E(Xi,ki) = Ui (1 <= i <= 2r).Эти параметры хранятся в доступном для всех месте.
Предположим, что A хочет подписать сообщение m. Его подписью будет цепочка S = S1S2..S2r, для каждого i (1<=i<=2r) Si =E(m,ki). B делает следующее. Сначала он выбирает случайным образом r ключей, которые A должен ему предъявить: ki1 , ki2 ,..,kir. При получении этих ключей от A он проверяет:
E(m,ki1) = Si1, E(Xi1,ki1) = Ui1и далее для всех индексов i2, i3 ,.., ir . Он считает действительной подпись от A только в том случае, когда выдерживаются все проверки. Безопасность получателя зависит от его уверенности в том, что только отправитель, знающий секретный ключ, может послать так подписанное сообщение. Что касается A, то предположим, что он отказывается от сообщения, которое по утверждению B он подписал. Тогда протокол для A следующий: он должен предъявить судье свои секретные ключи k1,k2,..,k2r, и в присутствии обеих сторон делается 2r проверок:
E(m,ki)=Si, E(Xi,ki)=Ui.Рассмотрим, что это означает в трех возможных случаях.