当我们谈论安全时,我们有以下要求:
前两项中不包括第三项要求吗?如果我们知道 A 发送了消息(身份验证)并且自从 A 发送消息后它没有改变(完整性)那么 A 如何拒绝发送它?
请不要谈论dig-sig,因为它是技术层面的。我说的是业务需求。
最佳答案
身份验证和完整性保护都不能防止重放攻击。恶意用户可以捕获经过签名和加密的消息并多次发布。因此,一方可以否认多次发送相同的消息。
使用时间戳和/或随机数使每条消息都是唯一的解决了这个问题,因此与签名和加密相结合用于不可否认性。
关于security - 不可否认性是重复的?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/1080468/