 Web Server 建立的 站点,可为客户提供每日24小时的服务。因此客 户可在自己方便的时候在网上提出证书申请和填 写相应的证书申请表,免去了排队等候等烦恼。
(2)证书申请受理和审核机构:负责证书的申 请和审核。它的主要功能是接受客户证书申请并 进行审核。
(3)认证中心服务器:是数字证书生成、发放 的运行实体,同时提供发放证书的管理、证书废 止列表(CRL)的生成和处理等服务。
为什么要用数字证书
因而Internet电子商务系统必须保证具有 十分可靠的安全保密技术。也就是说,必 须保证网络安全的四大要素,即信息传输 的保密性、数据交换的完整性、发送信息 的不可否认性、交易者身份的确定性。
我们可以使用数字证书,通过运用对称和 非对称密码体制等密码技术建立起一套严 密的身份认证系统,从而保证:信息除发 送方和接收方外不被其他人窃取;信息在 传输过程中不被篡改;发送方能够通过数 字证书来确认接收方的身份;发送方对于 自己的信息不能抵赖。
通过数字签名能够实现对原始报文鉴别与 验证,保证报文的完整性、权威性和发送 者对所发报文的不可抵赖性。数字签名机 制提供了一种鉴别方法,普遍用于银行、 电子贸易等,以解决伪造、抵赖、冒充、 篡改等问题。
数字签名与数据加密完全独立。数据可以 既签名又加密,只签名,只加密,当然, 也可以既不签名也不加密。

《数字签名密钥》课件

《数字签名密钥》课件

完整性保护
通过数字签名等技术, 确保数据的完整性,防 止数据在传输过程中被
篡改。
通道安全
使用安全的通信协议和 网络连接,防止数据在 传输过程中被窃取或篡
改。
流量混淆
采用流量混淆技术,防 止数据在传输过程中被
窃听和分析。
身份认证安全
用户身份认证
采用强密码策略和多因素认证方式, 确保用户身份的合法性和真实性。
人工智能和机器学习技术在数字签名密钥领域的应用将越来越广泛。这
些技术可以帮助识别和预防潜在的安全威胁,提高数字签名密钥的安全
性和可靠性。
安全挑战与对策
密钥管理
随着数字签名密钥的广泛应用,密钥管理成为了一个重要 的安全挑战。需要建立更加完善的密钥管理系统,确保密 钥的安全存储、传输和使用。
防范恶意攻击
历史
数字签名密钥的发展始于20世纪70年代,随着计算机技术和 网络通信的普及,数字签名密钥的应用越来越广泛。
发展
随着密码学和数学研究的深入,数字签名密钥的算法和安全 性也在不断改进和提升。未来,数字签名密钥将更加智能化 、高效化和集成化,为信息安全领域提供更加完善的技术支 持。
02
数字签名密钥的原理
物流跟踪
数字签名密钥用于确认交易双方的身 份,防止交易欺诈和数据篡改,确保 交易的合法性和安全性。
数字签名密钥用于物流信息加密和身 份验证,确保物流信息的完整性和真 实性。
电子支付
数字签名密钥在电子支付中起到关键 作用,用于验证支付方的身份和保护 支付信息,确保资金安全。
电子政务中的应用
电子身份认证
隐私保护
随着人们对隐私保护的日益重视,数字签名密钥需要更加注重隐私保护的功能。发展能够 保护用户隐私的数字签名密钥技术,将是未来的一个重要方向。

第08章 数字签名与认证协议

第08章 数字签名与认证协议

1. 2.
1. 2.
1. 数字签名
需仲裁的数字签名 方案示例讨论
方案(a)和(b)存在的问题 1. X必须确信A不会泄露Kxa,也不会产生虚假的签名。(仲裁能和 收方结成联盟来伪造发方的签名。) 2. Y必须确信A只有在散列码正确且确是X签名的情况下才发送。 (仲裁能和发方结成联盟来否认一个签名消息 。) 3. 双方必须确信A能公平地解决争端。(仲裁作用。) 方案(c)的优点 1. 通信前各方没有共享任何信息,可防止结盟欺骗的发生。 2. 假定KRa是安全的,即使KRx已不安全,日期不对的消息不会 被发送。 3. 从X发给Y的消息内容对A和其他任何人都是保密的。
2. 认证协议
相互认证
相互认证的常规加密原始方案改进1过程描述 1. A → KDC:IDA || IDB 2. KDC → A:EKa[Ks || IDB || T || EKb[Ks || IDA || T]] 3. A → B:EKb[Ks || IDA || T] 4. B → A:EKs[N1] 5. A → B:EKs[f(N1)] 相互认证的常规加密原始方案改进1的防重发机制 增加时间戳 T,它能向A和B确保该会话密钥是刚产生的。这样,A和 B双方都知道这个密钥分配是一个最新的交换。A和B通过验证下式来 证实时效性: |Clock – T| < △t1 + △t2 其中△t1是估计的KDC时钟与本地时钟(A或B)的正常偏差,△t2是预期 的网络时延。每个结点可参照某些标准参考源设置自己的时钟。时间 戳T是用主密钥加密的,即使对手获得旧的会话密钥,由于步骤3的重 放将会被B检测出不及时而不会成功。
M
K1 C
||
E
K2
(c) 消息认证与保密,认证与密文连接

计算机网络安全技术-第4章数字签名与CA认证技术


数字签名与CA认证技术的比较与选择
数字签名和CA认证技术在实现 数据完整性和身份认证方面具
有不同的优势和适用场景。
CA认证适用于大规模的安全需 求场景,如企业网络、电子商 务等,可以提供全面的身份认 证和通信安全保障。
数字签名适用于较小规模的安 全需求场景,如电子邮件、软 件发布等,可以提供端到端的
详细描述
RSA数字签名算法基于数论中的一些基本原理,如大数因子分解和模幂运算。该算法使用一对密钥,一个公钥用 于加密和验证签名,另一个私钥用于解密和生成签名。私钥用于对消息进行签名,生成一个数字签名,公钥用于 验证该签名的有效性。
DSA数字签名算法
总结词
DSA数字签名算法是一种基于离散对数问题的数字签名算法,它使用一对密钥, 一个用于签名,另一个用于验证。
CA认证的定义
CA认证(Certificate Authority Authentication)是一种基于公钥基 础设施(PKI)的网络安全认证机制, 用于验证网络通信双方的身份真实性 和可信度。
CA认证通过颁发数字证书,对网络通 信中的用户或设备进行身份识别,确 保只有授权的用户或设备才能访问特 定的网络资源或服务。
详细描述
ECDSA数字签名算法基于椭圆曲线密码学,使用一对密钥进行签名和验证。私钥用于生成数字签名, 公钥用于验证签名的有效性。ECDSA数字签名算法具有较高的安全性和效率,被广泛应用于金融、电 子商务等领域。
04 CA认证技术的实现方式
证书颁发流程
用户向CA机构提出证书申请
01
用户需要在CA机构处注册账号,并提交必要的信息以进行身份
CA认证的原理
证书颁发
CA作为第三方信任机构,负责颁发数字证书,其中包含公钥、证书持有者的身份信息以 及CA的签名等。

信息安全技术--安全协议


Windows XP
部门1
Windows Vista
Linux
Firewall
NAT
Mac
Internet
VPN网关
PDA
iPhone
部门2 部门3
13.3 SSL协议
❖ SSL协议是一个传输层安全协议。 ❖ SSL协议由Netscape公司于1994年11月提出并率先实现,
即SSL V2.0 Internet-Draft版本 ❖ 1996年3月推出了SSL V3.0 Internet-Draft版本,最终被IETF
AH报头结构
0
8
16
下一个头 载荷长度
31 保留
安全参数索引
序列号
认证数据
(1)下一个头(Next Header):8位,标识下一个使用IP协 议号的报头类型,其取值在RFC1700中定义。
(2)载荷长度(Payload Length):8位,表示以32位为单位 的AH头的长度减2。
(3)保留(Reserved):16位,供将来使用。值为0。
第13章 安全协议
主要内容
❖ 安全协议概述 ❖ IPsec协议 ❖ SSL协议 ❖ 安全电子交易协议SET
13.1 安全协议基本概念
❖ 协议
协议是指两个或多个以上参与者为完成某项特定 的任务而采取的一系列步骤。
❖ 通信协议
通信协议是指通信各方关于通信如何进行所达成 的一致性规则,即由参与通信的各方按确定的步 骤做出一系列通信动作,是定义通信实体之间交 换信息的格式及意义的一组规则。包括语法、语 义和同步三大要素。
❖ 不确认报文是否到达 ❖ 不进行流量控制 ❖ 不作纠错和重传
TCP/IP安全分析
❖ 应用层协议的安全隐患

CH13-网络安全-数字签名



计算签名对: r = ( gk ( mod p ) ) (mod q) s = ( k-1 H(M) + xr) (mod q)

和消息M一同发送签名值( r, s )
2015/8/12
西安电子科技大学计算机学院
25
DSA 数字签名的验证

已经收到消息M 和签名值 (r,s) 为了验证签名, 接收者计算:
4. 安全性分析

如果攻击者能够进行模 n 的大整数分解,则它可计算
Φ (n),从而利用欧几里得算法得到签名者的私钥。所
以签名者必须小心地选择p和q。
13.3 ElGamal签名方案

ElGamal签名是一种随机附属签名机制,它可以对任 意长度的二进制消息格式进行签名。数字签名算法 (DSA)是它的一种变种。
• 特性
– – – – – 不可伪造,特异性 不可重用,日期和时间相关性 不可改变,能发现涂改、转移意义或用途 不可抵赖,能够质证 可仲裁的,可做为法律证据
手写签名的数字化改造
• 数学支持-签名函数
– 被签署的是文件(大文件) – 签名生成另外一个文件(小文件) – 签名过程一定有签署人的身份和某种秘密(别人不知的)参 与 – 简单易行 计算/存储
西安电子科技大学计算机学院
20
§13.5 数字签名标准
Digital Signature Standard (DSS)

美国政府的签名方案


由NIST 在20世纪90年代设计
1991年,作为FIPS-186发布 1993, 1996 ,2000进行了修改


采用SHA hash算法
DSS 是标准 DSA 算法。 FIPS 186-2 (2000) 包括可选的 RSA 和椭圆曲线签名 算法

数字签名与认证协议


d xe1 e2 (mod p)
对上述这个签名方案,要证明以下两点: 1)Alice将回接受按如上方案的有效签名 2)Bob几乎不可否认经Alice 验证过的自己的签名。 证明(1):(alice接受Bob的签名)。下面计算的所有指数都 已做到模q约简.
d C
a 1
(mod p) y
M进行签名: SigK(x,k)=(,), 其中,=k(modp), =(x- )k-1(modp-1) 对x, Fp*和Zp-1,验证签名定义为 Ver(x, ,)=真(true)x(modp) 对EIGamal签名方案安全性的讨论: 若Oscar在不知道a的情况下企图伪造一个给定消息 x的签名: Sigoscar(x,k)=(,) (1)Oscar先选定一个,然后企图找,这样,他就必须 解一个关于未知数的方程: x(modp) 这个方程是一个已知无可行解法的难处理问题!
4 不可否认的签名
(Chaum和Van Antwerprn 1989年提出) 该签名的特征是:验证签名者必须与签名者合作。验 证签名是通过询问------应答协议来完成。这个协议可防止 签名者Bob否认他以前做的签名。 一个不可否认的签名方案有三个部分组成: 签名算法、验证协议、否认协议 设p=2q+1是一个素数,它满足q为素数,且Fp中的对 Fp* ,且阶为q,取1<=a<=q-1,定义 数问题是难解的。 a (mod p) , G表示阶为q的FP*的子群。易见G=<>,(事 实上G由模p的二次剩余组成) 设P=A=G,且定义K={(p,,a,)| = a(modp)},值p, 和是公开的,a是保密的。
因此 , (, ) 为假消息 x 的一个有效签名 讨论两个问题: (1)用EIGamal方案计算一个签名时,使用的随机数k为 什么不能泄露? (2)若Bob用相同的值来签名不同的两份消息,Oscar能 否攻破这个体制?
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

注意:
(1)和(2) 存在一个共性问题: A和发送方联手可以否认签名的信息; A和接收方联手可以伪造发送方的签名; 在这种模式下Y不能直接验证X的签名,Y认为A的消 息已认证,只因为它来自A。因此,双方都需要高度 相信A: X必须信任A没有暴露Kxa,并且没有生成错误 的签名EKxa[IDx|| H(M)] 。 Y必须信任A仅当散列 值正确并且签名确实是X产生的情况下才发送的 EKay[IDx|| M || EKxa[IDx|| H(M)] || T] 。双方 都必须信任A处理争议是公正的。只要A遵循上述要 求,则X相信没有人可以伪造其签名;Y相信X不能否 认其签名。上述情况还隐含着A可以看到X给Y的所有 信息,因而所有的窃听者也能看到。
所有的参与者必须极大地相信这一仲裁机制工作正常。 (trusted system)
仲裁数字签名技术(1)
单密钥加密方式,仲裁者可以看见消息 (1) XA:M||EKxa[IDx|| H(M)] (2) AY:EKay[IDx|| M || EKxa[IDx|| H(M)] || T] X与A之间共享密钥Kxa,Y与A之间共享密钥Kay X:准备消息M,计算其Hash值H(M),用X的 标识符IDx 和Hash值构成签名,并将消息及 签名经Kxa加密后发送给A;
13.2.1直接数字签名的缺点
验证模式依赖于发送方的保密密钥;
发送方要抵赖发送某一消息时,可能会声称其私有密钥丢失 或被窃,从而他人伪造了他的签名。 通常需要采用与私有密钥安全性相关的行政管理控制手段来 制止或至少是削弱这种情况,但威胁在某种程度上依然存在。 改进的方式例如可以要求被签名的信息包含一个时间戳(日 期与时间),并要求将已暴露的密钥报告给一个授权中心。
仲裁数字签名技术(2)
单密钥加密方式,仲裁者不可以看见消息 (1) XA: IDx || EKxy[M]||EKxa[IDx|| H(EKxy[M])] (2) AY:EKay[IDx||EKxy[M] || EKxa[IDx|| H(EKxy[M])] || T]
仲裁数字签名技术(2)
在这种情况下,X与Y之间共享密钥Kxy, X:将标识符IDx ,密文 EKxy[M],以及对IDx和 密文消息的散列码用 Kxa加密后形成签名发送给A。 A:解密签名,用散列码验证消息,这时A只能 验证消息的密文而不能读取其内容。然后A将 来自X的所有信息加上时间戳并用Kay加密后发 送给Y。
13.2两类数字签名函数
直接数字签名
仅涉及通信双方 有效性依赖发方密钥的安全性
仲裁数字签名
使用第三方认证
13.2.1直接数字签名(DDS)
(1) AB: EKRa[M]
提供了认证与签名: • 只有A具有KRa进行加密; • 传输中无法被篡改; • 需要某些格式信息/冗余度; • 任何第三方可以用KUa 验证签名
第13章 认证理论 (数字签名与认证协议)
13.1基本概念
数字签名是认证的重要工具 为什么需要数字签名:
报文认证用以保护双方之间的数据交换不被第三 方侵犯;但它并不保证双方自身的相互欺骗。假定 A发送一个认证的信息给B,双方之间的争议可能 有多种形式:
B伪造一个不同的消息,但声称是从A收到的。 A可以否认发过该消息,B无法证明A确实发了该消息。
仲裁数字签名技术(3)
双密钥加密方式,仲裁者不可以看见消息 (1) XA: IDx||EKRx[IDx||EKUy (EKRx[M])] (2) AY: EKRa[IDx|| EKUy[EKRx[M]] || T] X:对消息M双重加密:首先用X的私有密钥 KRx,然后用Y的公开密钥KUy。形成一个签 名的、保密的消息。然后将该信息以及X的标 识符一起用KRx签名后与IDx 一起发送给A。 这种内部、双重加密的消息对A以及对除Y以外 的其它人都是安全的。
数字签名应满足的要求
收方能确认或证实发方的签字,但不能伪造; 发方发出签名后的消息,就不能否认所签消息; 收方对已收到的消息不能否认; 第三者可以确认收发双方之间的消息传送,但 不能伪造这一过程
数字签名应具有的性质
必须能够验证签名者及其签名的日期时间; 必须能够认证被签名消息的内容; 签名必须能够由第三方验证,以解决争议;
注:数字签名功能包含了认证的功能。
数字签名的设计要求
签名必须是依赖于被签名信息的比特模式; 签名必须使用某些对发送者是唯一的信息,以 防止双方的伪造与否认; 必须相对容易生成该数字签名; 必须相对容易识别和验证该数字签名; 伪造该数字签名在计算复杂性意义上具有不可 行性,既包括对一个已有的数字签名构造新的 消息,也包括对一个给定消息伪造一个数字签 名; 在存储器中保存一个数字签名备份是现实可行 的。
仲裁数字签名技术(1)
A:解密签名,用H(M)验证消息M,然后将 IDx,M,签名,和时间戳一起经Kay加密后发 送给Y;Y:解密A发来的信息,并可将M和签 名保存起来。 解决纠纷: Y:向A发送 EKay[IDx|| M || EKxa[IDx|| H(M)]] A:用Kay恢复IDx,M,和签名( EKxa[IDx|| H(M)]),然后用Kxa解密签名并验证Hash值.
(1’) AB: EKUb [EKRa(M)] 提供了保密(KUb)、认证与签名(KRa):
Hale Waihona Puke 13.2.1直接数字签名(cont.)
(2) AB: M||EKRa[H(M)] 提供认证及数字签名 -- H(M) 受到密码算法的保护; -- 只有 A 能够生成 EKRa[H(M)] (2’) AB: EK[M||EKRa[H(M)]] 提供保密性、认证和数字签名。
如X的私有密钥确实在时间T被窃取,敌方可以 伪造X的签名并附上早于或等于时间T的时间戳。
13.2.2仲裁数字签名
引入仲裁者。 通常的做法是所有从发送方X到接收方Y的 签名消息首先送到仲裁者A,A将消息及其签 名进行一系列测试,以检查其来源和内容, 然后将消息加上日期并与已被仲裁者验证通 过的指示一起发给Y。 仲裁者在这一类签名模式中扮演敏感和关键的 角色。