钻CRL的空子进行攻击（二）

一 说明

虽然数字签名能够防止否认，但通过钻CRL的空子，就有可能实现否认。

二 故事

Bob是一个坏人，他设想一个从Alice手上骗钱的计划。

首先，Bob用假名字开设了一个账户X-5897，然后他写了一封信给Alice，请她向这个账号转账。邮件中使用了Bob（自己）的私钥进行数字签名。

Bob将这封邮件发送给Alice之后，又向认证机构Trent发送了一封邮件告知自己的公钥已经失效。

在从Trent处收到新的CRL之前，Alice已经验证了签名并执行了转账。

Bob赶快从自己的假名字开设的账户X-5897中把钱取出来。

收到Trent的CRL之后，Alice大为震惊，于是她尝试联系Bob。

Bob装作不知道这件事情，给Alice回信。

三 点评

Bob实际上是在否认这件事情。

要完全防止这种攻击是很困难的。

在这个故事中，通过公钥、证书等技术无法识别出Bob的犯罪行为，必须要依靠刑事侦查才行。