Рассмотренные системы цифровой подписи имеют один потенциальный недостаток. Он состоит в возможности построения новых эффективных алгоритмов для решения этих математических задач. Поэтому в реальных схемах длину ключа выбирают с определенным превышением необходимой величины для обеспечения достаточного запаса стойкости. Это, в свою очередь, значительно усложняет алгоритмы вычисления и проверки подписи. Поэтому представляется весьма привлекательной задача построения схем цифровой подписи на основе симметричных систем шифрования, свободных от подобных недостатков.
Например, схема цифровой подписи Диффи-Лампорта на основе симметричных систем шифрования.
Пусть требуется подписать сообщение М = т1т2...тп, mi Î {0,1}, i = 1,...,п. Согласно схеме Диффи-Лампорта подписывающий сначала выбирает 2n случайных секретных ключей K = [(k10, k11),…,(kn0,kn1)] для используемой им симметричной шифристемы, затем п пар случайных чисел S = [(S10, S11),…,(Sn0, Sn1)], где Sij Î {0,1}, i = 1,..., n, j = 0,1, и вычисляет значения .
Наборы S и R =[(k10, k11),…,(kn0,kn1)] являются открытыми и помещаются в общедоступном месте так, чтобы каждый мог прочитать их, но записать их туда мог бы только автор подписи.
Подпись для сообщения М имеет вид . Чтобы убедиться в ее правильности, следует проверить равенства
Недостатком этой схемы является слишком большой размер подписи, который может превышать размер самого подписываемого сообщения. Имеется несколько способов избавиться от этого недостатка:
Во-первых, можно хранить не 2n значений секретных ключей, а лишь один секретный ключ k. Для этого можно воспользоваться, например, одной из следующих схем формирования последовательности K:
kij = Ek(i, j), j = 0, 1, i = 1,…, n;
Во-вторых, можно аналогичным образом свернуть набор открытых значений S. В-третьих, можно подписывать не само сообщение, а его свертку, если воспользоваться какой-либо хэш-функцией. Можно использовать и другие подходы, позволяющие сократить как длину подписи, так и размеры открытого и секретного ключей.
Вместе с тем подобные модификации не устраняют главного недостатка рассматриваемых подписей, состоящего в том, что после проверки подписи либо весь секретный ключ, либо его часть становятся известными проверяющему. Поэтому данная схема цифровой подписи является по существу одноразовой.