Для аутентификации пользователя можно применять произвольную симметрическую схему. Пусть отправитель сообщения A хочет подписать n-битовое бинарное сообщение
m=m₁.. m_n из V₂ⁿ.
Он выбирает 2n ключей некоторой криптосистемы, которые хранятся в секрете. Обозначим их так: a₁,..,a_n;b₁,..,b_n.

Если E - алгоритм шифрования, то A генерирует 4n параметров проверки { (X_i,Y_i,U_i,V_i): 1<= i <= n}, где X_i и Y_i - величины, подаваемые на вход E и связанные соотношениями

U_i = E(X_i,a_i), V_i = E(Y_i,b_i), 1 <= i < n.

Параметры проверки заранее посылаются получателю B и третьему доверенному лицу.

Чтобы подписать n-битовое сообщение m=(m₁,..,m_n), пользователь A применяет следующую процедуру: его подпись будет цепочкой S = S₁ ..S_n,
где для каждого i

S_i = a_i, если m_i =0,

S_i = b_i, если m_i =1.

Пользователь B проверяет подпись следующим образом: для каждого i (0 <= i <= n) он использует бит m_i и ключ S_i, чтобы проверить:

если m_i = 0, то E(X_i,S_i) = U_i,

если m_i = 1, то E(Y_i,S_i) = V_i.

Пользователь B принимает подписанное сообщение за истинное только в том случае, если при процедуре проверки эти равенства выполнены для каждого L.

Эта система проста в использовании, но у нее есть, по крайней мере, два очевидных недостатка. Во-первых, необходима предварительная передача параметров проверки. Во-вторых, что более важно, подпись сильно увеличивает длину сообщения. Если в криптосистеме используются ключи длиной, скажем, 64 бита, то длина подписанного сообщения увеличится в 64 раза.