只能由作者和收件人验证的签名-没有预先共享的密钥。

Question

需要：

• Alice希望向Bob发送一条信息，以供他保存并能够引用，这样Bob就可以确定消息来自Alice，而不是被篡改的。
• Alice还希望存储一份消息的副本，以便她以后可以参考它，并确保它没有被篡改。
• 鲍勃核实了爱丽丝的信息一段时间后，马洛里不断获得爱丽丝和鲍勃所拥有或接收的所有信息的副本(包括明文和签名/MACs)，除了爱丽丝和鲍勃头脑中的秘密之外。
• 尽管马洛里获得了所有这些信息，但马洛里仍然无法证明爱丽丝曾经签署过这条信息。

上下文：

• Alice正确地相信，Bob的公共OpenPGP密钥确实是Bob的。
• 爱丽丝和鲍勃都把他们的OpenPGP私钥放在马洛里够不到的地方(例如使用OpenPGP智能卡)。

我的问题是:无论在解决方案中是否使用OpenPGP，爱丽丝能否达到她的愿望？

Answer 1

只要Bob将他的私钥保密，您就可以简单地用Bobs公钥加密所有只有Bob应该看到的东西。这还包括签名，即在从Alice发送邮件给Bob时：

• 用Bobs公钥加密邮件
• 使用Alice私钥对此邮件进行独立签名。
• 使用Bobs公钥加密此分离签名。
• 将此加密签名包括在邮件中

由于Bobs私钥需要返回到原始签名，并且该密钥仍然是秘密的，所以Mallory将无法获得原始签名，因此无法验证它。相反，Bob可以验证签名。

当然，整个过程取决于这样一种想法，即Mallory最多可以访问从Alice发送给Bob的原始消息，而从不访问原始签名。

至于Alice想要保留消息副本的要求:有几种方法可以做到这一点，我不认为这个需求需要成为流程的一部分。但为了不无谓地泄露信息，她可能会想要避免使用他们广为人知的公钥。

Answer 2

问题是关于可否认认证的。在给定的上下文中，需要满足的方法可能不止一种。例如，Alice和Bob可以遵循以下协议：

艾丽斯创建了一个带有假名字的OpenPGP签名密钥对.她给Bob发了一封加密的电子邮件，并附上了“公共”密钥，并指示他保留该密钥，但不要发布它，不要将它与她联系在一起，并销毁它所附的电子邮件。爱丽丝还为自己保留了一份“公开”钥匙的副本。然后，爱丽丝用那对密匙中的私钥在她的纯文本上签名，并向Bob发送一份明文和签名的副本，同时也为她自己保存这两种文本的副本。然后她销毁了私钥。此后，Bob和Alice可以使用“公共”密钥，以及他们心中的秘密知识，即该密钥对应于只由Alice控制的私钥，以验证消息的完整性和来源。一旦Bob遵从了Alice的第一条信息，Mallory是否能够访问Bob在大脑之外接收、存储和处理的信息的副本就不再重要了。同样地，一旦爱丽丝摧毁了私钥，马洛里是否能够获得爱丽丝在大脑之外接收、存储和处理的信息的拷贝就不再重要了。因为马洛里不知道谁控制了爱丽斯的明文的私钥的秘密，马洛里所能知道的就是有人签署了这封便条:马洛里无法证明那个人是谁。

不幸的是，一旦Mallory能够访问Alice和Bob在大脑之外接收、存储和处理的信息的副本，Alice和Bob就不能再对未来的消息实现不可否认的身份验证。然而，这一弱点对于任何协议来说都可能是一个问题。