|
|
ElGamal算法既能用于数据加密也能用于数字签名,其安全性依赖于计算有限域上离散对数这一难题。
1 }1 o+ W+ Z, ~# ? x
密钥对产生办法。首先选择一个素数p,两个随机数, g 和x,g, x < p, 计算 y = g^x ( mod p ),则其公钥为 y, g 和p。私钥是x。g和p可由一组用户共享。
. Z4 P |. |* `5 Z' }) B
ElGamal用于数字签名。被签信息为M,首先选择一个随机数k, k与 p - 1互质,计算
' o( m5 r4 m% _! |
1 [ S' C: c Y$ R9 m( W) {a = g^k ( mod p )
7 P- |$ g3 m5 l5 |- S& w
再用扩展 Euclidean 算法对下面方程求解b:
. g' ~* `, Y) m+ A7 I% a: x
* D% p9 ^$ i8 |( C6 [1 h: N
M = xa + kb ( mod p - 1 )
0 B: o6 L/ T( @- j+ L8 x9 e/ {
% m0 x7 V, U) A: o' d9 u6 p签名就是( a, b )。随机数k须丢弃。
; c5 ~; {0 P7 C$ b
验证时要验证下式:
. C+ n* D; P, y3 X ~( F
' H* b- q& y5 A `3 Y6 A7 jy^a * a^b ( mod p ) = g^M ( mod p )
8 d9 H7 q T. W5 V& B, Q' j1 X
. k c+ Y- z6 O1 k, E9 a0 ]
同时一定要检验是否满足1<= a < p。否则签名容易伪造。
4 s$ I/ P, B. }2 V! ^ G5 Z
ElGamal用于加密。被加密信息为M,首先选择一个随机数k,k与 p - 1互质,计算
7 M! l# t8 t7 U
9 I1 k' I& U) y+ ]' W. Ma = g^k ( mod p )
$ [' N6 G, d8 \2 c
b = y^k M ( mod p )
5 g# k7 X. r& ?8 I
8 s# }$ c7 B: G( i
" h M4 D3 g' J4 ?* P3 y' N
( a, b )为密文,是明文的两倍长。解密时计算
6 K9 F5 p& f, k5 `# {4 u0 D3 Y8 Z
& B1 z, t5 k* P0 m6 v$ o2 V- P2 f
M = b / a^x ( mod p )
# b9 b1 R& S6 c/ I, P: [
+ S+ v! b* i# J8 \0 t. _; Z& T: | ElGamal签名的安全性依赖于乘法群(IFp)* 上的离散对数计算。素数p必须足够大,且p-1至少包含一个大素数
/ l# [6 Q6 b/ p, {$ j* m" g0 z因子以抵抗Pohlig & Hellman算法的攻击。M一般都应采用信息的HASH值(如SHA算法)。ElGamal的安全性主要依赖于p和g,若选取不当则签名容易伪造,应保证g对于p-1的大素数因子不可约。D.Bleichenbache“GeneratingElGamal Signatures Without Knowing the Secret Key”中提到了一些攻击方法和对策。ElGamal的一个不足之处是它的密文成倍扩张。
1 e9 u: n0 v! t6 Q; x
2 c9 b1 @9 Y7 a! n# c$ o: B
美国的DSS(Digital Signature Standard)的DSA(Digital Signature Algorithm)算法是经ElGamal算法演
2 {) {( Y% n: N
变而来。 |
|
IP卡
狗仔卡
发表于 2004-11-26 20:04:40
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡