|
|
ElGamal算法既能用于数据加密也能用于数字签名,其安全性依赖于计算有限域上离散对数这一难题。
; z+ s3 w3 f0 M0 c( N" ]密钥对产生办法。首先选择一个素数p,两个随机数, g 和x,g, x < p, 计算 y = g^x ( mod p ),则其公钥为 y, g 和p。私钥是x。g和p可由一组用户共享。
5 ^8 V% q( |& l; ?6 p, eElGamal用于数字签名。被签信息为M,首先选择一个随机数k, k与 p - 1互质,计算
& N$ ^ {9 ~/ f) k6 ?& {5 x
7 U$ }8 N; q% y, e
a = g^k ( mod p )
) x& j& X( m% B7 O再用扩展 Euclidean 算法对下面方程求解b:
/ }8 W; N% V' q p o2 Q9 o, u
7 R0 i* v Z& M0 NM = xa + kb ( mod p - 1 )
! ?( @ k, v N d3 J
9 r6 Y! @ Y2 E& C1 C
签名就是( a, b )。随机数k须丢弃。
0 n0 F! ]4 j5 { {7 b( c% E验证时要验证下式:
7 @6 n/ |& ^. h
+ b. @6 r1 W: D6 S3 J! \8 S' _y^a * a^b ( mod p ) = g^M ( mod p )
7 e* v6 d5 v. T; a+ I: \0 K9 L
0 S2 `$ ]& J5 P. q q同时一定要检验是否满足1<= a < p。否则签名容易伪造。
. ]' Y: D; a/ ]! W! P+ m: C
ElGamal用于加密。被加密信息为M,首先选择一个随机数k,k与 p - 1互质,计算
$ \% t& o( V* J
( F, S4 d1 l( ~9 |' M, g( }a = g^k ( mod p )
9 E1 |% R0 M/ \% U8 J
b = y^k M ( mod p )
* E. r# w5 w) }" Z" O7 I/ h/ N
6 _/ l* a6 A' p8 a, r; I; P
- y X8 U) B. Q7 q+ R2 ]( a, b )为密文,是明文的两倍长。解密时计算
% A+ w1 u8 P0 b
1 F7 W6 w7 N5 \. [
M = b / a^x ( mod p )
: w) |; J0 ?+ f' u
7 E1 ?9 h# h$ g; s ElGamal签名的安全性依赖于乘法群(IFp)* 上的离散对数计算。素数p必须足够大,且p-1至少包含一个大素数
* c9 V8 h1 H( M) r0 \因子以抵抗Pohlig & Hellman算法的攻击。M一般都应采用信息的HASH值(如SHA算法)。ElGamal的安全性主要依赖于p和g,若选取不当则签名容易伪造,应保证g对于p-1的大素数因子不可约。D.Bleichenbache“GeneratingElGamal Signatures Without Knowing the Secret Key”中提到了一些攻击方法和对策。ElGamal的一个不足之处是它的密文成倍扩张。
# _4 V1 p/ e% Q& i/ E# C2 b5 H4 P
4 q# l$ o }: i5 D' A& E 美国的DSS(Digital Signature Standard)的DSA(Digital Signature Algorithm)算法是经ElGamal算法演
% X7 b4 i# }7 y* t- M5 ^( }; F
变而来。 |
|
IP卡
狗仔卡
发表于 2004-11-26 20:04:40
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡