7.2.6. Multiple Signature Confusion (多签名混淆)

由于可对一条消息应用多个签名 (第 4.3 节), 攻击者可能向截获的消息附加自己的签名而不修改现有签名. 新签名可能基于攻击者密钥完全有效, 或因任何原因无效. 每种情况都需要考虑.

处理一组有效签名的验证者需要考虑所有签名者 (由签名密钥标识). 仅应接受来自预期签名者的签名, 无论签名本身的密码学有效性.

处理消息上一组签名的验证者还需要在一个或多个签名无效时确定如何处理. 若消息在至少一个签名有效时被接受, 验证者可在进一步处理前从请求中丢弃所有无效签名. 或者, 若验证者因单个无效签名拒绝消息, 攻击者可通过在有效签名旁注入无效签名拒绝对否则有效消息的服务.