|
ElGamal算法既能用于数据加密也能用于数字签名,其安全性依赖于计算有限域上离散对数这一难题。
- P# Y: b6 Z3 [+ l密钥对产生办法。首先选择一个素数p,两个随机数, g 和x,g, x < p, 计算 y = g^x ( mod p ),则其公钥为 y, g 和p。私钥是x。g和p可由一组用户共享。 + @" M. D6 W& |, z U( e
ElGamal用于数字签名。被签信息为M,首先选择一个随机数k, k与 p - 1互质,计算
% G: I4 Z Y2 y" A) q5 W1 G 9 A! k q& i* h0 R4 a' _2 a
a = g^k ( mod p ) + V I7 X. Q" P2 `$ L' v2 |
再用扩展 Euclidean 算法对下面方程求解b: ?. m" O5 B- y! j2 }0 q
# g h) N3 H4 K: G
M = xa + kb ( mod p - 1 )
& i0 H% j) m3 p+ x* c1 V# I 1 P6 X C! P5 d
签名就是( a, b )。随机数k须丢弃。
9 ^8 Y- Y' W" J. |/ V4 j' @验证时要验证下式:
. M5 w- ?) A) L6 Z: q# c x g# r) z9 S ' Y H1 n2 h. t
y^a * a^b ( mod p ) = g^M ( mod p ) " s- I1 G/ o* m, G
9 ^) p) M% T/ f* ^2 E同时一定要检验是否满足1<= a < p。否则签名容易伪造。
) R9 @8 T0 j# u, OElGamal用于加密。被加密信息为M,首先选择一个随机数k,k与 p - 1互质,计算 / _4 y5 `; R3 { k* ~0 ^
. D/ p! W* b7 X+ F" D; K, fa = g^k ( mod p ) 8 m, \* m5 P% u2 p4 J$ v
b = y^k M ( mod p ) , Z0 ]9 K& g) `8 _# ^6 Q
* o. V9 {; ~$ x# d; R+ P, k
0 B& e. r3 ~9 ~+ I. t: k) o
( a, b )为密文,是明文的两倍长。解密时计算
A* u2 R) W5 v& w6 q! N. B/ W X
* Q- H! e% q/ a; t6 {+ J" J5 mM = b / a^x ( mod p )
. [, I7 h' k$ c; F+ V % n' H7 W" ?. Y
ElGamal签名的安全性依赖于乘法群(IFp)* 上的离散对数计算。素数p必须足够大,且p-1至少包含一个大素数 7 u4 \' [' r! f0 _1 `6 b
因子以抵抗Pohlig & Hellman算法的攻击。M一般都应采用信息的HASH值(如SHA算法)。ElGamal的安全性主要依赖于p和g,若选取不当则签名容易伪造,应保证g对于p-1的大素数因子不可约。D.Bleichenbache“GeneratingElGamal Signatures Without Knowing the Secret Key”中提到了一些攻击方法和对策。ElGamal的一个不足之处是它的密文成倍扩张。 * d# B! Z& h7 [4 n" a
! a$ |, Z* e* C! J* c$ a, L 美国的DSS(Digital Signature Standard)的DSA(Digital Signature Algorithm)算法是经ElGamal算法演 / h0 i/ M6 j' _; C' j5 v1 r
变而来。 |
|