Этот протокол работает как с криптографией с открытыми ключами, так и с симметричной криптографией . Единственное условие - переключение алгоритма. То есть :
DKi(EK2(EKi(M))) = EKi(M)
В общем случае это свойство не выполняется для симметричных алгоритмов, но справедливо для некоторых алгоритмов с открытыми ключами (например, RSA с идентичными модулями). Этот протокол:
(1) И Алиса, и Боб создают пары открытый ключ/закрытый ключ.
(2) Алиса создает два сообщения, одно для "орла", а второе - для "решки". Эти сообщения должны включать некоторую случайную строку, чтобы она могла подтвердить их подлинность на последующих этапах пр о-токола. Алиса шифрует оба сообщения своим открытым ключом и посылает их Бобу в произвольном п о-рядке.
ЕА(М,), ЕА(М2)
(3) Боб, которые не может прочитать не одно сообщение, случайным образом выбирает одно из них. (Он м о-
жет посчитать их с помощью "Эники-беники ели вареники", воспользоваться компьютером для взлома
протоколы или обратиться к цыганке.) Он шифрует выбранное сообщение своим открытым ключом и п о-
сылает его обратно Алисе.
ЕВ(ЕА(М))
где М - М, или М2.
(4) Алиса, которая не может прочитать полученное сообщение, расшифровывает его своим закрытым ключом
и посылает обратно Бобу.
DA(EB(EA(M)))= ЕВ(М,), если М = М,, или ЕВ(М2), если М = М2.
(5) Боб расшифровывает сообщение своим закрытым ключом, раскрывая результат броска монеты, и посыл а-
ет расшифрованное сообщение Алисе.
DB(EB(M,)) или DB(EB(M2))
(6) Алиса читает результат броска монеты и проверяет, что случайная строка правильна.
(7) Алиса и Боб раскрывают пары своих ключей, чтобы каждый из сторон могла убедиться в отсутствии м о-шенничества.
Этот протокол самодостаточен. Любая сторона может немедленно обнаружить мошенничество другой, и не требуется третья сторона ни для участия в протоколе, ни в качестве арбитра после завершения протокола . Чтобы посмотреть, как это работает, давайте попытаемся смошенничать .
Если выиграть, смошенничав, хочет Алиса, у нее есть три возможных пути повлиять на результат. Во пе р-вых, она может зашифровать два сообщения для "орла" на этапе (2). Боб обнаружит это, когда Алиса раскроет свои ключи на этапе (7). Во вторых, она может использовать какой-то другой ключ для расшифровывания с о-общения на этапе (4). Это приведет к бессмыслице, которую Боб и обнаружит на этапе (5). В третьих, она может объявить неправильным сообщение на этапе (6). Боб также обнаружит это на этапе (7), когда Алиса не сможет доказать, неправильность сообщения. Конечно, Алиса может отказаться от участия в протоколе на любом этапе, когда жульничество Алисы станет для Боба очевидным.
Если Боб захочет мошеннически выиграть, его положение ничуть не лучше. Он может неправильно заши ф-ровать сообщение на этапе (3), но Алиса обнаружит обман, взглянув на заключительное сообщение на этапе (6).
Он может заявить, что неправильно выполнил этап (5) из-за какого-то мошенничества со стороны Алисы, но эта форма жульничества вскроется на этапе (7). Наконец, он может послать Алиса сообщение о "решке" на этапе (5), независимо от расшифрованного сообщения, но Алиса сможет немедленно проверить достоверность соо б-щения на этапе (6).