钻CRL的空子进行攻击(二)

一 说明

虽然数字签名能够防止否认,但通过钻CRL的空子,就有可能实现否认。

二 故事

Bob是一个坏人,他设想一个从Alice手上骗钱的计划。

首先,Bob用假名字开设了一个账户X-5897,然后他写了一封信给Alice,请她向这个账号转账。邮件中使用了Bob(自己)的私钥进行数字签名。

钻CRL的空子进行攻击(二)_第1张图片

Bob将这封邮件发送给Alice之后,又向认证机构Trent发送了一封邮件告知自己的公钥已经失效。

钻CRL的空子进行攻击(二)_第2张图片

在从Trent处收到新的CRL之前,Alice已经验证了签名并执行了转账。

Bob赶快从自己的假名字开设的账户X-5897中把钱取出来。

收到Trent的CRL之后,Alice大为震惊,于是她尝试联系Bob。

钻CRL的空子进行攻击(二)_第3张图片

Bob装作不知道这件事情,给Alice回信。

钻CRL的空子进行攻击(二)_第4张图片

三 点评

Bob实际上是在否认这件事情。

要完全防止这种攻击是很困难的。

在这个故事中,通过公钥、证书等技术无法识别出Bob的犯罪行为,必须要依靠刑事侦查才行。

你可能感兴趣的:(CRL)