為什麼（gy，gx）在STS（站到站）中籤名？

我的問題與https://en.wikipedia.org/wiki/Station-to-Station_protocol中所述的站到站協議有關

$$ 1 $$和http://cacr.uwaterloo.ca/hac/ $$ 2 $$第 519 頁。

(1) Alice → Bob : gx
(2) Alice ← Bob : gy, EK(SB(gy, gx))
(3) Alice → Bob : EK(SA(gx, gy))

我無法理解 Bob 簽署 gy+gx（連接）而 Alice 簽署 gx+gy 的原因。

$$ 1, 2 $$說 gx 和 gy 的順序很重要。為什麼？為什麼要簽 gy+gx？是否有簽名的變體？可以包括隨機挑戰嗎？

Diffie 等人在 1992 年發表的論文http://people.scs.carleton.ca/~paulv/papers/sts-final.pdf回答了這個問題。它有一個使用隨機挑戰簽名的協議的不安全變體範例。此外，“僅簽署自己的指數”部分考慮了 Alice 僅簽署 gx 的變體。根據該論文，當使用 RSA 簽名時，此變體會受到攻擊。而且似乎可以重放攻擊（參見 DuBuisson 的回答）。

“僅簽署對方的指數”部分考慮了 Alice 僅簽署 gy 的變體。對於這個案例，論文的作者說：“我們知道沒有適用於這個案例的一般攻擊，但有一些擔憂”。一個擔憂是“簽署潛在對手提供的任意文本是不謹慎的”。

引用自：https://crypto.stackexchange.com/questions/29390