|
|
ElGamal算法既能用于数据加密也能用于数字签名,其安全性依赖于计算有限域上离散对数这一难题。
0 x: T2 u1 ^7 @# Q$ p* P
密钥对产生办法。首先选择一个素数p,两个随机数, g 和x,g, x < p, 计算 y = g^x ( mod p ),则其公钥为 y, g 和p。私钥是x。g和p可由一组用户共享。
# d0 |, `) _. K A
ElGamal用于数字签名。被签信息为M,首先选择一个随机数k, k与 p - 1互质,计算
* Q% ?& u+ z1 D( a% @( Q
: R6 T! J# j: H$ m% ia = g^k ( mod p )
- i" D: v( |7 J: `1 a
再用扩展 Euclidean 算法对下面方程求解b:
x. X2 h/ ^$ b( | j0 s
% }* e4 @1 N8 hM = xa + kb ( mod p - 1 )
# x- A" D; q6 u: Z8 M2 d0 d! R
- h1 K( r1 d' L, i1 \
签名就是( a, b )。随机数k须丢弃。
& ]7 T1 o. N( b9 \+ ^4 A( m) S验证时要验证下式:
; J6 [% w# p2 i7 w2 X3 g
" d9 e( K+ U% T# q( `1 R
y^a * a^b ( mod p ) = g^M ( mod p )
+ I: m# c; v# E# [. U! y7 N% l
, q7 t7 C: `5 e/ r" W同时一定要检验是否满足1<= a < p。否则签名容易伪造。
# P1 ?7 @1 Y, G# B! S, YElGamal用于加密。被加密信息为M,首先选择一个随机数k,k与 p - 1互质,计算
- w$ U! h! O0 L7 o
$ z2 k9 r+ A& k0 F' Sa = g^k ( mod p )
+ x: U2 x6 ~% ~( u4 ]3 t
b = y^k M ( mod p )
: I/ g# f: Z# ~2 o+ J
* d, `3 Q& r E6 o+ }9 O
9 C u, t k" j6 _) O2 K% k7 G, q( a, b )为密文,是明文的两倍长。解密时计算
8 C5 k0 n: `' P6 P) k9 |2 J: C$ B
& V6 P: Z/ {* zM = b / a^x ( mod p )
& F5 g" K" K, i e9 u, ^# I
2 g5 n4 N5 j. f
ElGamal签名的安全性依赖于乘法群(IFp)* 上的离散对数计算。素数p必须足够大,且p-1至少包含一个大素数
; q }: d! w3 ^% |! E: n因子以抵抗Pohlig & Hellman算法的攻击。M一般都应采用信息的HASH值(如SHA算法)。ElGamal的安全性主要依赖于p和g,若选取不当则签名容易伪造,应保证g对于p-1的大素数因子不可约。D.Bleichenbache“GeneratingElGamal Signatures Without Knowing the Secret Key”中提到了一些攻击方法和对策。ElGamal的一个不足之处是它的密文成倍扩张。
\# `4 M$ ]7 c; C2 b7 f
3 Q8 Q' v; C. a$ i: m
美国的DSS(Digital Signature Standard)的DSA(Digital Signature Algorithm)算法是经ElGamal算法演
) S" j/ X# x' u6 ~* z5 d) z9 u
变而来。 |
|
IP卡
狗仔卡
发表于 2004-11-26 20:04:40
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡