10、    假定两个主体Alice和Bob，而Trent是可信第三方。现有如下协议：假定Alice和Trent共享密钥KAT，Bob和Trent共享密钥KBT，目标Alice和Bob想要建立一个新的共享密钥K。
       1、    Alice发给Trent: Alice, Bob;
       2、    Trent找出KAT、KBT，随机生成K，发送给Alice{K}KAT，{K}KBT ；
       3、    Alice解密{K}KAT并发给Bob: Trent, Alice,{K}KBT；
       4、    Bob解密{K}KBT恢复K，发给Alice：｛你好Alice，我是Bob!}K
现假定Malice 和Trent 共享密钥KMT，试设计一种攻击协议，使得攻击结果如下：Alice 认为在和Bob共享密钥K，但事实上是在和Malice共享密钥K .

原先是 Alice 向 Trent 请求和 Bob 通话

现在，Malice 拦截掉 Alice向外的通话信息
将第一次Alice发给Trent的“Alice, Bob”篡改为“Alice, Malice”
以后就简单了，略

主要原因是，对于“Alice, Bob”这个信息，Trent只需要明文知道是Alice发来的就行，“Bob”应该被加密掉，免得被别人冒充。

这不就是伪造签名么
功夫网就是这么干的...

二楼的想法太暴力，也不是这一题的初衷。

现在的协议问题出在第3条上，由A申请的AB之间的共享密钥是由T发给A，再由A转发给B，并且告诉B自己是谁。

所以M想伪装成B，可以向T申请MA之间的共享密钥，然后在转发给A的信息中声称自己是B就行了。

好高深的赶脚啊