|
|
ElGamal算法既能用于数据加密也能用于数字签名,其安全性依赖于计算有限域上离散对数这一难题。
9 Q6 S3 a6 \! g0 W: ]: S; I
密钥对产生办法。首先选择一个素数p,两个随机数, g 和x,g, x < p, 计算 y = g^x ( mod p ),则其公钥为 y, g 和p。私钥是x。g和p可由一组用户共享。
6 v5 G# b0 \* N& j* Y
ElGamal用于数字签名。被签信息为M,首先选择一个随机数k, k与 p - 1互质,计算
# N* U5 F) A& K( i; u, y, C' J
_/ h" C) B+ f! _7 T
a = g^k ( mod p )
8 P" B% h0 u) z& H0 O5 ], k再用扩展 Euclidean 算法对下面方程求解b:
3 H9 ~. @1 g: @! ~
3 {( n- p# A9 E
M = xa + kb ( mod p - 1 )
$ d7 ~7 l: g) p& @* b7 u
. Q3 u, `, h8 n) h& p5 d7 [( L签名就是( a, b )。随机数k须丢弃。
0 r) |6 K' Q1 s1 W验证时要验证下式:
1 e+ }( i; z6 B# R1 b) h7 w
8 F- E, x* G7 J! u4 Ny^a * a^b ( mod p ) = g^M ( mod p )
1 y. C" Q6 u7 _6 l+ y2 {
. b# |# X8 V" ^( t' Q4 A
同时一定要检验是否满足1<= a < p。否则签名容易伪造。
/ _/ v6 _% v" W7 I
ElGamal用于加密。被加密信息为M,首先选择一个随机数k,k与 p - 1互质,计算
: t; z& ]" J, @; x# K- O* N2 _
0 L8 l$ _6 t) \7 O( ]
a = g^k ( mod p )
8 ~7 y+ l9 k, N9 f% j/ I! Z$ k5 J
b = y^k M ( mod p )
/ c0 {" K, D4 s8 w. }
; R; M' c+ x+ y$ V
; z/ c. _& b' Q. S( Y# e; V2 _; T( a, b )为密文,是明文的两倍长。解密时计算
~# v- n. j$ C* l* w
8 r9 y8 P, w7 `M = b / a^x ( mod p )
0 H r) m0 A1 N* {" {& U+ v8 M
3 X5 V- \% ^' A: ]- L! u* U) @
ElGamal签名的安全性依赖于乘法群(IFp)* 上的离散对数计算。素数p必须足够大,且p-1至少包含一个大素数
- H+ ^4 k$ ~& L4 u, @( v因子以抵抗Pohlig & Hellman算法的攻击。M一般都应采用信息的HASH值(如SHA算法)。ElGamal的安全性主要依赖于p和g,若选取不当则签名容易伪造,应保证g对于p-1的大素数因子不可约。D.Bleichenbache“GeneratingElGamal Signatures Without Knowing the Secret Key”中提到了一些攻击方法和对策。ElGamal的一个不足之处是它的密文成倍扩张。
; R1 R4 }; \3 t/ D5 i7 m1 z/ l/ ^: n
( Z% ]. R8 }. ]9 u. e9 P2 ^
美国的DSS(Digital Signature Standard)的DSA(Digital Signature Algorithm)算法是经ElGamal算法演
5 a( v c% w) [7 V5 M' Z" ]变而来。 |
|
IP卡
狗仔卡
发表于 2004-11-26 20:04:40
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡