基于ＲＳＡ的ＸＭＬ不可否認簽名方法研究

(遼寧工程技術(shù)大學 工商管理學院 遼寧 阜新 123000)

摘 要：針對普通XML數(shù)字簽名的可否認問題，首先介紹了XML數(shù)字簽名原理，然后分析了RSA簽名機制和不可否認簽名方案，在此基礎(chǔ)上提出了一種改進的不可否認簽名算法，并將其應(yīng)用到XML數(shù)字簽名結(jié)構(gòu)的簽名方法中，從而提出了一種新的XML不可否認簽名方法。實驗表明，該方法能夠確保XML數(shù)字簽名的不可否認性，是實現(xiàn)XML文檔安全交換的一種很有發(fā)展前景的保障技術(shù)。

關(guān)鍵詞：可擴展標記語言；數(shù)字簽名；RSA；不可否認簽名

中圖分類號：TP391文獻標志碼：A

文章編號：1001-3695(2009)05-1900-04

Research of RSAbased XML undeniable signature method

LI Xin，LIU Jianhui

(School of Business Administration Liaoning Technical University Fuxin Liaoning 123000 China)

Abstract:The paper aimed at the deniable problem of common XML digital signature introduced the fundamental XML digital signature and then analyzed the RSA digital signature mechanisms and the undeniable signature scheme. On the basis of the above，proposed an improved undeniable signature algorithm，and applied for signature method in the XML signature structure so presented a novel XML digital signature method.The experiments demonstrate that the new XML deniable signature method can ensure that the nonrepudiation of XML digital signature and it is a promising security technique for XML document transitions as well.

Key words:XML; digital signature; RSA; undeniable signature

XML已成為網(wǎng)絡(luò)數(shù)據(jù)表示和信息交換的標準^[1]。隨著XML在各個領(lǐng)域的廣泛應(yīng)用，XML對其傳輸信息的安全性要求也愈來愈高，其安全性也更多地受到人們的關(guān)注。XML 數(shù)字簽名技術(shù)在保障交易信息的機密性、完整性、真實性和抗否認性等是尤其重要的一環(huán)。當前普通的XML數(shù)字簽名技術(shù)^[2~4]只能確保被簽名數(shù)據(jù)的完整性，而不能夠確保簽名本身的不可否認性。然而，目前很少有關(guān)于XML不可否認簽名方面的研究，文獻[5]雖然提出了一種XML不可否認簽名方法，但是并沒有討論不可否認簽名方案中的確認協(xié)議和否認協(xié)議，因此無法證實其安全性。本文在研究RSA機制和不可否認簽名方案的基礎(chǔ)上，提出了一種改進的不可否認簽名算法，并將其應(yīng)用到XML數(shù)字簽名結(jié)構(gòu)的〈signaturemethod〉中，形成了一種新的XML不可否認簽名方法，包括產(chǎn)生簽名、確認協(xié)議和否認協(xié)議。該方法能夠充分地保證交易數(shù)據(jù)的完整性、可驗證性和不可否認性。

1 XML數(shù)字簽名原理 

數(shù)字簽名是保障交易信息安全中的一個重要因素，用于確保數(shù)據(jù)的完整性、真實性和不可否認性。通常使用的數(shù)字簽名方案有RSA和DSA，它們使用一對數(shù)學上相關(guān)的密鑰來進行數(shù)字簽名。每一個想要創(chuàng)建數(shù)字簽名的用戶必須具有一個獨一無二的密鑰對（私鑰和公鑰）。一般情況下，私鑰被加密存放并用于簽名文檔，而公鑰則公開存放并用于驗證它的所有者的簽名。XML數(shù)字簽名是一個W3C(World Wide Web consortium)規(guī)范，W3C將XML數(shù)字簽名解釋為：定義一種與XML語法兼容的數(shù)字簽名語法描述規(guī)范，描述數(shù)字簽名本身和簽名的生成與驗證過程。實際上，XML數(shù)字簽名就是采用XML 的語法規(guī)則，對數(shù)字簽名的生成和驗證過程進行充分而準確的描述，該過程包括密鑰對生成、文檔簽名、傳送文檔及驗證簽名。

1.1 XML數(shù)字簽名的語法結(jié)構(gòu)

XML簽名可以用于對包括XML文檔在內(nèi)的任何內(nèi)容進行簽名，被簽名的數(shù)據(jù)內(nèi)容稱為數(shù)據(jù)對象。數(shù)據(jù)對象的簽名結(jié)果加上數(shù)字簽名信息以XML元素的形式存放在文檔中，稱為簽名元素。簽名元素為signature，它是XML簽名的核心標志。XML簽名的語法結(jié)構(gòu)如圖1所示。

在圖1所示的XML簽名語法結(jié)構(gòu)中，XML 簽名定義的主要內(nèi)容是〈signature〉元素，該元素的內(nèi)容包括數(shù)字簽名本身以及有關(guān)如何生成該簽名的信息。XML 數(shù)字簽名包括四個基本元素：〈signedInfo〉元素和〈signatureValue〉元素是必需的、〈keyInfo〉元素和〈object〉元素是可選的。其中〈signedinfo〉元素又包括三個子元素，分別是〈canonicalizationMethod〉〈signatureMethod〉和〈reference〉。圖中的“？”代表該元素可以出現(xiàn)0次或1次；“+”代表該元素至少出現(xiàn)1次；“*”代表該元素可出現(xiàn)0次或多次。

〈signedInfo〉元素是實際簽名的信息；〈canonicalizationMethod〉元素表示對XML進行規(guī)范化的規(guī)范化算法，規(guī)范化的目的是把邏輯上相同而表示上不同的XML片段生成相同的XML數(shù)據(jù)；〈signatureMethod〉元素指定了簽名算法，不同的簽名算法是用不同的URI 來進行表示的；〈reference〉元素指定了將要簽名的數(shù)據(jù)；〈transforms〉元素包含規(guī)范化、編/解碼、XS2LT 和XPath等操作，它可以在對reference的數(shù)據(jù)進行哈希運算之前對該數(shù)據(jù)進行篩選或修改；〈digestMethod〉應(yīng)用于進行〈transforms〉之后的數(shù)據(jù)以產(chǎn)生〈digestValue〉的算法；〈keyInfo〉包含簽名的密鑰等附加信息；〈object〉存儲了封裝簽名或數(shù)據(jù)對象^[6]。

1.2 XML簽名類型

當XML文檔 (或其中的一部分) 經(jīng)過數(shù)字簽名之后，得到的XML簽名用〈signature〉元素表現(xiàn)出來。如上所述，〈signature〉元素封裝了簽名數(shù)據(jù)和與簽名有關(guān)的其他信息。根據(jù)〈signature〉元素與被簽文檔之間的位置關(guān)系，可分為三種簽名類型：

a）封內(nèi)(enveloped) 簽名。〈signature〉元素被封裝在被簽名的XML文檔中。〈signature〉元素通過它的子元素—〈reference〉元素提供的信息來引用被簽名的元素。圖2給出了封內(nèi)簽名的結(jié)構(gòu)。

b)封外(enveloping)簽名。〈signature〉元素中包含了被簽名數(shù)據(jù)對象元素，被簽名的元素成為了〈signature〉元素的子元素。圖3給出了封外簽名的結(jié)構(gòu)。

c）分離(detached) 簽名。〈signature〉元素與被簽名的元素各自獨立存在。被簽名的元素和〈signature 〉元素可以同屬于一個文檔，或者〈signature〉元素也可以在另一個完全不同的文檔中。〈signature 〉元素和被簽名數(shù)據(jù)存儲在不同文檔中，通過〈reference〉元素的URI用來指向被簽名數(shù)據(jù)。圖4給出了分離簽名的結(jié)構(gòu)。

一個XML簽名不僅能夠為多于一個的文檔簽名，而且還能夠?qū)崿F(xiàn)對同一份XML 文檔的不同部分使用多于一種格式的數(shù)字簽名。本文將使用封內(nèi)簽名格式。

2 基于RSA的不可否認簽名算法

Chaum等人^[7]首次提出不可否認簽名方案。在不可否認數(shù)字簽名方案中，驗證者自己無法區(qū)分簽名的真與假，只有在一個稱為證實者的第三方的合作與幫助下才能驗證簽名的有效性。同時，只要參與了驗證，證實者就無法欺騙驗證者，即他既不能使驗證者接收一個無效的簽名，也不能讓驗證者相信一個實際上有效的簽名是無效的。對于傳統(tǒng)的數(shù)字簽名，一個不誠實的簽名者很容易去拒絕證實一個他自己的簽名文檔。然而，不可否認簽名通過添加一個稱為否認協(xié)議的方法來解決這一問題。不可否認簽名方案的簽名部分與其他簽名方案類似，也包括簽名生成和簽名確認。為了避免否認，不可否認簽名增加了驗證部分^[8]。驗證通過質(zhì)詢響應(yīng)認證方案，驗證者向證實者發(fā)送一個質(zhì)詢消息，通過觀察回復(fù)消息來驗證簽名，這是一個不可否認的過程。一個驗證者發(fā)送一個質(zhì)詢消息，來自證實者的回復(fù)消息就能夠表明是否一個簽名屬于該簽名者。如果一個簽名者與該簽名無關(guān)，則可以通過否認協(xié)議得到證實。

2.1 RSA數(shù)字簽名原理

RSA使用的一個密鑰對是由兩個大素數(shù)經(jīng)過運算產(chǎn)生的結(jié)果。其中一個是公鑰，為眾多實體所知；另外一個是私鑰，為了確保它的保密性和完整性，必須嚴格控制并只有它的所有者才能使用。RSA加密算法的最基本特征就是用密鑰對中的一個密鑰加密的消息只能用另外一個解密，這也就體現(xiàn)了RSA系統(tǒng)的非對稱性。

RSA的數(shù)字簽名是由一個實體用它的私鑰將明文加密而生成的。這種加密允許一個實體向多個實體發(fā)送消息，并且事先無須交換密鑰或加密私鑰，接收者用發(fā)送者的公鑰就可以解密^[9]。

RSA的數(shù)字簽名過程如下：

S=md mod n

其中：m是消息；S是數(shù)字簽名的結(jié)果；d和n是消息發(fā)送者的私鑰。

消息的解密過程如下：

m=Se mod n

其中：e和n是消息發(fā)送者的公鑰。

基于RSA的不可否認簽名具有一些重要的屬性。首先，確認協(xié)議的驗證過程能夠通過與證實者進行交互來實現(xiàn)；然后，使用否認協(xié)議，證實者可以證實一個偽造。證實偽造需要滿足下列屬性：對于一個特定消息和簽名，確認協(xié)議輸出合法的簽名；對于相同的輸入，否認協(xié)議將不會輸出，那么它就是一個偽造。確認和否認這兩個協(xié)議的結(jié)合，同時保護了簽名的接收者和簽名人，并且保持了傳統(tǒng)數(shù)字簽名的不可否認性的特點^[10]。所以，不可否認簽名中存在三種主要的部件，即簽名產(chǎn)生算法(包括私鑰和公鑰的生成)、確認協(xié)議和否認協(xié)議。

2.2 基于RSA的不可否認數(shù)字簽名算法

本文在RSA簽名機制與Chaum等人設(shè)計的不可否認簽名方案的基礎(chǔ)上，提出了一種改進的不可否認簽名算法。

首先給出一個基本定義，下面的確認協(xié)議和否認協(xié)議都將用到該定義。

定義1 對于一個正整數(shù)k，令[k]=def{1，…，k}，Zn代表整數(shù)模為n的乘法群，(n)=(p-1)(q-1)為該群的階。對于一個元素w∈Zn，ord(w)代表w在乘法群Zn中的階，〈w〉代表由元素w∈Zn生成的子群。

定義一個集合N ={n|n=pq，p

在上述定義基礎(chǔ)上，接下來介紹簽名的產(chǎn)生算法，確認協(xié)議和否認協(xié)議。

2.2.1 產(chǎn)生簽名

簽名者使用普通RSA簽名操作對消息m進行簽名，即計算Sm=md mod n，輸出(m，Sm)對。更為精確的，在對消息m求冪之前，消息m首先經(jīng)過合適的編碼形式(如單向哈希)進行處理，這樣能確保簽名結(jié)果不被偽造。給定一個消息m，用代表經(jīng)過編碼處理的m的輸出。所以，m的結(jié)果簽名將是Sm=defd mod n。對于(w，Sw)對來說，用Sw代表wd mod n，也就是直接對w而不是取冪。

2.2.2 確認協(xié)議

數(shù)字簽名的確認協(xié)議由一個證實者和一個驗證者進行交互來執(zhí)行的。協(xié)議的輸入是公鑰參數(shù)，即(n w，Sw)∈PK和(m，S^m)對。如果S^m是消息m的一個合法簽名，則證實者P能夠向驗證者V證實該簽名的有效性；相反，如果簽名是非法的，則沒有證實者將能夠向驗證者V證實該簽名的有效性。

該協(xié)議在本質(zhì)上與Gennaro等人^[8]和Chaum^[11]提出的協(xié)議相同，即門限RSA。本文在這個協(xié)議上的變化是，使用一個驗證密鑰e，而不是簽名密鑰d(在文獻[11]中，簽名者僅知道d而不知道e)。該協(xié)議的思想是：驗證者去驗證一個對消息m的有效簽名，首先通過生成一個相關(guān)元素，該元素對于證實者來說是隨機的，并且驗證者知道該簽名（假設(shè)對m的簽名是正確的）。這個“盲”元素是通過使用w中的隨機指數(shù)i和j的乘積與消息m求冪而得到的（正確的簽名Sw是公開的）。直覺上，一個具有欺騙行為的證實者需要找出i和j的值來進行欺騙。然而，具有相同結(jié)果的不同指數(shù)對(i j)有很多，這就導(dǎo)致證實者即使通過大量的計算也不能夠區(qū)分它們。確認協(xié)議的具體執(zhí)行過程如下：

輸入：公鑰參數(shù)(n，w，Sw)∈PK，m∈Zn和有效簽名S^m，證實者的私鑰(d，e)∈[(n)]2

a)驗證者V選取i j∈R[n]，計算Q=defS^2imSwj mod n，然后驗證者V將Q作為質(zhì)詢發(fā)送給證實者P。

b)證實者P計算A=defQe mod n，然后證實者P將A作為回應(yīng)消息發(fā)送給驗證者V。

c)驗證者V驗證A=2iwj mod n，如果等式成立，則驗證者V接受S^m作為消息m上的數(shù)字簽名，否則認為該簽名是不確定的。

2.2.3 否認協(xié)議

數(shù)字簽名否認協(xié)議的輸入是公鑰參數(shù)，即(n，w，Sw)∈PK，以及(m，S^m)對。如果S^mSIg(m)，則證實者P能夠向驗證者V證實簽名的有效性；相反，如果S^m*SIg(m)，則沒有證實者將能夠向驗證者V證實該簽名是合法的。否認協(xié)議的具體執(zhí)行過程如下：

輸入：證實者的私鑰對(d，e)∈[(n)]2，公鑰參數(shù)(n，w，Sw)∈PK，m∈Zn和非有效簽名S^m

a)驗證者V選取i=4b和j∈R[n]。其中:b∈R[k]。計算Q1=iwj mod n和Q2=S^imSwj mod n，然后驗證者V將（Q1，Q2）作為質(zhì)詢發(fā)送給證實者P。

b)證實者P計算Q1/Q2=(/S^em)i，并且通過測試所有可能的b。其中：b∈[k]，計算i=4b。如果這樣的一個i值存在，則證實者P設(shè)置A=i，否則中止；然后，證實者P向驗證者V發(fā)送回應(yīng)消息A。

c)驗證者V驗證A=i。如果等式成立，則驗證者拒絕S^m作為消息m的數(shù)字簽名；否則，該數(shù)字簽名不確定。

3 不可否認簽名方法的完備性、可靠性和不可否認性分析

3.1確認協(xié)議的完備性和可靠性

定理1 令(n，w，Sw)∈PK，則確認協(xié)議的完備性和可靠性分別為：

完備性 給定Sm∈SIg(m)，如果P和V遵從簽名確認協(xié)議，則V總能接受Sm作為一個合法的簽名。

可靠性 即便是通過大量計算，證實者P也無法以超過O(1)/P′的可能性說服驗證者V接受簽名S^mSIg(m)。

證明

完備性 觀察確認協(xié)議可以看出，如果存在階為2的額外因素，S^m有能力從簽名中消除這樣的額外因素（這樣的因素在SIg(m)的定義中是被允許的）。

可靠性 本文借鑒了文獻[13]的部分證明用于確認協(xié)議的可靠性證明。證實者能夠欺騙（或說服）V接受簽名S^mSIg(m)的可能性的最佳情況是，他選取的A能夠以最大可能性（這與V選取的i和j的值有關(guān)）通過V的測試。當證實者在看到來自V的質(zhì)詢Q之后（并且基于他自己所知的S^m，m，w，d，e和n）選取A時，定理的可靠性證明需要獲取在i和j上對于證實者選取A時可用的一些信息。

在確認協(xié)議中，V從集合[n]中隨機選取值i和j。為了便于分析，假設(shè)這些值從[(n)]中進行選取，并且i或者j超出證實者進行欺騙的可能性范圍，即i或j[(n)]的可能性，用π表示，最多為2[n-(n)]/n。所以，接下來假設(shè)i j∈R [(n)]。

首先定義I(Q)={i∈[(n)]:j，Q=S^2imSjw mod n}。因為S^mSIg(m)，對于α∈Zn，ord(α)>2，S^m=αd。在協(xié)議的第3步，驗證者將檢查

A=2iwj=α-2eiS^2eimSejw=α-2eiQe(1)

是否成立。

因為α已經(jīng)在前面設(shè)定，然后對于任意A，滿足式(1)的i的數(shù)目與使α2i=A-dQ成立的i的數(shù)目相同的最大可能性不超過(n)/ord (α)。給定Q，V對于i的選取均勻地分布在I(Q)上，這是因為對于每一個i∈I(Q)，均存在相同數(shù)目的j的取值能夠滿足等式Q=S^2imSjw mod n。因此，P能夠成功欺騙的可能性最多為[(n)/ord(α）]/|I(Q)|。

上述具有欺騙行為的證實者能夠成功的概率的邊界以群Zn中元素的階的形式給出。如上文所述，n=pq。其中：p=2p′+1且q=2q′ +1，p，q，p′，q′都是大素數(shù)。假設(shè)p′

3.2 否認協(xié)議的完備性和可靠性

定理2 令(n，w，Sw)∈PK，則否認協(xié)議的完備性和可靠性分別為：

完備性 假設(shè)S^mSIg(m)，如果P和V遵從否認協(xié)議，則V總能接受S^m不是m的一個合法簽名。

可靠性 假設(shè)S^m∈SIg(m)，然后對于一個證實者P，即便是通過大量計算，也無法以超過1/k+O(1)/P′的可能性說服驗證者V拒絕簽名S^m∈SIg(m)。

證明

完備性 假設(shè)S^m=αd。其中：ord (α)≥p′，該等式能夠成立的原因是S^m和d都在Zn中，所以α存在并且S^mSIg(m)指出ord (α)≥p′。只有當ord(/S^em）＜4k時，證實者將不能找出i值。階ord(/S^em)=ord(/αe)=ord(αe)。由于(e， (n))=1，則有ord(αe)≥p′。當選取k<

可靠性 為了使P去說服V，使其相信S^m是一個不合法簽名，他必須向V發(fā)送一個值A，使得A=i。因為S^m∈SIg(m)，可以認為S^m=αd成立。其中：ord(α)≤2。所以，Q2=S^imSjw=αidiwdj=(iwj)d。根據(jù)定義1，如果m∈〈w〉，則ord (w)=2p′q′和m2∈〈w〉成立。當4∈〈w〉時，l使得w1=4成立。所以，Q1=iwj=w1b+j，Q2=(iwj)d=w(1b+j)d。一個具有海量計算能力的證實者，能夠計算出r的值使得Q1=wr=w1b+j；然后，為了計算i，證實者仍然需要去找到b，也就是說他需要去求解等式r=1b+j mod ord(w)。假設(shè)j∈R[(n)]，最后對于每一個可能的值b，將存在(n)/ord(w)個可能的值j表示最好的證實者P能夠做到隨機猜測給定的一個1/k概率值。根據(jù)j∈R[(n)]，可以得到1/k+O(1)/P′。

3.3 簽名的不可否認性

通過證明簽名的不可偽造性來驗證本文提出的不可否認方案中簽名的不可否認性。假設(shè)存在一個偽造者F，能夠在本文提出的模式中，在接收到一個不可否認公鑰對并且在確認協(xié)議和否認協(xié)議中與簽名者交互之后，偽造一個不可否認簽名。也就是說，偽造者輸出一個(m，Sm)對。其中：Sm=αd，ord(α)≤2。筆者構(gòu)建一個攻擊者A，他能夠利用該偽造者并且偽造規(guī)范的RSA簽名。給定一個簽名者的RSA公鑰(n，e)，A將利用其偽造一個簽名，然后用于如下過程：

攻擊者選擇一個隨機值r并且設(shè)定不可否認簽名模式的公鑰為一個三元組(n，w=re，mod n，Sw=r)，然后將這些值傳給F。當F需要一個在消息m上的不可否認簽名時，攻擊者A要求S去簽名該消息并且交給F一個(m，Sm)對。當A被F要求在(m，S)對上加入確認/否認協(xié)議時，A檢查m是否為以前簽名過的消息，并且Sm=S。如果是，則A與F在確認協(xié)議中進行交互；否則，A與F在否認協(xié)議中交互。攻擊者利用模擬程序來執(zhí)行這些協(xié)議。執(zhí)行完該過程，偽造者F輸出一個不可否認模式的偽造，即一個(m，d)對或(m，αd)對。其中：ord(α)=2。一個對RSA的偽造通過如下方式獲取：

如果是(m，d)對，則A直接輸出該值，因為它是一個標準的RSA簽名。第二種情況是，A持有值e，并且通過計算(αd)/，A提取α(注意，e是一個奇數(shù))并且返回因數(shù)n，n能夠被用于去產(chǎn)生偽造。注意，A已經(jīng)要求簽名者只能對偽造者已經(jīng)要求過的消息進行簽名，所以，偽造者的輸出一定是在以前沒有被簽名者簽名過的消息上的標準RSA模式簽名。因此，如果RSA簽名是不可偽造的，則本文的不可否認簽名也是不可偽造的，進而也就確保了簽名的不可否認性。

4 XML不可否認簽名方法

通過上面的研究，本文為XML簽名結(jié)構(gòu)中的〈signatureMethod〉定義了一種簽名方法。它由產(chǎn)生簽名、確認協(xié)議和否認協(xié)議構(gòu)成。在〈keyInfo〉元素中，它包含三個子元素，〈RSAuniableKeyValue〉〈confirmationProtocol〉和〈deniableProtocol〉，這三個元素分別對應(yīng)上面描述的不可否認簽名過程、確認協(xié)議和否認協(xié)議過程。〈RSAuniableKeyValue〉元素中定義了一個公約數(shù)n，一個固定數(shù)w=2，以及用于生成簽名的消息m。隨機數(shù)n和w與公鑰和私鑰一起，作用是引導(dǎo)簽名者合作驗證他們自己的簽名。〈confirmationProtocol〉元素和〈deniableProtocol〉元素中包含了多個數(shù)學表達式，所以在文檔中應(yīng)用了MathML語言。MathML是一種基于XML的標準，用來在互聯(lián)網(wǎng)上書寫數(shù)學符號和公式的置標語言，MathML由若干XML標簽構(gòu)成，這些標簽?zāi)軌蚋鶕?jù)它的表達和語義來標志一個等式^[12]。本文提出的XML不可否認簽名算法的關(guān)鍵部分如下:

〈Signature Id=\"MyFirstSignature\" xmlns=\"http://www.w3.org/2000/09/xmldsig#\"〉

〈SignedInfo〉

〈CanonicalizationMethod Algorithm=\"http://www.w3.org/TR/2001/RECxmlc14n20010315\"/〉

〈SignatureMethod Algorithm=\"http://www.lnit.edu.cn/sun/uniablesiganture\"/〉

〈Reference URI=\"http://www.w3.org/TR/2000/RECxhtml120000126/\"〉

〈Transforms〉

〈TransformAlgorithm=\"http://www.w3.org/TR/2001/RECxmlc14n20010315\"/〉

〈/Transforms〉

〈DigestMethod Algorithm=\"http://www.w3.org/2000/09/xmldsig#sha1\"/〉

〈DigestValue〉j6lwx3rvEPO0vKtMup4NbeVu8nk=〈/DigestValue〉

〈/DigestMethod〉

〈/Reference〉

〈/SignedInfo〉

〈SignatureValue〉530894097304936807063112091555473 854115743839392749076921511340613636981455204680562

〈/SignatureValue〉

〈KeyInfo〉

〈RSAUniableKeyValue〉

n

w

〈message m〉

…

〈/message m〉

〈/RSAuniableKeyValue〉

〈ConfirmationProtocol〉

〈! MathML is omitted〉

…

〈/ConfirmationProtocol〉

〈DenialProtocol〉

〈! MathML is omitted〉

…

〈/DeniableProtocol〉

〈/KeyInfo〉

〈/Signature〉