|
ElGamal算法既能用于数据加密也能用于数字签名,其安全性依赖于计算有限域上离散对数这一难题。 3 _- z5 r7 B; E
密钥对产生办法。首先选择一个素数p,两个随机数, g 和x,g, x < p, 计算 y = g^x ( mod p ),则其公钥为 y, g 和p。私钥是x。g和p可由一组用户共享。
( A, z+ W6 ^+ ?, R* ?8 ^ElGamal用于数字签名。被签信息为M,首先选择一个随机数k, k与 p - 1互质,计算
. Z! [% ?- _+ l! O ( U; H2 H1 @5 }
a = g^k ( mod p ) 0 P' Y. R: L8 R6 C
再用扩展 Euclidean 算法对下面方程求解b:
4 t7 q1 K) U$ w
' W$ b9 f3 b4 e0 K7 Z5 k: q1 a9 a. EM = xa + kb ( mod p - 1 )
3 u; @7 r" v# F, P
3 b8 z5 N. `) J1 s- J9 J( r7 Q签名就是( a, b )。随机数k须丢弃。
( \4 }3 I) x# N, d验证时要验证下式: / F9 o5 h9 L9 N9 B% g" Y( |6 x: r
6 [) [2 g( u% c- T# Z
y^a * a^b ( mod p ) = g^M ( mod p ) 6 Q3 F% r4 x7 P7 G# [% i
* I# [" T3 s9 m8 }8 E0 _; x7 v. |同时一定要检验是否满足1<= a < p。否则签名容易伪造。 ) n4 Z }9 y2 S: [& ]; `7 _! E6 F
ElGamal用于加密。被加密信息为M,首先选择一个随机数k,k与 p - 1互质,计算 - `! V1 S7 A0 f- Z+ ^2 G h& [
4 ^$ [3 F5 f" U1 F
a = g^k ( mod p )
: I. x2 M, Q! f3 X5 kb = y^k M ( mod p ) ' M3 }+ ], U/ J7 ^, R- K3 h
' }/ \6 i y- E
8 d% v4 ]5 f$ i" f6 y7 P' S
( a, b )为密文,是明文的两倍长。解密时计算 : _- `$ K- z2 \* O
! H$ F2 R' q. ^7 T- u2 W/ x$ T6 E
M = b / a^x ( mod p ) * r v+ h7 U) c! [8 y* B* l
. A& T$ p5 c! o, f. g7 O q ElGamal签名的安全性依赖于乘法群(IFp)* 上的离散对数计算。素数p必须足够大,且p-1至少包含一个大素数 : V3 p- E) @8 A2 k: |$ Z
因子以抵抗Pohlig & Hellman算法的攻击。M一般都应采用信息的HASH值(如SHA算法)。ElGamal的安全性主要依赖于p和g,若选取不当则签名容易伪造,应保证g对于p-1的大素数因子不可约。D.Bleichenbache“GeneratingElGamal Signatures Without Knowing the Secret Key”中提到了一些攻击方法和对策。ElGamal的一个不足之处是它的密文成倍扩张。
' n, ~. H6 I0 m" v% c/ T1 O/ @
+ R, r, ]+ L6 k: v! `) @ _; p 美国的DSS(Digital Signature Standard)的DSA(Digital Signature Algorithm)算法是经ElGamal算法演 & g5 |5 a) d; s2 o, G. c" d
变而来。 |
|