Applied Cryptography

原文摘录   · · · · · ·  ( 全部 )

• 如果同一个算法既用做加密又用做数字签名，就有可能受到攻击［506］。在这些情况中，数字签名操作是加密操作的逆过程：VX=EX，并且SX=DX。 假设Mallory是持有自己公开密钥和私人密钥的系统合法用户。让我们看看他怎么读Bob的邮件。首先他将Alice在（1）中发送给Bob的消息记录下来，在以后的某个时间，他将那个消息发送给Bob，声称消息是从Mallory来的。Bob认为是从Mallory来的合法消息，于是就用私人密钥解密，然后用Mallory的公开密钥解密来验证Mallory的签名，那么得到的消息纯粹是乱七八糟的消息：EM（DB（EB（DA（M））））=EM（DA（M）） 即使这样，Bob继续执行协议，并且将收据发送给Mallory： EM（DB（EM（DA（M）））） 现在Mallory所要做的就是用他的私人密钥对消息解密，用Bob的公开密钥加密，再用自己的私人密钥解密，并用Alice的公开密钥加密。哇！Mallory就获得了所要的消息M。 506. J.D. Dixon. "Factorizon and Primality Tests." American Mathematical Monthly. v. 91, n. 6 1984, pp. 333-352. (查看原文)

  无心 1赞 2019-09-16 08:13:05

• 用完全盲签名协议，Alice能让Bob签署任何东西：“Bob欠Alice100万美元，”“Bob欠Alice的头生子，”“Bob欠Alice一袋软糖，”可能的事远远不止于此。这个协议在许多场合都无用。 然而，有一个办法可以让Bob知道他在签什么，同时仍保持盲签名的有用性质。这个协议的核心是分割选择技术。考虑一个例子，每天很多人进入这个国家，而移民局要确信他们没有走私可卡因。官员可以搜查每一个人，但他们换用了一种概率解决办法。他们检查入境人中的1/10。10个人中有1个人的行李被检查，其余的9个畅通无阻。长期的走私犯会在大多数时间里逍遥法外，但他们有10％的机会被抓住。并且如果法院制度有效，则抓住一次的处罚将远远超出其他9次所得到的。 一组反间谍人员，他们的身份是秘密的，甚至反间谍机构也不知道他们是谁。这个机构的头子想给每个特工一份签名的文件，文件上写有：“这个签名文件的持有人（这里插入特工的化名）享有完全的外交豁免权。”所有的特工有他们自己的化名名单，故这个机构不能仅仅是分发签名文件。特工不想把他们的化名送给所属机构、敌方或者已经破坏了这个机构的计算机。另一方面，机构也不想盲目地签特工送来的文件。聪明的特工可能会代之一条消息，如“特工（名字）已经退休并获得每年100万美元的养老金。签名：总统先生”。在这种情况下，盲签名可能是有用的。假设所有特工都有10个可能的化名，这些化名都是他们自己选的，别人不知道。同时假设特工并不关心他们将在哪个化名下得到外交豁免权。再假设这个机构的计算机是情报局大型情报计算机ALICE，我们的特定代理部门是波哥大行动局（BOB）。 （1）BOB准备了n份文件，每一个使用不同的化名，并给予那个特工外交豁免权。 （2）BOB用不同的盲因子隐蔽每个文件。 （3）BOB把这n份隐蔽好的文件发送给ALICE。 （4）ALICE随机选择n-1份文件并向BOB索要... (查看原文)

  无心 1赞 2019-10-07 17:08:17

> 全部原文摘录