当我们谈论安全时,我们有以下要求:

  • 认证
  • 完整性
  • 不可否认性

  • 前两项中不包括第三项要求吗?如果我们知道 A 发送了消息(身份验证)并且自从 A 发送消息后它没有改变(完整性)那么 A 如何拒绝发送它?

    请不要谈论dig-sig,因为它是技术层面的。我说的是业务需求。

    最佳答案

    身份验证和完整性保护都不能防止重放攻击。恶意用户可以捕获经过签名和加密的消息并多次发布。因此,一方可以否认多次发送相同的消息。

    使用时间戳和/或随机数使每条消息都是唯一的解决了这个问题,因此与签名和加密相结合用于不可否认性。

    关于security - 不可否认性是重复的?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/1080468/

    10-11 20:36