|
|
ElGamal算法既能用于数据加密也能用于数字签名,其安全性依赖于计算有限域上离散对数这一难题。
9 v2 T8 c' @3 W: `
密钥对产生办法。首先选择一个素数p,两个随机数, g 和x,g, x < p, 计算 y = g^x ( mod p ),则其公钥为 y, g 和p。私钥是x。g和p可由一组用户共享。
+ T" l% X( r8 O# m: S5 Y5 {. JElGamal用于数字签名。被签信息为M,首先选择一个随机数k, k与 p - 1互质,计算
1 o2 P. B f8 j0 Z, {
: k- ]: u7 O1 D% |% ~a = g^k ( mod p )
6 a$ F2 m+ O# w4 m" K3 P再用扩展 Euclidean 算法对下面方程求解b:
- t8 A& d; O. R. B' m
I! T: r& A0 I7 |/ YM = xa + kb ( mod p - 1 )
7 v- L4 h' E) V7 g
$ T" U& ~7 Q8 f7 T% n1 d0 u% I! Y
签名就是( a, b )。随机数k须丢弃。
\7 i1 K8 f R; K, f+ P验证时要验证下式:
, I" I! u& d' s* {$ E" d
' y( H0 c; C5 I# |, U
y^a * a^b ( mod p ) = g^M ( mod p )
( R k& r& J5 i0 M
2 k' o( o4 B" F# H7 D同时一定要检验是否满足1<= a < p。否则签名容易伪造。
* c3 G( Y6 k1 F1 ?- @: EElGamal用于加密。被加密信息为M,首先选择一个随机数k,k与 p - 1互质,计算
2 M& c. W6 Q( t! }" O/ f
2 Q4 z. s" \' O4 k* Y9 m$ d# g: ta = g^k ( mod p )
1 u- [" p7 r0 V6 P9 Q. \
b = y^k M ( mod p )
% K' ~! K; I# K% D2 {! [
5 w1 p" w' z$ A% [
" `- D' w: q6 s5 r2 v6 `( N! ]
( a, b )为密文,是明文的两倍长。解密时计算
2 N. M1 b" R4 O
4 M5 n! H: k* C: [; _# I
M = b / a^x ( mod p )
% {" r8 d3 f9 [0 v! \
0 [& e0 }6 z& @+ g$ j* a4 m ElGamal签名的安全性依赖于乘法群(IFp)* 上的离散对数计算。素数p必须足够大,且p-1至少包含一个大素数
1 D4 h0 d2 V7 Y* s) h* _; p
因子以抵抗Pohlig & Hellman算法的攻击。M一般都应采用信息的HASH值(如SHA算法)。ElGamal的安全性主要依赖于p和g,若选取不当则签名容易伪造,应保证g对于p-1的大素数因子不可约。D.Bleichenbache“GeneratingElGamal Signatures Without Knowing the Secret Key”中提到了一些攻击方法和对策。ElGamal的一个不足之处是它的密文成倍扩张。
7 `8 @: {- c- h* _! |
8 l( ]7 J' m e' j$ i4 b 美国的DSS(Digital Signature Standard)的DSA(Digital Signature Algorithm)算法是经ElGamal算法演
+ V% V/ Z8 E$ p1 n. A( n. P变而来。 |
|
IP卡
狗仔卡
发表于 2004-11-26 20:04:40
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡